Seleccionar página

La seguridad en la nube es una de las mayores preocupaciones que tienen las empresas en la adopción al cloud. A pesar de todas las ventajas que ofrece la nube como la capacidad que nos ofrece, la agilidad en el lanzamiento de procesos, o la robustez en la ejecución de servicios no son suficientes motivos para adoptar la tecnología cloud. Y la verdad, es que tienen razón, deben estar preocupados por la seguridad. La adopción a la nube no debe tomarse a la ligera para ninguna empresa y si se va a plantear su adopción contar con los profesionales adecuados para que les ayuden a ello.

En el momento de la adopción al cloud deben realizarse muchas preguntas aunque la principal es la siguiente ¿Cuál es el modelo de seguridad a implantar? Tenemos tres opciones:

  • La gestión de la seguridad se realizará mediante los sistemas corporativos ya existentes. Se creará un túnel punto a punto con el proveedor cloud y el sistema de seguridad corporativo será el empleado en el entorno cloud.
  • La gestión de seguridad será realizada empleando los medios ofrecidos por el proveedor cloud.
  • La gestión de la seguridad se realizará mediante herramientas de terceros que se implantarán en el entorno cloud.

En las dos últimas opciones habrá un modelo de seguridad para el entorno cloud independiente del entorno corporativo. La primera es la más ágil, pero en caso de brecha de seguridad puede poner en riesgo todo el entorno corporativo. No hay ninguna opción mejor qué otra, cada una tiene sus ventajas y sus desventajas. Pero siempre hay que tener en cuenta cada una de las opciones y sus características antes de seleccionar una u otra.

El siguiente punto a tener en cuenta en la migración es si nuestra aplicación va a tener que ser modificada para ser ejecutada en el cloud y como se va integrar con los sistemas de seguridad que vamos a emplear. Empleando las soluciones que ofrece nuestro proveedor cloud es la mejor opción para integrar con nuestra aplicación ya que la encriptación de tráfico, o el almacenamiento de los mismos, así como fugas de memoria que puedan haber será delegado al proveedor cloud. Esto nos permite centrarnos únicamente en nuestra aplicación y delegamos completamente esa funcionalidad. Esta es la opción más recomendada porque la aplicación de actualizaciones, seguimientos y posibles bugs serán delegados a tu proveedor. Sin embargo es la opción más costosa y lenta de implementar. La adopción del sistema de seguridad puede ser combinado con las otras tres opciones anteriores. Por lo que nos ofrece 6 opciones posibles.

El rediseño de nuestro modelo de seguridad en cloud nos ofrece los siguientes puntos a tener en cuenta:

  1. Identity and Access Management. Los servicios IAM nos ofrecen sistemas  de identificación, almacenamiento y comprobación de credenciales. Este servicio puede ser integrado con nuestros sistemas, tanto en nubes públicas, como en entornos híbridos. El uso de los servicios IAM deben ser auditados. La adopción de estos sistemas de manera nativa ayuda a fortalecer los servicios que se desplieguen.
  2. Datos. La encriptación en el mundo cloud debe ser un estándar de uso. Actualmente todo proveedor cloud que se precie debe ofrecer la encriptación de todos los datos almacenados en sus servicios. Es obligatorio usar sus métodos de encriptación o habilitar unos propios.
  3. Seguridad perimetral. Servicios como firewalls, web application firewalls, NAT gateways deben ser empleados para reforzar la seguridad de los servicios desplegados en la nube.
  4. Aplicaciones. Los proveedores cloud deben proveedor servicios para la auditoria y el gobierno de los elementos que componen la plataforma cloud. Estas aplicaciones son muy útiles para localizar problemas de seguridad.
  5. Monitorización de aplicaciones. Es fundamental tener herramientas de monitorización de la carga de nuestros servicios cloud para la comprobación del estado de salud de los mismos. La integración de estos servicios de monitorización con el entorno on-premise es un valor añadido para tener un único punto de gestión de monitores.
  6. Puntos de acceso a servidores internos. Los puntos de acceso a servidores internos deben emplear métodos de seguridad reforzada. Es común ver cómo se acceder a servidores alojados en proveedores cloud empleando puntos de acceso públicos que pueden ser accesibles por cualquier persona. Importante que el acceso administrativo sea privado.
  7. Usuarios y puntos de acceso. Monitorizar y controlar el acceso a servicios por parte de los usuarios contra la prevención de pérdida de datos, protección contra virus y malware.
  8. Normas regulatorias. El cumplimiento de las normas comunitarias sobre la protección de datos, como la nueva norma europea debe ser cumplida por el proveedor cloud. Esta regulación ofrece un paraguas de protección ante cualquier empresa, pero sobre todo con aquellas que trabajan con datos sensibles, como financieras, o de la salud.

Otro punto a tener en cuenta en la parte de seguridad cloud es cuál es la responsabilidad sobre seguridad de tu proveedor, y cuándo comienza la tuya. Los proveedores cloud ofrecen servicios muy específicos y un mal uso de ellos puede desencadenar en un problema de seguridad. También una negligencia del proveedor puede desencadenar en un fallo que ponga información sensible, o los propios sistemas a disposición de terceros. Este reparto de responsabilidades concernientes a la seguridad deben quedar muy claros y delimitados. Los proveedores cloud deben dejar claramente delimitados sus obligaciones y responsabilidades en documentos públicos. Además deben contar con los siguientes puntos:

  • Transparencia en controles y procesos. El proveedor cloud debe ofrecer total transparencia en sus controles y procesos, así como mantener informado en todo momento al cliente de actuaciones y cambios que se van a producir en su plataforma. También tienen que auditar la seguridad y permitir penetration testing.
  • Soporte a regulaciones. Deben cumplir los estándar de seguridad y calidad necesarios para estar en línea con la legislación vigente. Incluso ir por delante de ella.
  • Monitorización y respuesta de operaciones. Las compañías cloud deben proveedor sistemas de seguimiento de registros y auditoría de los eventos que ocurren en la plataforma. Así como gestión de alertas y seguimiento de las mismas.
  • Capacidades IAM Multicloud. El mundo cloud no tiene que estar abierto a un único proveedor, emplear un sistema donde puedan integrarse diferentes proveedores desde un mismo sistema de gestión de identidades proporciona una versatilidad increíble para el despliegue de procesos en diferentes nubes.

El DevOps es un concepto muy arraigado al cloud debido a la potencia y versatilidad que ofrece administrar recursos mediante sistemas software. La automatización de despliegues ha sido una revolución para conseguir objetivos que antes tardaban días a conseguirlos en minutos. Sin embargo la automatización de la gestión de los servicios cloud ha creado un nuevo rol llamado SevDevOps. Este nuevo paradigma entiende que esta nuevas características tienen que tener en cuenta la seguridad en sus despliegues. Todo esto tiene que tenerse en cuenta desde la perspectiva del diseño del modelo de seguridad desde los orígenes para permitir una adopción simple en la automatización de servicios cloud. Ya no sólo es necesario desplegar rápido y eficientemente, sino de una manera seguro y adoptando las máximas garantías sobre nuestros datos.

Si te has planteado subir a la nube antes de nada debería tener en cuenta los siguientes puntos:

  1. Qué procesos quieres migrar. No es lo mismo la ejecución de proceso interno, que la web corporativa, el ERP o un eCommerce. Estudiar los requerimientos de seguridad en cada caso es fundamental.
  2. Elegir el proveedor que se adapte a nuestros requerimientos de seguridad corporativos. Es necesario estudiar cuáles son nuestras necesidades referentes a seguridad y elegir al proveedor que se alinea con las nuestras.
  3. Evaluar cambios de arquitectura en nuestras aplicaciones. Subir al cloud no es sólo mover la aplicación, debería llevar algunos cambios en nuestro aplicativo para que se amolde a los sistemas de seguridad del proveedor.
  4. Evaluar el nivel de seguridad para cada carga de trabajo. El uso de identificación por usuario/contraseña, o uso de dispositivos multi-factor, o de terceras partes para cada proceso que se ejecutará en el cloud.
  5. Decidir qué solución de seguridad va a emplearse en cada uno de los 8 puntos a tener en cuenta. Seleccionar qué estrategia o herramienta emplear es fundamental. Será una herramienta suministrada por nuestro proveedor o bien por un tercero.
  6. Implementar los controles necesarios e integración con soluciones existentes. Las necesidades de cada empresa son diferentes y es necesaria una transparencia clara por parte del proveedor para conocer todas la herramientas de terceros compatibles.
  7. Desarrollo de una vista donde los controles de acceso puedan ser estandarizados y controlados. Es necesario realizar un estudio para identificar qué procesos pueden ser estándar que pueden ser automatizados. El control de procesos automatizados simplifica la administración y la gestión de seguridad.
  8. Priorizar el primer conjunto de controles a implementar. Los controles pueden priorizarse en función de las aplicaciones que la organización quiere migrar y que modelo de seguridad considera implementar.
  9. Implementar controles y modelo de gobierno. Para procesos que son estándar y pueden ser automatizados la compañía debe crear las rutinas necesarias para implementarlos bajo premisas de seguridad en DevOps.
  10. Usar la experiencia para mejorar. La experiencia en la implantación de un modelo de seguridad debe enseñarnos a dirigir los siguientes pasos hacia su mejora.

Dar el paso a la nube es una elección de éxito segura, sin embargo es necesario tener en cuenta aquellas medidas de seguridad que garantizarán que este cambio se realice de una manera adecuada y que no afecte a la integridad de los datos y procesos que la nube aloja. Siempre contar con un profesionales a la hora de decidir que estrategia o diseño es el más adecuado en cada caso.