El desarrollo de
Internet y la virtualización de los Sistemas operativos ha propiciado el
crecimiento de servicios entre empresas que proporcionan la utilización de
'software' y servidores en entornos distribuidos y escalables denominando este
tipo de arquitectura con el nombre de 'Cloud Computing'.
Esto proporciona
muchas ventajas a la hora de iniciar un nuevo servicio, ya que garantiza la
rapidez en la puesta en marcha y el crecimiento de los Sistemas sin tener que
invertir lo ya invertido, pagando en todo momento exclusivamente por el uso que
se realiza del mismo.
Para poder entender
un poco mejor las medidas de seguridad que han de adoptarse en este tipo de
entornos, es conveniente conocer, a grandes rasgos, los distintos tipos de
arquitectura y servicios que se pueden ofrecer.
TIPOS DE 'CLOUDS'
En función del lugar
de almacenamiento, se han definido tres tipos de 'Clouds' (nubes): privada,
pública e híbrida.
La 'Cloud' Privada
consiste en que los recursos suelen estar alojados en una red privada a nivel
local o en un proveedor de servicios externo, que usa exclusivamente una
empresa u organización. Este tipo de nubes son utilizadas por entidades
bancarias y gubernamentales.
En la 'Cloud'
pública, por su parte, los recursos se encuentran alojados externamente en el
proveedor de servicios, que puede compartir recursos con otras empresas u
organizaciones que lo soliciten.
Este tipo de nubes
son las ofrecidas por proveedores como Amazon, Microsoft, entre otras
compañías. Para la implementación de este tipo de nubes, se utilizan
herramientas propias del proveedor como podrían ser AWS de Amazón, Azure de
Microsoft, Softlayer de IBM, que gestiona el proveedor o el propio cliente.
También está la
'Cloud' híbrida, una mezcla de ambos tipos de nubes, donde hay recursos locales
y externos que configuran la arquitectura final del entorno.
Para la
implementación tanto de nubes privadas como híbridas, suele emplearse
'software' como VMWare, Hyper-V o 'software' libre de código abierto, como
OpenStack, que permite vincular los recursos de almacenamiento a los entornos
virtuales, y ofrece una amplia escalabilidad.
MODALIDADES DEL SERVICIO
'CLOUD'
A la hora de
contratar los servicios en 'Cloud', también hay que tener en cuenta otras
consideraciones en relación a las modalidades del tipo de servicio contratado.
Éstas se clasifican en tres:
'Software as a
Service' ('SaaS'), el 'software' como un servicio, suele ser el más utilizado.
Consiste en que el 'software' permanece alojado en el servidor del proveedor y
el cliente accede al mismo a través de un navegador web.
El mantenimiento,
soporte y disponibilidad es gestionado por el proveedor. Un ejemplo de este
tipo de servicio podría ser la utilización del correo electrónico tipo Gmail.
'Platform as a
Service' ('PaaS'), plataforma como servicio, consiste en que el proveedor
ofrece acceso a un entorno basado en la nube en el cual los usuarios pueden
crear y distribuir sus propias aplicaciones. El proveedor proporciona la
infraestructura subyacente.
También se encuentra
la modalidad 'Infrastructure as a Service' ('IaaS'), infraestructura como
servicio, en cuyo caso, un proveedor de servicios proporciona el 'software' y
las aplicaciones a través de Internet. Los usuarios se suscriben al 'software'
y acceden a él a través de la web o las API del proveedor.
PRINCIPALES AMENAZAS
EN EL ENTORNO 'CLOUD'
Existe una
organización internacional sin ánimo de lucro que es la Cloud Securitty
Alliance que se dedica a promover el uso de las mejores prácticas para
garantizar la seguridad en 'Cloud'.
Esta organización
recoge entre sus amenazas una interfaz de programación y API poco seguros. Una
API (de las siglas en inglés Application Programming Interface) permite la
comunicación entre varios servicios o aplicaciones mediante la programación.
Una implementación
insegura, que permita el acceso a la misma desde elementos remotos, puede
ofrecer el acceso a nuestra nube y datos por parte de terceros no autorizados.
También supone una
amenaza el factor humano. La amenaza que suponen los propios usuarios, es una
de las más importantes, con lo que se recomienda incorporar cláusulas de
confidencialidad en los contratos laborales, así como determinar una correcta
gestión de altas y bajas de usuarios, además de que existan unos procesos
correctos de notificación de acceso. Todo esto debe de estar soportado con
revisiones periódicas del uso de los usuarios hacia los sistemas.
Respecto al
'hardware' compartido, en algunos casos, los proveedores de 'cloud computing'
emplean los mismos servidores físicos para prestar servicio a múltiples
clientes a través de la virtualización.
El hecho de compartir
la misma máquina implica que el acceso a la misma o a uno de los servidores
virtuales podría facilitar la entrada a todos los recursos presentes. Es por
este motivo que los entornos deben de estar debidamente protegidos en éste
sentido.
Otra amenaza son los
secuestros de sesión. En este caso, se ha de evitar que un atacante pueda
obtener las credenciales de un entorno, con lo que se aconseja aplicar técnicas
de autenticación de doble factor siempre que sea posible y monitorizar las
sesiones en búsqueda de actividades inusuales.
En cuanto a los
sistemas de copias de seguridad y restauración, tiene que establecerse con el
proveedor una correcta estrategia de salvaguarda de la información, ya que una
posible eventualidad podría generar problemas en la disponibilidad del servicio
o pérdida de información.
Las hay que prestar
atención a las actualizaciones. Al tratarse de entornos 'software', es
importante que los sistemas se actualicen con las últimas versiones que hayan
sido validadas como correctas, para evitar ataques apoyados en posibles
vulnerabilidades.
Los problemas físicos
también suponen amenazas. En este caso, es importante que el proveedor de
servicios ofrezca las garantías suficientes frente a cualquier tipo de
contingencia como incendio, robo, e inundación, ya que en el fondo hay una
infraestructura física que está soportando la arquitectura.
Sobre los problemas
de cumplimiento, al tratarse de un servicio en el cual estará alojada todo tipo
de información, en relación a información con datos de carácter personal,
debemos asegurarnos de que el proveedor cumple con todos los requisitos
exigidos por la normativa solicitándole un certificado de cumplimiento, que
garantice que ue el lugar donde se alojan los datos se encuentren en país con
que forme parte de un marco seguro como la Unión Europea o Estados Unidos.
También tiene que
garantizarse que el proveedor esté adscrito al 'Privacy Shield', un contrato
marco entre empresas que intercambian información entre Europa y Estados Unidos
que garantiza que se realiza dentro de un ámbito que garantiza la seguridad y
los derechos de los usuarios.
Una de las novedades
del nuevo Reglamento General de Protección de Datos (RGPD) europeo tiene que
ver con la portabilidad de los datos. Esto implica que en caso de que lo
necesitáramos, deberíamos de poder cambiar de proveedor sin ningún tipo de
problema pudiéndonos llevar los servicios contratados a cualquier otro entorno.
Fuente: Europa Press