Seguridad de nube: uso compartido sin riesgos de soluciones de TI

Puede compartir soluciones de TI entre el costo fijo de los recursos locales y el costo variable de los recursos de nube sin perder el control del acceso a los activos de la empresa. Permítanos mostrarle cómo.

Dan Griffin y Tom Jones

Cuando nuestros hijos eran pequeños, los manteníamos en casa para que estuvieran seguros. Cuando aprendieron a valérselas por sí mismos, les permitimos que se aventuraran a salir. Con los activos de la empresa ocurre una situación similar. Tradicionalmente los hemos mantenido protegidos dentro del perímetro de la red. Pusimos firewalls para garantizar que dichos activos no dejaran las instalaciones.

Cuando se le indica a un administrador de TI que puede compartir su carga informática local con recursos a petición basados en la nube, la primera reacción suele ser de emoción debido a los posibles ahorros en los costos y a las mejoras que esto puede significar en la experiencia del usuario. Pero tal como ocurre con un padre sobreprotector, esa emoción a menudo se convierte en escepticismo y en ansiedad respecto de los nuevos desafíos relacionados con la seguridad de los activos de la empresa en varios puntos de control.

El procesamiento de datos ya ha cambiado desde el centro de datos de una empresa a equipos distribuidos en todo el mundo. El paso lógico siguiente es mover las aplicaciones y los datos de la empresa desde dentro del firewall empresarial a un lugar donde se encuentren más cerca de los usuarios de negocios que los necesiten. Esto significa moverlos a la nube.

Para disfrutar de los beneficios de la computación en nube (cloud computing) sin la ansiedad que la acompaña, necesita establecer un control de acceso distribuido para que se adapte a las aplicaciones y al contenido distribuidos. Aquí mostraremos los pasos que debe realizar para garantizar la confiabilidad y el control a medida que sus datos y aplicaciones van más allá del perímetro de la empresa.

Asegure su arquitectura de nube: Paso a paso

1. Establezca una arquitectura orientada a servicios(SOA) para garantizar que puede reubicar cada componente con seguridad.
2. Centralice la administración de los datos y la implementación y actualizaciones de las aplicaciones.
3. Use la administración de identidad federada para asegurarse de que se conoce a cada usuario en cualquier punto de la nube.
4. Asigne roles y otros atributos a cada usuario para comprobar las notificaciones de acceso a datos.
5. Asigne reglas para el control de acceso de aplicaciones y datos que puedan moverse también a la nube.
6. Autorice el acceso a las aplicaciones y datos según las notificaciones de acceso de usuario comprobadas.

Arquitectura orientada a servicios

El primer paso para establecer una implementación de nube que no implique ansiedad es crear un diagrama que muestra el flujo de datos y aplicaciones. Para que el diseño esté orientado a los servicios, cada aplicación debe funcionar como un servicio al que los usuarios pueden obtener acceso, ya sea de manera local o en la nube. De manera similar a lo que ocurre con los datos, la ubicación de éstos no se debe especificar en la aplicación. Es necesario que configure esa ubicación cuando implemente la aplicación. En la figura 1 puede ver cómo los componentes del entorno de TI se relacionan con las aplicaciones y los datos que se originan en recursos locales o de la nube.

Figura 1 Una mirada a la arquitectura de flujos de datos y aplicaciones.

El equipo de desarrollo origina los ejecutables de la aplicación. Puede hacer que se apliquen directamente desde el proveedor, pero puede ejercer más control si primero lleva todo el código de la aplicación y todas las actualizaciones a la empresa y los distribuye desde ahí. Los datos migran desde la máquina cliente a almacenes de datos de la empresa o de la nube, que aparecen como servidores de SharePoint en la figura 1.

Cuando las aplicaciones obtienen acceso a los datos, esa acción recibe autorización de parte de mecanismos para el control de acceso locales de cada almacén de datos. La integridad de los ejecutables de aplicación y de los datos de la empresa necesita una consideración adicional, puesto que va más allá del perímetro de la empresa e ingresa a la nube. La situación de administración ideal y más flexible es cuando puede administrar recursos locales y de la nube como una entidad única que puede responder dinámicamente a las solicitudes de recursos.

Contabilidad para la nube

El primer paso en la justificación de cualquier implementación de nube es determinar la rentabilidad de la inversión. Normalmente, los costos se clasifican como la configuración o la conversión que incluye la puesta en servicio del aprendizaje y los servicios nuevos y el retiro de los servicios anteriores. La rentabilidad se expresa como el costo por mes reducido y el número de meses para recuperar la inversión. Un análisis más sofisticado incluye un análisis del flujo de efectivo con descuento, pero si la rentabilidad es menor que dos años, es posible que no agregue un valor real al proceso de toma de decisiones.

El valor real de las implementaciones de la nube proviene de beneficios intangibles, como una mejor capacidad de respuesta frente a las fluctuaciones en demanda de servicios y un mejor control de los costos. Considere estos tipos de costos desde la perspectiva del departamento de TI:

1. Los costos fijos normalmente provienen de inversiones en equipo de capital, como salas de máquinas y servidores. Normalmente, los costos se deprecian durante la duración del activo. Dicha depreciación se cargará al balance de ingresos cada mes sin importar cómo se usa el equipo.
2. Los costos variables dependen de la cantidad de servicio prestado e incluirán el costo de los bienes vendidos y cualquier tarifa que se cargue en base al uso de la nube, como el alquiler de equipo a corto plazo según la carga local. Este tipo de costo brinda al departamento de TI la mejor capacidad para vincular los costos con la prestación del servicio.
3. Los costos semivariables normalmente provienen de servicios prestados a empleados de tiempo completo u otros recursos más difíciles de escalar verticalmente hacia arriba o hacia abajo. En esta categoría, se encontrarán el alquiler de software o el aprovisionamiento de servicios de correo electrónico. La inercia subyacente al aprovisionamiento y al desaprovisionamiento de empleados provoca que este costo se retrase considerablemente en comparación con los cambios en la demanda de servicios.

Puede justificar el uso de los servicios de la nube respecto de los costos semivariables por motivos como la descarga de servicios de nómina a un proveedor dedicado. En la nómina, tal como ocurre en el correo electrónico, las reglas cambian con rapidez, y es necesario actualizar constantemente el software, y la experiencia profesional necesaria para realizar estas funciones tiene un alto costo. A pesar de que es más difícil justificar el aprovisionamiento de nube en base a los costos semivariables, es posible que los resultados sigan siendo positivos y puedan ayudar a que la TI se centre en la misión real de entregar valor a los productos de la empresa.

Cuatro pasos hacia una implementación de nube segura

La mayoría de los ejecutivos de TI piensa que la computación en nube es una manera de reducir los gastos capitales mediante el uso de la tecnología de virtualización. Muchos proveedores agregan la palabra “nube” a cualquier servicio de Internet. En lo que respecta a este artículo, usaremos la descripción de Gartner Inc. sobre cómo la nube se ha transformado en un elemento tan importante para el negocio: “la comoditización y la estandarización de tecnologías, en parte debido a la virtualización y al surgimiento de arquitecturas de software orientadas a los servicios y, lo que es más importante, al crecimiento considerable en la popularidad de Internet”. Esto tiene importancia en cuatro áreas específicas:

1. administración centralizada de datos, con SharePoint como ejemplo;
2. administración centralizada de aplicaciones, con Exchange como ejemplo;
3. administración de identidad federada, con los Servicios de federación de Active Directory (ADFS) como ejemplo;
4. ayuda adicional para realizar la migración a la nube;

administración centralizada de datos.

En 2007, Gartner comenzó a indicar a las conferencias sobre seguridad que era tiempo de abandonar el límite del perímetro reforzado entre la empresa e Internet. Incluso en ese tiempo, los expertos señalaban que los límites de una empresa ya eran permeables. Los perímetros habían llegado a ser irrelevantes respecto de la tarea de mantener lejos a los intrusos, por lo que se requería control de acceso con cada servicio de TI. La realidad actual es la “desperimetrización” de seguridad. Para que sea realmente segura, sólo el servidor que contiene los datos puede realizar el acceso de control en última instancia.

De todas maneras, no es racional administrar el acceso en cada servidor, porque muchas implementaciones contienen cientos e incluso miles de servidores. TI realmente no puede determinar las reglas de acceso y los derechos de datos. Sin embargo, TI puede establecer un sistema de administración de roles con el que los propietarios de una empresa pueden permitir o denegar el acceso pertinente a los objetivos del negocio.

El entorno reglamentario se ha puesto cada vez más estricto tanto para la modificación de los datos como para el acceso a estos. Esto requiere de un nuevo paradigma: uno que permita que los datos migren a cualquier servidor que sea más capaz de atender las solicitudes de acceso, a la vez que se garantiza el cumplimiento a un costo razonable. A continuación, aparecen algunos requisitos que se deben considerar para la administración de datos en un entorno de nube:

• Acceso rápido a los datos a los que el usuario está autorizado, y en el momento y el lugar en que sea necesario;
• Acceso no comprometido debido a una catástrofe natural o del negocio;
• Detección de datos a partir de solicitudes gubernamentales legales, suponiendo que la empresa pueda proveer los datos necesarios;
• La prevención de pérdida de datos (DLP) es una parte integral de la oferta de servicio;
• Una arquitectura orientada a servicios (SOA) debe permitir una migración de datos simple desde y hacia la nube;
• La identidad de los datos no debe incluir su ubicación física, para que así los datos se puedan mover con facilidad;
• Las etiquetas de ubicación para los datos deben ser el país de origen lógico y no la ubicación física de los datos;
• Las operaciones de recuperación y de copia de seguridad de los datos se deben basar en la identidad de éstos, no en su ubicación;
• El propietario de los datos de una empresa puede crear y mantener las reglas de acceso a los datos;
• Los auditores de cumplimiento pueden ver los permisos de acceso;
• La información confidencial puede tener controles de auditoría tanto respecto de la modificación como del acceso;
• La separación de las tareas evita que el mismo administrador modifique los datos y los registros de auditoría;
• Los Contratos de nivel de servicio (SLA) necesitan explicar en detalle las expectativas y responsabilidades de cada uno de los participantes.

Starbucks Corp. descubrió que el costo y el retraso de la distribución física (en papel) de los actuales análisis de negocios, precios y noticias no era rentable. Como resultado de eso, ahora su red de 16.000 ubicaciones es compatible con SharePoint. Ese sitio de SharePoint se ha convertido en un canal de comunicaciones crítico para el negocio, a través del cual los empleados pueden obtener información actualizada, con la posibilidad de buscar rápidamente la información que necesitan en el momento en que la necesitan.

El seguimiento de la disponibilidad y la confiabilidad se realiza con Microsoft System Center Operations Manager (SCOM) y otras herramientas de análisis. Como SharePoint es compatible con conexiones de redes internas y externas, las ubicaciones del servidor pueden adaptarse a la topología de red actual sin importar si son entornos locales, de nube o combinados. Esta implementación ha permitido que Starbucks obtenga los beneficios siguientes:

• Capacidad para respaldar las necesidades de capacidad y crecimiento del almacén al mejorar la estabilidad del sistema con herramientas eficaces para la supervisión y la generación de informes;
• Permitir que los socios de la tienda trabajen de manera más eficiente y eficaz con una interfaz de portal intuitiva y un acceso fácil a la información en toda la empresa;
• Mantener la seguridad de los datos con una funcionalidad mejorada para la privacidad y la administración de los documentos;
• Alinear las prioridades de la tienda con los objetivos de la compañía al integrar informes de crecimiento y tendencias con las comunicaciones de los socios.

Protección de la integridad

Se debe evitar que cualquier almacén de datos se convierta en un vector infeccioso de virus o spyware. Ciertos tipos de datos, como los archivos ejecutables, comprimidos o cifrados, se pueden bloquear según diversas consideraciones respecto de la integridad y el cumplimiento. David Tesar, empleado de Microsoft, escribió en su blog sobre algunas de las razones empresariales para proteger SharePoint usando Forefront Protection 2010 para SharePoint, que se lanzó en mayo de 2010.

Detección y protección frente a la pérdida de datos

Para garantizar una protección completa, es necesario separar los datos de un cliente de los datos de otro cliente. Se deben almacenar de manera segura cuando se encuentren “en reposo" y debe ser posible moverlos sin problemas de una ubicación a otra (seguridad "en movimiento"). Los administradores de TI deben garantizar que los proveedores de la nube tienen implementados sistemas para evitar fugas de datos o acceso por parte de terceros. Esto debe formar parte de un SLA. La separación adecuada de las tareas debe garantizar que los usuarios no autorizados no puedan anular las auditorías y/o la supervisión, incluso si son usuarios "privilegiados" en el proveedor de nube. La figura 2 muestra las diversas transiciones de datos que son vulnerables a un ataque externo.

Figura 2 Las relaciones de los datos y transiciones de confianza

Los nuevos puntos de ataque contra equipos de escritorio y servidores de la empresa a través de Internet o de medios físicos incluyen:

1. Transferencias de datos desde la empresa a la nube, perdiendo información de autorización durante el tránsito;
2. La nube obtiene acceso a los servicios de SharePoint en la nube que no cuentan con protección de la empresa;
3. Fuga de datos privados o fuga de datos de la información de autorización de parte de proveedores de identificadores externos.

A medida que aumenta la cantidad de datos, el tiempo para filtrarlos o el costo para aumentar la capacidad de almacenamiento puede ser considerable. La palabra clave de datos y el filtrado de archivos disponibles en Forefront Protection 2010 para SharePoint le permiten controlar el tipo de datos que autoriza en el servidor de SharePoint y proporcionar informes sobre los tipos de archivos que están presentes. Esta funcionalidad puede reducir costos, debido a que no requiere una capacidad de almacenamiento adicional y a que ayuda a evitar fugas de datos.

Por ejemplo, si tiene un servidor de SharePoint de acceso público en su empresa, puede habilitar el filtrado de archivos por palabra clave para evitar dentro de los archivos cualquier contenido con las palabras “confidencial” o “sólo interno”. Incluso puede especificar el umbral que establece cuántas veces pueden aparecer estas palabras antes de rechazar su publicación.

Rights Management Services (RMS) también es una adición eficaz a su estrategia de defensa en profundidad que protege los documentos mismos independientemente de dónde se almacenan o descargan. La mayor parte de las aplicaciones comerciales no requiere este nivel de protección, pero puede ser útil para algunos documentos especialmente confidenciales, como planes financieros o de adquisición antes del lanzamiento público. Desde el lanzamiento de Windows Server 2008, , RMS es un rol en Active Directory.

Se requerirá una pista de auditoría completa para realizar cualquier investigación forense, lo que genera una gran cantidad de datos. Puede habilitar Servicios de recopilación de auditorías (ACS), un complemento para SCOM, en los recursos de alto riesgo para extraer todos los registros de auditoría a medida que se generan y ponerlos en una ubicación central, a fin de realizar un análisis y almacenamiento seguros. Esta configuración evitará que los atacantes alteren los datos forenses, incluso si cuentan con altos privilegios.

La flecha “Confianza” que aparece en la figura 2 indica este importante flujo de información de autorización y autenticación, que se analiza más adelante en este artículo en la sección “Administración de identidad federada”.

Administración centralizada de datos de atención de salud

Dentro de los actores importantes que rivalizan por obtener una parte del mercado de la información médica se encuentran Microsoft Health Vault y Dossia. Dossia, una infraestructura independiente sin fines de lucro que fue creada por uno de los mayores empleadores de los Estados Unidos, recopila y almacena información para generar registros de salud de por vida.

El Presidente Obama elevó las expectativas respecto de obtener beneficios a partir de datos centralizados para la atención de salud en Estados Unidos, en términos de disminuir los costos y mejorar la investigación. Con la Ley de transferencia y responsabilidad de seguros de salud (HIPAA), existe también una enorme presión respecto de proteger la privacidad del paciente. La información médica es confidencial y tiene un gran impacto que puede cambiar la vida de las personas si, por ejemplo, se usa para tomar decisiones relacionadas con el empleo.

Ya han surgido cuestionamientos respecto del uso de marcadores genéticos en las decisiones relacionadas con el empleo. El Congreso se hizo cargo de esos cuestionamientos en la Ley de no discriminación por la información genética. Durante los próximos años, se verá un aumento en la tensión entre la contención de los costos y la privacidad, a medida que los proveedores de servicios de la nube intenten evitar los peligros que esto implica.

A pesar de que los empleadores tienen un incentivo para reducir los costos de la atención médica, es importante comprender el modelo de seguridad: ¿quién recopila los datos? ¿cómo se usan? ¿quién tiene acceso a ellos? y ¿cuáles son los riesgos de recopilar y compartir los datos? Una pregunta interesante dentro del contexto de la computación en nube es saber quién es el responsable en caso de que surja un problema. ¿Quién custodia el registro y qué ocurre si hay una importante infracción o uso indebido de los datos? A medida que información confidencial, como los registros médicos, se traslada a la nube, ciertamente aumentarán las preocupaciones respecto de la seguridad.

Administración centralizada de aplicaciones

Las aplicaciones de hospedaje web han sido externalizadas por al menos una década. Durante ese tiempo, Akamai ha hospedado un porcentaje cada vez más grande de archivos urgentes para encargados de sitios web en todo el mundo. Además, el programador Dave Winer trabajó junto con Microsoft para crear el precursor de los servicios web que han proliferado hasta convertirse en la amplia variedad de estándares WS-* disponibles en la actualidad.

Las aplicaciones basadas en web han crecido en importancia a un ritmo constante, hasta alcanzar el punto donde se hace necesario un nombre nuevo para la combinación de interfaces de servicio de Internet estandarizadas y de orientación en los servicios. De ahí surge el término "computación en nube" (cloud computing). Lo nuevo y distinto hoy, respecto de 10 años atrás, es la atención que se le da al valor disponible a un costo marginal razonable. Una compañía ya no necesita desarrollar pericia profesional en Exchange para obtener el beneficio de los servicios de Exchange, puesto que ahora existen diversos proveedores que compiten por prestar ese servicio.

Para lograr un servicio que permita migrar fácilmente de una ubicación local a la nube y viceversa, la aplicación necesita proporcionar un conjunto de interfaces estándar orientadas a los servicios para usar tanto de manera local como en la nube. Es por esta razón que una aplicación de nube inicialmente se llamaba "software como servicio. Los estándares de interfaz de servicio de aplicación más adoptados son los protocolos WS-* ya mencionados. Cuando una aplicación comercial pasa por una revisión, es buen momento para incluir tiempo de revisar las especificaciones de la interfaz de la aplicación a fin de ver si pueden ajustarse a alguno de los estándares de servicios web existentes.

Todas las notificaciones de autorización y la identidad de autenticación deben ser compartidas por todos los recursos, ya sean locales o de la nube. Con el tiempo, todas las aplicaciones podrán migrar a la configuración regional más eficiente para cumplir con las expectativas de sus clientes. En ese punto, mover una aplicación no es más que cambiar una entrada de directorio para la aplicación. El aprovisionamiento de recursos es sólo una funcionalidad base del proveedor de servicios seleccionado. La nube proporciona una vista virtualizada de los recursos similar a un equipo único, que nunca está inactivo para realizar mantenimiento, pero en realidad podría hospedarse en muchas máquinas o compartirse en una sola, según lo requiera la demanda.

Todo proveedor de aplicaciones necesita garantizar que no se convertirá en un vector infeccioso de malware. Los proveedores de correo electrónico resultan ser vectores especialmente atractivos para la distribución de malware, pero es posible que se realicen ataques a través de cualquier canal que tenga un componente público. Forefront Protection 2010 para Exchange ofrece a los usuarios de aplicaciones hospedadas en la nube la confianza de que ningún otro cliente pondrá en riesgo los servicios de los cuales dependen. Todos los ejecutables se revisan antes de poder cargarlos en los servidores y en los equipos cliente.

Administración de identidad federada

Actualmente, la identidad en línea tiene dos manifestaciones principales:

1. El gobierno o las empresas insisten en establecer un fuerte enlace entre la identidad humana y la identidad en línea. Prueba de dicha afirmación es el surgimiento de pasaportes que pueda leer una máquina y de tarjetas inteligentes emitidas por el gobierno. Active Directory es uno de los ejemplos de este tipo de compatibilidad.
2. Los proveedores de identificadores en línea proporcionan una identidad coherente que se usa para crear un perfil a fin de predecir el comportamiento futuro. Las operaciones de Windows Live ID en Internet con pruebas Turing simples (como CAPCHA) comprueban que una persona es quien solicita la cuenta. Un ejemplo más simple es un código de comprobación que se envía a una cuenta de correo electrónico de Internet.

Según la aplicación, es posible proporcionar uno o ambos tipos de identidad al servicio de la nube para así obtener la autorización para tener acceso a los datos. Cada empresa tendrá su propio sistema de administración de identidad para controlar el acceso a la información y a los recursos informáticos. Esa identidad debe tener el mismo peso para obtener autorización a fin de ejecutar aplicaciones en la nube.

Los proveedores de identidad externos normalmente sólo comprobarán a los clientes u otros usuarios casuales. Por lo tanto, el sistema de identidad en la nube necesita hacer seguimiento del propietario de cada identidad y del nivel de garantía dada a esa identidad. La coexistencia de servicios en entornos locales y de la nube sólo puede darse cuando se usa la misma interfaz de identidad de servicio estándar para la autorización en ambos entornos.

Sólo algunas empresas estarán interesadas en crear su propio servicio de nube privado. Para hacerlo, la solución de identidad de la nube deberá funcionar en todas las divisiones y adquisiciones. A pesar de que es posible que un servicio de la nube cree su propio proveedor de identidad, dicha solución de propiedad lo dejaría afuera de nuestra definición de un verdadero servicio de nube.

Para estos casos se necesitaría una puerta de enlace de federación desde cada servicio de nube para vincular la identidad externa con un administrador de identidad interno, como Forefront Identity Manager, para brindar un proveedor de autorización limpio y rápido a cada recurso de nube completamente independiente del proveedor de identidad original. Los proveedores de identidad deben crear una lista de todos los orígenes de identidad conocidos para autorizar el acceso a los recursos a fin de asegurarse de que cualquier proveedor de servicios de nube puede ajustarse a todos ellos.

Uso de la identidad federada

Tal como lo informó en el blog de Forefront, Thomson Reuters pudo proporcionar acceso de inicio de sesión único (SSO) a su administración de tesorería Treasura y a los servicios de nube relacionados. La empresa usó la administración de identidad federada basada en ADFS 2.0 a partir de la identidad de inicio de sesión corporativa de sus clientes sin tener que volver a iniciar sesión para obtener acceso a los productos de Thomson Reuters.

Entre los diversos proveedores de identidad compatibles con Treasura se encuentran Sun OpenSSO y Microsoft Active Directory. Como Windows Identity Foundation ofrece a sus desarrolladores de aplicaciones las mismas herramientas de desarrollo familiares de Windows para brindar SSO sin tener que escribir un código de autenticación personalizado, Thomson Reuters espera ahorrar, en promedio, unos tres meses de tiempo de desarrollo.

El enfoque más simple frente a la autenticación de nube es exponer el acceso sólo a través del propio proveedor de identidad de la empresa. Ese enfoque funciona siempre que cualquier usuario que esté realizando seguimiento se limite al uso del proveedor de identidad de la empresa. Tan pronto los clientes u otros asociados necesiten obtener acceso controlado a los datos o aplicaciones de la nube, la empresa necesitará un origen heterogéneo de identidad de usuario. A veces la identidad será segura (como es el caso de las tarjetas inteligentes de identidad nacional), pero en otros sólo proporcionará continuidad, como en el caso de Windows Live Identity (también llamado Passport).

La aplicación de extremos y los servidores de datos deberán conocer el origen y la confiabilidad de la identidad presentada en dichos entornos heterogéneos antes de autorizar el acceso. Por ejemplo, de esta manera es posible proteger la información crítica para el negocio con el propio Active Directory de la empresa, mientras que el proveedor de identidad externo se puede usar para hacer seguimiento del comportamiento del cliente durante un período amplio.

ADFS es parte de la plataforma de identidad y seguridad de Microsoft y también parte de su entorno operativo de nube Windows Azure. ADFS, un componente de Windows Server, ofrece tecnologías de SSO web para autenticar un usuario en varias aplicaciones web.

ADFS 2.0 está diseñado para permitir que los usuarios empleen SSO en aplicaciones locales y hospedadas en la nube. Esto da a Microsoft Online Services la capacidad de autenticar con identificadores corporativos de Active Directory o con Windows Live ID. De todas maneras, los administradores de la nube seguirán necesitando un identificador independiente para esa funcionalidad. A ADFS 2.0, junto con Windows Identity Foundation, se le ha conocido por su nombre de código “Geneva”.

Ayuda para la migración a la nube

Hay diversas maneras para obtener ayuda cuando su organización se prepara para migrar a la nube, incluido soporte técnico del proveedor, servicios de seguridad, disponibilidad, seguridad de las aplicaciones, elasticidad, administración, privacidad y servicios de nube privados:

• Soporte técnico del proveedor: las empresas que se especializan en seguridad empresarial cuentan con la pericia profesional para evaluar las numerosas preocupaciones nuevas que surgen cuando las compañías migran a servicios de computación en nube. Todo experto en seguridad de nube calificado podrá crear listas de comprobación y plantillas que las empresas podrán usar en el momento de implementar servicios nuevos. Asegúrese de crear una lista de requisitos para cualquier proveedor, que incluya el desarrollo de SOA para abordar las necesidades de seguridad específicas para la empresa. Es importante que los proveedores cuenten con experiencia profesional en el ámbito de la seguridad, así como también en la implementación de soluciones seguras en entornos reales. La experiencia específica con proveedores de nube importantes, como Microsoft, Google Inc. y Amazon.com Inc. se traducirá en un plan que puede ayudar a garantizar el éxito.
• Seguridad física y del personal: los proveedores deben garantizar que las máquinas físicas estén correctamente protegidas. También deben garantizar que el acceso a estas máquinas, así como también a todos los datos de cliente, no sólo se restringe, sino que también se documenta. La Contraloría General de EE. UU. ha publicado un documento sobre el “Conocimiento de proveedores de software necesario para administrar riesgos” para defender las adquisiciones que debiera entregar orientación incluso a empresas comerciales.
• Disponibilidad del servicio: los proveedores de nube deben asegurar a los clientes que tendrán acceso regular y predecible a sus datos y aplicaciones. Para los equipos de TI, esto implica una capacidad de “escalar hacia arriba” cuando crezca la demanda y de “escalar hacia abajo” cuando disminuya, para así generar un recurso informático elástico rentable.
• Seguridad de aplicaciones: los proveedores de nube garantizan que las aplicaciones disponibles como servicio a través de la nube son seguras, al implementar procedimientos de pruebas y aceptación para código de aplicación externalizado o empaquetado. También requieren implementar medidas para la seguridad de aplicaciones (firewall a nivel de aplicación y auditoría de la base de datos) en el entorno de producción.
• Computación elástica: Dustin Owens, en la edición de junio de 2010 de Communications of the ACM señala que la elasticidad es “la verdadera joya de la computación en nube y es lo que hace que el concepto entero sea extraordinariamente evolutivo, si no revolucionario”. El Instituto Nacional de Normas y Tecnologías (NIST) captura esta importante característica en su definición de la computación en nube (V15): “La computación en nube es un modelo que permite obtener acceso a la red, a petición y de manera conveniente, a un grupo compartido de recursos informáticos configurables (como redes, servidores, almacenamiento, aplicaciones y servicios) que se pueden implementar rápidamente y lanzar con un mínimo de esfuerzo de administración o de interacción del proveedor del servicio”.
• Administración: las versiones más recientes de las herramientas de administración pueden estrechar la brecha entre las aplicaciones y los datos compartidos entre los recursos locales y de la nube. Esta capacidad sólo es eficaz cuando puede ir de la empresa a la nube. Por ejemplo, la versión siguiente de System Center Configuration Manager será compatible con “varios tipos de dispositivo” y permitirá que los usuarios “obtengan acceso fácilmente a sus datos desde prácticamente cualquier lugar, a través de varios tipos de dispositivo mientras se brinda a la TI herramientas de administración unificadas y de control centralizado”, según una nueva publicación en el blog del equipo de System Center.
• Privacidad: finalmente, los proveedores garantizan que todos los datos críticos (por ejemplo, números de tarjeta de crédito) se enmascaran y que sólo usuarios autorizados tienen acceso a los datos en su totalidad. Además, se deben proteger las identidades y credenciales digitales, tal como cualquier dato que el proveedor recopile o genere sobre la actividad del cliente en la nube.

Nubes privadas

Muchos gobiernos han promulgado leyes, reglamentaciones y programas de certificación que apuntan a proteger la privacidad de sus ciudadanos y sus intereses nacionales. El resultado ha sido el uso limitado de nubes públicas para muchas aplicaciones que controlan datos protegidos por estas reglamentaciones.

Por ejemplo, las certificaciones de organismos nacionales, como el proyecto de implementación de la Ley Federal de Administración de Seguridad de la Información (FISMA) ejecutado por NIST, tendrán que seguir considerándose, además de otros requisitos de cumplimiento. En respuesta a esto, algunos proveedores de servicios de nube crean nubes dedicadas para el uso de organismos federales de los Estados Unidos u otros organismos gubernamentales para que la comprobación del cumplimiento sea más fácil.

Debido a las nevazones ocurridas durante el invierno de 2010, incluso el gobierno federal de los Estados Unidos tuvo desactivados sus sistemas en Washington, DC. Así, repentinamente, la idea de contar con una operación continua de los servicios gubernamentales desde casa o desde sitios remotos ya no es tan impensada. El riesgo de liberar grandes cantidades de información privada sirve como contrapeso para retener la exposición de más datos en Internet, en un momento en que la tendencia actual dicta limitar la exposición del gobierno federal.

Como otro ejemplo, los gobiernos locales, como el gobierno de la ciudad de Newark, en Nueva Jersey, tienen más libertad para encontrar soluciones rentables que no requieren gastos capitales considerables para hacer que los funcionarios de la ciudad sean más productivos con un conjunto común de herramientas y una colaboración simple. Michael Greene, CIO de la ciudad de Newark, señala que "En Newark, nos hemos centrado en garantizar que nuestros programas de modernización de TI y de ahorro de costo superan los objetivos generales del alcalde en términos de la renovación del gobierno”.

Diversos fabricantes de software independientes han optado por hacer que sus ofertas se encuentren disponibles en plataformas de nube, como Windows Azure. Esto ya proporciona credibilidad a los organismos gubernamentales. Ahora bien, la nube de Windows Azure se ha convertido en una plataforma de aplicaciones que beneficia tanto a la comunidad de desarrolladores como a los usuarios gubernamentales de nubes dedicadas.

Dan Griffines consultor de seguridad de software en Seattle. Puede ponerse en contacto con él en www.jwsecure.com

Tom Joneses arquitecto de software y autor especializado en la seguridad, confiabilidad y capacidad de uso para las soluciones de red en empresas financieras y otras empresas críticas basadas en la nube. Sus innovaciones en términos de la seguridad abarcan un rango que va desde la integridad obligatoria hasta el cifrado de módems. Puede ponerse en contacto con él entom@jwsecure.com.

Contenido relacionado

• Seguridad de nube: Administración de la nube con Windows Intune
• Computación en nube: por dónde comenzar cuando ya ha comenzado
• Informes de cumplimiento: primer paso en el control de acceso de nube de cliente