Cuando se trata de la adopción empresarial de la computación en la nube,
los números hablan por sí mismos. El gasto en servicios de nube pública
superará los 127 mil millones en 2018, lo que representa más de la
mitad del crecimiento del gasto en software global, servidor y
almacenamiento, según la firma de análisis de mercado IDC.
Pero a pesar de todo el alboroto, no todas las organizaciones de TI están en una carrera hacia la nube.
Y las preocupaciones de
seguridad, especialmente rodeando la nube
pública y su naturaleza multi inquilino, son una gran razón de ello.
Las preocupaciones de muchas organizaciones sobre seguridad de los datos en la nube
son válidas. Sin las medidas adecuadas de seguridad instaladas, los
datos almacenados y procesados en la nube se vuelven vulnerables a las
fugas y, peor aún, a las brechas de
seguridad y ataques.
Desde BYOD a la residencia de datos, aquí hay un vistazo a siete de los
más comunes –y peligrosos– riesgos de
seguridad en nube, junto con
formas para identificarlos y superarlos.
Conforme los datos de una organización fluyen más allá de los confines
de su centro de datos y hacia la nube pública, proteger esos datos de
ojos curiosos –y no autorizados– se vuelve clave. Y una de las mejores
maneras de hacerlo es a través de la encriptación de datos en la nube.
El cifrado convierte los datos en otra forma,
llamada “texto cifrado” (ciphertext), que es irreconocible para
cualquier persona no autorizada que los vea. Sin cifrado, especialmente
en un mundo cada vez más móvil e impulsado por la nube, los datos de una
empresa son especialmente vulnerables si caen en las manos equivocadas.
Los usuarios de la nube públicas deben cifrar tanto los datos
en tránsito, como en reposo, dijo Garrett Bekker, analista senior de
seguridad de 451 Research LLC.
"Es necesario proteger los datos en tránsito para asegurarse de que no son interceptados y no son vulnerables a ataques man-in-the-middle", dijo Bekker.
"También
es necesario proteger los datos en reposo para asegurarse de que nadie
en el proveedor de la nube que está utilizando tenga acceso inadecuado".
A
pesar de sus beneficios, el cifrado no es un enfoque de
seguridad en la
nube para configurar y olvidar, advirtió Erik Heidt, director de
investigación de Gartner.
"[Las organizaciones] no pueden asumir que,
simplemente porque los datos se cifran, de alguna manera están
protegidos con un amuleto de seguridad", dijo Heidt.
Hacer
las cosas de la forma en que siempre han sido hechas puede ser
contraproducente. Y no adaptar medidas de seguridad a la nube pública es
como tratar de encajar una clavija cuadrada en un agujero redondo: no
encaja y obligatoriamente habrá huecos.
"Nuestras arquitecturas técnicas son frágiles cuando tratamos de aplicarlas [a la nube]",
dijo Jim Reavis, cofundador de la Cloud Security Alliance. Los métodos
de seguridad tradicionales –que confían en el firewall para monitorear
el tráfico– no existen en la nube.
Los centros de datos tienen firewalls que ofrecen la primera línea de defensa.
Muchos profesionales de TI utilizan aplicaciones de seguridad y
analizadores de datos sobre eso para capturar los paquetes que entran y
salen. Con la nube, las empresas no tienen acceso físico al sistema, por
lo que
"hay formas más matizadas en las que se tiene que aplicar los controles de seguridad", agregó Reavis.
Los
desarrolladores también cometen el error de confiar demasiado en las
capas de seguridad del proveedor de IaaS, dijo Justin Franks, ingeniero
principal de nube en Lithium Technologies. Debido a que los grupos de
seguridad de Amazon Web Services (AWS), por ejemplo, son fáciles de
usar, los desarrolladores pueden no tomar las medidas adicionales para
editar o gestionar las capas adicionales de seguridad.
La nube pública tiene una pierna de seguridad a lo largo de los centros de datos tradicionales; los proveedores de la nube
monitorean datos y alertan a los clientes sobre actividad maliciosa.
Los proveedores también siguen lanzando más servicios de seguridad y
ofrecen una mayor visibilidad con acceso a los archivos de registro,
pero esos servicios tienden a ser a la carta.
"Hay miles de
servicios en la nube, por lo que recae en el consumidor la carga de
saber que no hay un enfoque uniforme a cuánta visibilidad proporciona
[el vendedor]", advirtió Reavis.
Es difícil negar los beneficios de BYOD.
Liberarse de las ataduras de los dispositivos de propiedad corporativa
otorga a los empleados una mayor flexibilidad, comodidad y la capacidad
de trabajar en cualquier momento y desde cualquier lugar.
Pero el fenómeno de traer su propio dispositivo (BYOD) no está
exento de riesgos, especialmente cuando se combina con la nube. En un
modelo de BYOD y nube, los datos de una organización no solo se
hospedan y utilizan fuera de la red corporativa, sino que los
dispositivos no corporativos también están accediendo a los datos.
"Eso se convierte en un verdadero reto de manejar, porque usted no está realmente controlando nada", dijo Garrett Bekker, analista de seguridad senior de 451 Research LCC.
Para mitigar los riesgos, las organizaciones deben establecer y comunicar con claridad una política de seguridad BYOD
–directrices para el acceso a datos corporativos a través de
dispositivos personales. Las plataformas de gestión de dispositivos
móviles también pueden ayudar a asegurar y monitorear dispositivos que
acceden a los datos en la nube.
En algunos casos, la nube en
realidad puede facilitar la gestión de BYOD, dijo Korey Lee, director de
información de SumAll, una firma de marketing y analítica de medios
sociales con sede en Nueva York.
"Debido a que operamos en la
nube, desconectar a alguien si se pierde un dispositivo, o cambiar su
contraseña o limpiar su teléfono de forma remota, es relativamente
fácil", dijo Lee.
Docker cogió interés durante el año pasado
como una manera de desplegar contenedores de Linux, pero las
preocupaciones de seguridad alrededor de los multiclientes actualmente
limitan a muchas implementaciones de Docker a las pruebas y desarrollo.
"El
problema más grande es las empresas que deben llegar a un acuerdo y
entender lo que significa la seguridad [respecto a] los contenedores, porque es diferente de las máquinas virtuales", dijo Dave Bartoletti, analista principal de Forrester Research, Inc., en Cambridge, Massachusetts.
Las
máquinas virtuales (VM) tienen un sistema operativo (SO) completo,
aislamiento, acceso directo al hardware y una industria madura que les
rodea. Los contenedores Docker, sin embargo, son procesos de Linux que
se ejecutan en un sistema operativo, es decir que cualquier persona con
acceso a privilegios de root puede iniciar y detener los contenedores, o
realizar alguna otra tarea desagradable, si el acceso no se endurece,
dijo Bartoletti.
Es un problema que sigue estando en gran medida
sin resolverse, conforme proveedores, incluyendo Red Hat Inc. y Joyent,
abordan el desafío de manera diferente. Pero con todos, desde IBM a
Microsoft, centrándose en la seguridad de contenedores, las mejoras
probablemente llegarán durante el próximo año.
Por ahora,
la seguridad de contenedores se trata tanto de procesos, como de gobernanza, y se trata de la tecnología.
Los expertos instan a las organizaciones a utilizar solo contenedores
de aplicaciones con permisos fuertemente custodiados, y a monitorear el
sistema operativo subyacente. Los repositorios de imagen privados de
Docker guardados en bases de datos detrás de firewalls son otra
solución.
Las APIs son una pieza fundamental dentro de la máquina global de nube pública.
Entre otras cosas, las APIs de nube alimentan el desarrollo de
aplicaciones, permiten la automatización y agilizan la gestión de
servicios en la nube.
Pero, sin las medidas de seguridad adecuadas, las APIs de nube pueden también ser una puerta de entrada a un ataque.
En
2014, por ejemplo, las APIs fueron en gran parte culpables de una
violación en SNAPCHAT que afectó a 4.6 millones de usuarios.
Para minimizar los riesgos de las APIs,
las organizaciones deben presionar a los proveedores de nube pública
sobre sus prácticas de seguridad de aplicaciones y APIs, dijo Erik
Heidt, director de investigación de Gartner.
"Si la narrativa
o explicación [de un proveedor de nube] sobre cómo manejan la seguridad
de aplicaciones... no refleja una inversión continua en las pruebas y
capacitación y en la identificación y remediación de problemas, entonces
yo sería muy sospechoso de ello", dijo Heidt.
SumAll, una
firma de análisis de medios sociales y marketing basada en Nueva York,
integra su plataforma con más de 50 APIs de terceros, dijo Korey Lee,
CIO de la compañía. Como resultado, la seguridad de API se ha convertido
en primordial.
"Hemos tomado muchas medidas para mitigar los
riesgos observando nuestros términos de servicio e implementando una
serie de capas de seguridad en torno a esos datos", dijo Lee.
"Hay una paranoia general y sana alrededor de dónde van nuestros datos de nube y quién los está usando para qué", dijo.
Las TI en las sombras, o el uso no autorizado de software y máquinas virtuales, no solo causa estragos en el presupuesto de una empresa, sino que también crea agujeros de seguridad graves.
"Hay personas que van fuera de la reserva todo el tiempo", dijo Justin Franks, ingeniero principal de nube en Lithium Technologies. Las TI en las sombras obliga a las
"TI
tradicionales a cambiar desde un cuello de botella –o gestión
centralizada o posición de seguridad– a una postura de vigilancia",
agregó. Pero las instalaciones de TI rebeldes no son necesariamente
maliciosas en su naturaleza. A menudo, las TI corporativas no
aprovisionan algo lo suficientemente rápido, por lo que los
desarrolladores disparan máquinas virtuales fuera de los proveedores de
nube sancionados, creando puertas traseras de acceso a los sistemas
internos.
Si bien encontrar esos equipos virtuales no autorizados no es fácil, cada vez es más fácil.
La primera línea de defensa es crear políticas contra el giro de servicios en la nube no autorizados. El siguiente paso es prepararse para que los usuarios rompan esas políticas.
Para
ganar visibilidad, los equipos de TI utilizan herramientas de terceros
como ThousandEyes, Sumo Logic, Datadog y CloudPassage para monitorear
aplicaciones y analizar registros de salida del firewall, o construir
sus propios agentes para darles
"ojos y oídos en todas partes", dijo Frank.
Pero
estas herramientas no están instaladas para bloquear a los
desarrolladores de lo que están haciendo, dijo Jim Reavis, cofundador de
la Cloud Security Alliance.
"Estas son personas que están innovando", añadió.
"Es una cuestión de entender lo que están tratando de hacer y ayudar a que lo hagan de una manera más segura".
Las
recientes revelaciones alrededor de la Agencia de Seguridad Nacional
espiando llevó a muchos países fuera de los EE.UU. a hacer un balance de
sus leyes de privacidad de datos. Y los clientes de nube –que, a
menudo, no son conscientes de dónde se almacenan sus datos–
también deben estar familiarizados con estas regulaciones locales.
"Cada
país está reaccionando a esto de manera diferente, por lo que depende
en gran medida de dónde está ubicado y dónde está haciendo negocios y
qué datos está almacenando", dijo Garrett Bekker, analista de seguridad senior de 451 Research LLC.
Países
como Alemania, Austria, Australia y Canadá son agresivos sobre la
soberanía de los datos y mantener los datos sensibles dentro de sus
fronteras. Pero las regulaciones se encuentran aún en proceso de cambio,
así que es mejor errar en el lado de la precaución, dijo Bekker.
"El desafío es que es como disparar a un blanco móvil", explicó Bekker.
"Usted no necesariamente conoce qué remedio necesita tomar y si van a cumplir con la letra de la ley o no".
Los
proveedores de nube están construyendo centros de datos en todo el
mundo, en parte para cumplir con las regulaciones emergentes. Pero los
clientes deben tomar sus propias medidas para garantizar el
cumplimiento, instó Bekker.
En primer lugar, sepa dónde se
encuentran físicamente los centros de datos de un proveedor. A partir de
ahí, sea consciente de los procesos de recopilación de datos para
garantizar el cumplimiento de las leyes de residencia local. Si es
posible, ponga lenguaje en un acuerdo de nivel de servicio que limite
dónde pueden residir los datos, dijo Bekker.
Los clientes de
nube pueden cifrar, enmascarar o tokenizar datos sensibles para
minimizar el riesgo. Los proveedor, incluyendo PerspecSys, CipherCloud y
Vormetric, también ofrecen servicios de residencia de datos.
