¿Qué Es la Seguridad en la Nube?

La seguridad en la nube es la acción de asegurar que todos los datos y servicios que residen en una nube estén protegidos contra ataques o brechas de disponibilidad, integridad y confidencialidad. Los proveedores de servicios en la nube brindan una infraestructura de nube segura. A través del Modelo de Responsabilidad Compartida, sin embargo, son los clientes quienes tienen la responsabilidad de proteger las workloads, aplicaciones y datos que corren dentro de la nube.

Seguridad de la nube

Puede ser que la seguridad en la nube suene fuera de nuestro alcance pero, después de todo, la nube simplemente son servidores, routers y switches en la posesión de otra organización. Hay muchas maneras de proteger a su negocio y asegurarse de que está cumpliendo su parte del modelo de responsabilidad. Puede mantener su nube segura mientras aprovecha todos los beneficios que puede ofrecer.

Antes de discutir cómo proteger las arquitecturas en la nube, veamos la infraestructura de la nube. Hoy en día los ambientes en la nube ofrecen muchas opciones de dónde escoger. Hay tres modelos de servicio y cuatro de despliegue. Estos son definidos por el National Institute of Standards and Technology (NIST) en su SP 800-145.

Los modelos de servicio son:

  • Infrastructure as a Service – IaaS permite que una empresa construya su propio data center virtual (vDC).
  • Platform as a Service – PaaS ofrece muchas opciones que permiten que el cliente aprovisione, despliegue o cree software.
  • Software as a Service – Con SaaS, el cliente tiene el uso del software sin la necesidad de una computadora o un servidor dónde construirlo. Algunos de los mejores ejemplos son Microsoft 365 (antes Office 365) y Gmail. El cliente sólo necesita una computadora, tableta o teléfono para acceder al software en línea.


Los negocios usan una variedad de términos para destacar sus productos, en lugar de las descripciones más técnicas de NIST – desde DBaaS (disaster recovery) hasta HSMaaS (hardware security module), así como DBaaS (database) y, finalmente, XaaS (cualquier cosa). Dependiendo de lo que una empresa esté promocionando, puede ser difícil determinar si un producto es SaaS o PaaS pero, al final, comprender cuáles son las responsabilidades contractuales del proveedor de la nube es más importante. Los proveedores de la nube extienden sus contratos para agregar la seguridad en las formaciones de la nube a través de servicios como HSMaaS (hardware security module) o DRMaaS (digital rights management).

Los cuatro modelos de despliegue son:

  • Público – Disponible para que cualquiera lo pueda comprar. Los mejores ejemplos actualmente son Amazon Web Services (AWS), Microsoft Azure y Google Cloud Platform (GCP).
  • Privado – Esta es creada para una empresa, y el hardware no se comparte con nadie más. El modelo privado podría construirse en una nube pública o dentro de su propio data center o en un negocio que se especialice en crear nubes privadas, es decir, un managed service provider.
  • Community – Esto involucra el concepto de compartir entre negocios. El servicio puede compartirse o los datos pueden compartirse en ese servicio. Un ejemplo podrían ser las nubes gubernamentales que son compartidas entre varias agencias.
  • Híbrida – Esto involucra usar al menos dos de los tres modelos de despliegue listados arriba: pública y privada, privada y community o pública y community. Otra posibilidad es usar las tres.

 

Arquitectura de la nube

La arquitectura de la nube es la organización de los componentes y sub-componentes en una estructura lógica, eficiente y efectiva. Esta estructura debería permitir que los componentes trabajen juntos para lograr una meta, maximizando las fortalezas y minimizando las debilidades. Los componentes básicos que se requieren para crear una nube incluyen redes, routers, switches, servidores y otros, como firewalls y sistemas de prevención de intrusiones. La nube también incluye todos los elementos dentro de los servidores: el hipervisor y las máquinas virtuales y, por supuesto, el software. La arquitectura de la nube también requiere de un proveedor de la nube, un arquitecto de la nube y un broker de la nube para crear, administrar, vender y comprar servicios de la nube.

Muchos términos relacionados con la arquitectura de la nube sólo agregan la palabra “nube” a un término ya familiar, como “consumidor de la nube”. Si usted entiende la definición de “consumidor”, entonces el nuevo término es claro; se refiere a un consumidor de los servicios de la nube en lugar de, digamos, servicios telefónicos.

La terminología básica que se encuentra en NIST SP 500-299 incluye:

  • Consumidor de la nube – La persona o empresa que utiliza el servicio de la nube de un proveedor de servicios.
  • Proveedor de la nube – La persona o empresa con los recursos para ofrecer los servicios que requieren los consumidores. Esto involucra la tecnología para crear los servidores, máquinas virtuales, almacenamiento de datos o cualquier recurso que necesite el consumidor.
  • Broker de la nube – La persona o empresa que administra la entrega, uso y desempeño de la nube para el consumidor, negociando la relación con el proveedor en el nombre del consumidor.
  • Carrier de la nube – El carrier es el proveedor de servicio que conecta al negocio con la nube, por ejemplo, su proveedor de servicios de internet. Para un negocio, esto usualmente sería una conexión MPLS (multiprotocol label switching).
  • Auditor de la nube – La persona o empresa que realiza la auditoría del ambiente de un proveedor de servicios de la nube. Estas auditorías incluyen las de privacidad y las de seguridad.

Arquitectura de la seguridad de la nube

La seguridad en la nube inicia con la arquitectura de la seguridad de la nube, la cual agrega elementos de seguridad a la arquitectura básica. Los elementos tradicionales de seguridad incluyen firewalls (FW), anti-malware y sistemas de detección de intrusiones (IDS). Los auditores de la nube, arquitectos de seguridad e ingenieros de seguridad también son actores necesarios para diseñar infraestructuras seguras dentro y a través de la nube.

En otras palabras, la arquitectura de la seguridad de la nube no está limitada al hardware o al software.

La arquitectura de la seguridad de la nube inicia con la gestión de riesgos. Saber qué es lo que puede salir mal y cómo un negocio puede verse impactado negativamente ayuda a las empresas a tomar decisiones más responsables. Tres áreas críticas de discusión son la continuidad de negocio, la cadena de suministro y la seguridad física.

¿Qué le sucedería a su negocio si su proveedor de la nube presenta una falla? Poner servidores, servicios y datos en la nube no elimina la necesidad de la continuidad de negocio y la planeación de la recuperación de desastres.

¿Qué pasaría si cualquiera pudiera simplemente entrar al data center del proveedor de la nube? Con los “tres grandes” – AWS, GCP y Azure – esto no sería sencillo, y ese es justamente el punto. Ellos han invertido fuertemente en la seguridad del data center. ¿Qué hay de los otros proveedores de la nube? Solicite un tour del data center de cualquier proveedor potencial de la nube y pida estar involucrado en una auditoría. Note su respuesta. ¿Estaban dispuestos a dejarle revisar el data center al día siguiente? Si es fácil entrar al data center, tal vez necesite volver a considerar si el proveedor es una buena idea.

Los proveedores de la nube más pequeños pueden no contar con un data center físico. Es más probable que efectivamente estén revendiendo la capacidad de los grandes proveedores de la nube. Esa es una ventaja y parte de la belleza de usar la nube. Si la relación entre los proveedores de la nube es desconocida, eso podría crear problemas adicionales respecto a leyes, regulaciones y contratos. Haga esta simple pregunta: ¿Dónde están mis datos? Si el proveedor de la nube cuenta con múltiples niveles, podría ser difícil determinar la respuesta. También podría haber consecuencias legales, como un problema con GDPR (European General Data Protection Regulation).

Los elementos que comprenden la arquitectura de seguridad de la nube de un negocio también podrían tener servicios en la nube. Es posible comprar servicios como la prevención de filtraciones de datos (DLPaaS). Otras herramientas pueden ayudar con la seguridad, como una herramienta de escaneo que busque información personalmente identificable para que pueda ser protegida adecuadamente. La administración de la seguridad en la nube es necesaria para asegurar que estos servicios están funcionando de la forma en que deben.

Cumplimiento de la nube

Las empresas deben cumplir con varias leyes, regulaciones y contratos. Cuando coloca sus datos y servicios en la posesión de alguien más, las auditorías requeridas para confirmar el cumplimiento pueden volverse más complicadas.

Pregúntese a sí mismo: “¿Qué es lo que más me preocupa?” Esto le ayudará a determinar qué preguntas hacerle a su proveedor de la nube. Desde un punto de vista lega, las organizaciones deben cumplir con EU GDPR (European Union General Data Protection Regulation), SOX (Sarbanes-Oxley - US financial data protection), HIPAA (Health Information Portability and Accountability Act – US healthcare) y otras. Además, la protección de las tarjetas de crédito caen bajo la ley contractual con PCI-DSS (Payment Card Industry - Data Security Standard).

Una vez que se identifica el sujeto del cumplimiento, se pueden tomar varias acciones, una de las cuales es la auditoría. La auditoría debe conducirse usando un enfoque estandarizado y metodología comprobada, como el Accountants’ SSAE 18 (Statement of Standards on Attestation Agreements, No. 18). Los hallazgos de la auditoría indicarán qué podría no estar en cumplimiento. Al decidir por un proveedor de la nube, es importante leer estos reportes para saber el nivel de seguridad del DC y qué puede esperar.

Infrastructure as Code (IaC)

La explicación corta de IaC es que la infraestructura es tratada como código, con la misma lógica de DevOps en lugar de configurar cada uno de los routers, servidores, switches y software individuales. Si aplicamos las fortalezas de DevOps a la creación y administración de nuestra infraestructura, podría resultar en muchos beneficios. En la nube, su infraestructura se vuelve virtual, lo cual significa que solamente es código, no hardware. Un router realmente es sólo código que vive en una computadora particular, o especialmente construida para ese propósito; cuando se elimina el hardware, lo que queda es el código.

Ahora apliquemos esa lógica al desarrollo y despliegue de ese código. Las herramientas de automatización ahora permiten métodos más sencillos y controlados de desplegar y administrar software. Si administramos nuestra infraestructura virtual con esas herramientas, podríamos tener una forma mucho más fácil y controlada de desplegar y administrar nubes.