¿Qué es la seguridad en la nube?

La seguridad en la nube puede parecer inalcanzable. La nube sencillamente se compone de servidores, redes y conmutadores en posesión de otra organización. Existen numerosas formas de proteger su negocio para asegurarse de que cumple con su parte del modelo de responsabilidad. Mantiene su nube protegida mientras aprovecha al máximo todo lo que la nube puede ofrecer.

Antes de que podamos analizar cómo proteger las arquitecturas de la nube, echemos un vistazo a la estructura de la nube. El entorno de nube actual ofrece muchas opciones entre las que elegir. Existen tres modelos de servicio y cuatro modelos de implementación. Estos se definen mediante el NIST en su SP 800-145.

Los modelos de servicio son:

• Infraestructura como servicio (IaaS): permite a una empresa crear su propio datacenter virtual (vDC).
• Plataforma como servicio (PaaS): proporciona numerosas opciones que permiten al cliente provisionar, implementar o crear software.
• Software como servicio (SaaS): se proporciona al cliente el uso del software sin necesidad de un ordenador o servidor en el que ejecutarlo. Algunos de los ejemplos más significativos son Microsoft 365 (anteriormente conocido como Office 365) y Gmail. El cliente solo necesita un ordenador, tableta o teléfono para acceder al software online.

Las empresas utilizan una amplia variedad de términos para destacar sus productos, a diferencia de las descripciones más clínicas del NIST: desde DRaaS (recuperación ante desastres), hasta HSMaaS (módulo de seguridad de hardware), así como DBaaS (base de datos) y, finalmente, XaaS (todo aquello que implica la modalidad «como servicio»). Dependiendo de lo que comercializa una empresa, puede resultar difícil determinar si un producto es SaaS o PaaS, no obstante, al fin y al cabo, es mucho más importante comprender las responsabilidades contractuales del proveedor de nube. Los proveedores de nube amplían sus contratos para añadir seguridad en las formaciones de nube mediante servicios como HSMaaS (módulo de seguridad de hardware) o DRMaaS (gestión de derechos digitales).

Los cuatro modelos de implementación son:

• Público: compra disponible para todos. Los mejores ejemplos de hoy en día son Amazon Web Service (AWS), Microsoft Azure y Google Cloud Platform (GCP).
• Privado: desarrollado para una empresa. Esencialmente, el hardware en sí mismo no se comparte con nadie más. El modelo privado podría desarrollarse en una nube pública o en su propio datacenter (DC), o en una empresa especializada en el desarrollo de nubes privadas, es decir, un proveedor de servicios gestionados.
• Comunitario: esto implica el concepto de intercambio entre empresas. En este modelo, se puede compartir servicios o datos. Un ejemplo podrían ser las nubes desarrolladas para el gobierno y compartidas entre múltiples agencias.
• Híbrido: esto implica el uso de, al menos, dos de los tres modelos de implementación mencionados anteriormente: público y privado, privado y comunitario, o público y comunitario. Otra posibilidad es el uso de los tres.

La arquitectura de la nube es la organización de los componentes y subcomponentes en una estructura lógica y, con suerte, eficaz y eficiente. Esta estructura debería posibilitar que tales componentes trabajen conjuntamente en un mismo objetivo, fortaleciendo los puntos fuertes y minimizando los puntos débiles. Entre los componentes básicos necesarios para crear una nube están las redes, enrutadores, conmutadores, servidores y otros, como los firewalls y los sistemas de detección de intrusiones. Además de estos componentes, la nube también incluye todos los elementos en los servidores, como el hipervisor y las máquinas virtuales, sin olvidar el software. La arquitectura de la nube también necesita un proveedor de nube, un arquitecto de nube y un mediador de nube para crear, gestionar, vender y comprar servicios en la nube.

Muchos términos relacionados con la arquitectura de la nube simplemente añaden la palabra «nube» a un término antiguo y ya familiar, como es el caso de cliente de nube. Si comprende la definición de cliente, entonces el nuevo término está bastante claro, hace referencia al cliente de servicios en la nube en contraposición a, por ejemplo, servicios de telefonía.

La terminología básica que se encuentra en el NIST SP 500-299 incluye:

• Cliente de nube: persona o empresa que utiliza el servicio en la nube de un proveedor de nube.
• Proveedor de nube: persona o empresa con los recursos necesarios para proporcionar los servicios que solicitan los clientes. Esto implica la tecnología necesaria para crear servidores, máquinas virtuales, almacenamiento de datos o cualquier otro recurso que necesite el cliente.
• Mediador de nube: persona o empresa que gestiona la entrega, el uso y el rendimiento de la nube para el cliente. También negocian la relación con el proveedor en nombre del cliente.
• Operador de nube: es el proveedor de servicio que conecta una empresa a la nube, p. ej., su proveedor de servicios de internet. Para una empresa, normalmente esto sería una conexión de MPLS.
• Auditor de nube: persona o empresa que realiza la auditoría de un entorno de proveedores de nube. Estas auditorías incluyen auditorías de privacidad y de seguridad.

Obtenga más información sobre la arquitectura de la nube.

La seguridad en la nube comienza con la arquitectura de la seguridad en la nube, la cual añade elementos de seguridad a la arquitectura básica. Los elementos de seguridad tradicionales incluyen firewalls (FW), anti-malware y sistemas de detección de intrusiones (IDS). También son necesarios aquellos que diseñan una estructura segura en y a través de la nube, entre quienes se incluyen auditores de nube, arquitectos de seguridad e ingenieros de seguridad.

En otras palabras, la arquitectura de la seguridad en la nube no está limitada únicamente al hardware ni al software.

La arquitectura de la seguridad en la nube comienza con la gestión de riesgos. Conocer qué podría ir mal y cuáles serían las repercusiones negativas para la empresa ayuda a las compañías a tomar decisiones responsables. Las tres principales áreas de análisis son la continuidad de la actividad, la cadena de suministro y la seguridad física.

¿Qué ocurrirá a su empresa si su proveedor de nube tiene una incidencia? Colocar nuestros servidores, servicios y datos en la nube no evita la necesidad de contar con una planificación para la recuperación ante desastres y continuidad de la actividad.

¿Qué ocurriría si cualquier persona podría acceder al datacenter (DC) del proveedor de nube? En los tres más grandes: AWS, GCP y Azure, esto no sería nada fácil, pero precisamente esto es lo más importante. Ellos han invertido considerablemente en la seguridad del propio datacenter. Pero, ¿qué hay acerca de otros proveedores de nube? Con cualquier proveedor de nube, solicite un recorrido por el datacenter y participar en una auditoría. Tome nota de su respuesta. ¿Estaban dispuestos a dejarle comprobar el DC al día siguiente? Si resulta sencillo acceder al DC entonces quizás la decisión de elegir este proveedor se merece una segunda revisión.

Lo más factible es que los proveedores de nube más pequeños no tengan un DC físico. Lo más probable es que utilicen y revendan eficazmente la capacidad de proveedores de nube más grandes. Eso está bien. Esto es una ventaja y parte de la grandiosidad de utilizar la nube. Si se desconoce la relación entre los proveedores de nube podría ocasionar incidencias adicionales respecto a las leyes, regulaciones y contratos. Realice esta sencilla pregunta: ¿Dónde están mis datos? Si existen múltiples niveles hasta los proveedores de nube, la pregunta podría ser difícil de responder, y podría haber consecuencias legales, como un problema con el Reglamento General de Protección de Datos (GDPR) Europeo.

Los elementos que componen una arquitectura de la seguridad en la nube de empresas podrán incluir servicios de seguridad en la nube. Es posible comprar servicios como DLPaaS (prevención de filtración de datos) o utilizar herramientas para reforzar la seguridad, como una herramienta de análisis que busque información personalmente identificable (PII) con el fin de proceder a su correcta protección. La gestión de la seguridad en la nube es necesaria para garantizar que estos servicios están funcionando justo como deberían.

Las empresas deben cumplir con numerosas leyes, regulaciones y contratos. Cuando pone sus datos y servicios a disposición de un tercero, las auditorías que deben confirmar el cumplimiento de normativa pueden complicarse.

Quizás una buena pregunta sería: ¿Cuáles son sus inquietudes? Esto ayudará a determinar qué preguntas realizar a su proveedor de nube. Desde el punto de vista legal, las organizaciones deben cumplir con el GDPR de la UE (Reglamento General de Protección de Datos Europeo), la SOX (La ley Sarbanes-Oxley de EE. UU. para la protección de datos financieros), la HIPAA (la Ley de Portabilidad y responsabilidad de la información sanitaria del sistema sanitario de los EE. UU.) y muchas otras. Asimismo, la protección de las tarjetas de crédito recaen en la ley contractual con el PCI-DSS (Payment Card Industry Data Security Standard).

Una vez que se identifica el área de cumplimiento de normativa, se pueden llevar a cabo numerosas acciones, una de las cuales es realizar una auditoría. La auditoría se debe realizar utilizando un enfoque estandarizado y una metodología demostrada, como la SSAE 18 (Statement of Standards on Attestation Agreements, No. 18) del American Institute of Certified Public Accountants. Los resultados de la auditoría indicarán aquellos apartados que pueden que no estén cumpliendo con la normativa. Cuando se toma una decisión respecto al proveedor de nube, es importante leer estos informes para conocer el nivel de seguridad del DC y sobre qué esperar.

Obtenga más información sobre el cumplimiento de normativa de la nube.

Una breve explicación sobre la IaC implicaría la idea de que la infraestructura se trata como un código, con la misma lógica que los DevOps en vez de configurar cada enrutador, servidor, conmutador y software de manera independiente. Si aplicamos las capacidades de DevOps para la creación y gestión de nuestra infraestructura, generaría numerosos beneficios. En la nube, su infraestructura se convierte en virtual, lo que significa que simplemente es un código, no un hardware. Un enrutador es simplemente código que reside en un ordenador específico, o especialmente diseñado. Cuando quitamos el hardware, lo que queda es el código.

A continuación, apliquemos el mismo argumento al desarrollo e implementación de dicho código. Las herramientas de automatización ahora permiten métodos más controlados y sencillos para implementar y gestionar software. Si gestionamos nuestra infraestructura virtual con dichas herramientas, es posible que tengamos una forma más sencilla y controlada de implementar y gestionar las nubes.

Obtenga más información sobre la infraestructura como código.