Descubre el ‘punto G’ del cloud

Un informe publicado recientemente por European Network and Information Security Agency (ENISA) revela algunos detalles sobre la utilidad y la aplicación de los servicios cloud para los gobiernos de toda Europa.

El estudio, que lleva por título “Security and Resilience in Governmental Clouds“ pretende proporcionar un modelo de toma de decisiones y una serie de directrices que puedan ser utilizadas tanto por los gobiernos como por otros organismos públicos para evaluar los retos de seguridad de la información planteados por el cloud-computing, así como para guiarles en la definición de sus necesidades cuando planifiquen dicha migración.

En general, se trata de un trabajo exhaustivo y debería estar entre la lectura recomendada de cualquiera; incluidas las empresas privadas, considerando lo beneficios comerciales de la nube.

Una de las conclusiones del informe, aunque en el mejor de los casos parece ser prematura, poco menos que recomienda lo siguiente: “Su adopción (refiriéndose a la cloud pública) debe limitarse a aplicaciones no sensibles o críticas y en el contexto de la estrategia definida para la adopción de cloud que debería incluir una estrategia clara de salida”.

A primera vista esto es un consejo sensato pero, lamentablemente, el informe no se dirige a abordar las estrategias y tecnologías que existen para mitigar estos riesgos, haciendo de la  cloud pública una plataforma viable y segura, tanto para empresas como para los organismos públicos por igual.

Algunos de los riesgos identificados en el informe hacen referencia a lo siguiente: acceso improcedente a datos confidenciales (ya sea en el proveedor de servicio o por intrusión), bloqueo del proveedor de servicio debido a tecnologías propietarias, falta de auditoría y capacidades de monitorización, las preocupaciones por la aplicación y las estrategias de parches del sistema operativo, así como al acceso a claves de encriptación entre otras.

Lamentablemente las recomendaciones en dicho informe no ofrecen ningún detalle concreto sobre las estrategias de arquitectura que permitan superar estas cuestiones, incluso a pesar de que esto es ya un posibilidad técnica, al menos en el modelo de Infraestructura como Servicio (IaaS)

La naturaleza “multi-tenant” de la cloud pública supone que las organizaciones necesitan ser capaces de reducir la efectividad de su perímetro al borde de su máquina virtual, segmentados eficazmente sus sistemas de los de sus clientes. El proveedor de servicio de red debería ser tratado como público. En el entorno IaaS el cliente conserva la propiedad y la responsabilidad del nivel de parche de sus máquinas virtuales, host level firewalling y de la protección de vulnerabilidades ofreciendo la oportunidad de neutralizar la posibilidad de explotar una vulnerabilidad, incluso en ausencia de un parche. El registro y oferta de monitorización de la integridad de los archivos supone un medio de auditoría y control, y en el entorno IaaS son sencillas de implementar a nivel de host.

El desafío de la seguridad de los datos en las cloud públicas ha sido, por lo general, un aspecto algo más complejo de abordar, en la medida en que los servicios de encriptación son gestionados por lo general por el proveedor cloud. Las organizaciones necesitan la capacidad para segmentar sus datos lejos de otros clientes, pero también fuera del proveedor de servicio. Estos también necesitan hacerlo o, de otra manera, corren el riesgo de heredar serias responsabilidades. Los datos deben ser aprovisionados a la cloud en formato encriptado, el propietario de la información deber conservar la propiedad y controlar las claves y sólo las máquinas propias del cliente deberían ser capaces de obtener acceso a estas claves asegurando que los datos están claramente dentro del perímetro de seguridad de sus propias máquinas virtualizadas.

Una arquitectura de encriptación de datos adecuada que opere de forma transparente y esté  diseñada para la cloud, en la que la encriptación es gestionada por el cliente y no por el proveedor de servicios, es el facilitador del negocio. Se acelera la adopción de servicios cloud, impulsa la bajada de costes y permite el cumplimiento de las normativas. Esto significa que el usuario ya no tendrá que preocuparse por cómo va a eliminar la cloud cuando decida cambiar de proveedor de servicios.

Rik Ferguson, Consejero Senior de Seguridad de Trend Micro.