Tweet #ftsi2014 Hashtag de asignatura Fonaments Tecnològics de la Societat de la Informació (Promoción 2014).
lunes, 15 de diciembre de 2014
Seguridad y computación en la nube
Una de las grandes críticas hacia la computación en nube son sus aspectos de seguridad. Es comprensible que la duda que generan sus servicios en la nube o cloud computing en cuanto a su seguridad, pues por ejemplo, la información de una empresa debe recorrer diferentes nodos para llegar a su destino. Cada uno de ellos, y sus respectivos canales, son un foco de inseguridad. Si se utilizan protocolos seguros como HTTPS, por ejemplo, la velocidad total disminuye debido a la sobrecarga que éstos requieren (1).
Sin embargo, la seguridad en la computación en la nube puede ser tan buena o mejor que la de los sistemas tradicionales, pues los proveedores son capaces de proporcionar recursos que resuelvan problemas de seguridad que muchos clientes no pueden afrontar. (2). En este sentido, una empresa que contrata proveedores de seguridad en la nube es consciente que la seguridad es un asunto importante -sobre todo cuando los datos tienen un matiz confidencial-. Esta cuestión, poder perder la seguridad, y por consiguiente, la privacidad, puede seguir atrasando la adopción de la computación en la nube hasta cierto punto por parte de las empresas. No obstante, los servidores virtuales ya superan a los físicos y según Gartner, consultora líder mundial en investigación e información tecnológica, en muy pocos años el 71% de las cargas de trabajo de los servidores serán virtuales (3). Encontrar la estrategia de seguridad adecuada puede ayudar a las empresas a beneficiarse del increíble potencial que la virtualización y la computación en la nube.
Una opción adoptada por la mayoría de empresas es la de contratar nubes privadas. Contrastan con las de tipo públicas porque las compañías necesitan una alta protección de datos y ediciones a nivel de servicio. Las nubes privadas están en una infraestructura bajo demanda gestionada para un solo cliente que controla qué aplicaciones deben ejecutarse y dónde. Son propietarios del servidor, red, y disco y pueden decidir qué usuarios están autorizados a utilizar la infraestructura. Al administrar internamente estos servicios, las empresas tienen la ventaja de mantener la privacidad de su información y permitir unificar el acceso a las aplicaciones corporativas de sus usuarios (4).
Indistintamente de las necesidades exclusivas de cada empresa, existen una serie de factores que éstas deben tener en cuenta para garantizar la protección de sus redes y datos (4):
· Seguridad como servicio. En el entorno de la nube, la seguridad es provista por los proveedores. Se pueden distinguir dos métodos: (1) cualquiera puede cambiar sus métodos de entrega incluidos en los servicios de la nube; (2) los proveedores de servicio de la nube proveen seguridad sólo como servicio en la nube y con información de seguridad de las compañías.
· Seguridad del explorador. Los servidores remotos son usados para la computación. Los nodos del cliente se usan únicamente para la entrada y salida de operaciones, y para la autorización y autenticación de la información en la nube. Un navegador web estándar es una plataforma normalmente utilizada para todos los usuarios del mundo. Esto puede ser catalogado en dos tipos diferentes: Software como servicio (SaaS), Aplicaciones Web, o Web 2.0. Transport Layer Security (TLS), se suele emplear para la encriptación de datos y la autentificación del host.
· Autenticación. La base para el control de acceso es la autenticación, el control de acceso es más importante que nunca desde que la nube y todos sus datos son accesibles para todo el mundo a través de internet. Trusted Platform Module (TPM) es extensamente utilizado y un sistema de autenticación más fuerte que el nombre de usuario y la contraseña. Trusted Computing Groups (TCG’s) es un estándar sobre la autorización de usuarios y otras herramientas de seguridad de comunicación en tiempo real entre el proveedor y el cliente.
· Pérdida de gobernanza. El cliente necesariamente cede el control al proveedor (Cloud Provider) en un número de asuntos, los cuáles afectan a la seguridad. Al mismo tiempo, el acuerdo de nivel de servicio no suele tener el cometido de surtir este tipo de servicios en la parte del proveedor de la nube, dejando una brecha en las defensas de seguridad. Este aspecto debe ser negociado prudentemente.
· Lock-In: Se trata de una pequeña oferta en este tipo de herramientas, procedimientos o estándares de formatos de datos o interfaces de servicios que podrían garantizar los datos, las aplicaciones y el servicio de portabilidad. Esto puede hacer difícil para el cliente migrar de un proveedor a otro, o migrar los datos y servicios de nuevo a otro entorno informático. Esto introduce una particular dependencia en el proveedor de la nube para la provisión del servicio, especialmente a la portabilidad de los datos, el aspecto más fundamental.
· Protección de datos: La computación en la nube pone en riesgo la protección de datos para los usuarios de la nube y sus proveedores. En muchos casos, ocasiona dificultades para el proveedor (en el rol del controlador de la información) para asegurar la efectividad práctica del manejo de los datos del proveedor de la nube y para cerciorar que los datos van por el camino correcto. Este problema se suele agravar en casos de múltiples transferencias de datos, por ejemplo entre sistemas federados. Por otra parte, algunos proveedores de la nube, proporcionan información de sus prácticas de cercenamiento de datos. También hay algunas ofertas de certificaciones en el procesamiento de datos, las actividades de seguridad y los controles de datos. Por ejemplo, la certificación SAS70. Las corrientes de datos de internet están unidas al malware y de paquetes señuelo para meter al usuario en una desconocida participación en actividades delictivas. Este aspecto debe protegerse prioritariamente.
En definitiva, los sistemas de seguridad que ofrecen los proveedores de servidores cloud garantizan el bloqueo de las amenazas y actualizaciones del archivo de patrones de menor tamaño. Por ejemplo, programas de seguridad como Smart Protection Network (Trend Micro) (6) han demostrado la eficacia de la protección basada en la nube. En concreto, éste permite ampliar funciones de seguridad como el análisis de grandes cantidades de datos que mantienen el ritmo del volumen, la variedad y la velocidad de las amenazas.
En este sentido, los servidores cloud ofrecen seguridad desde la misma nube y las empresas que gestionan este tipo de servidores son también un agente activo en el desarrollo de tecnologías de seguridad para la misma. De este modo, proveen modelos de virtualización y computación en nube, consiguiendo una visión nítida de los retos que se presentan al ampliar la protección frente a las amenazas a entornos emergentes basados en la nube.
Para concluir, este tipo de servivio ofrece la posibilidad de centralizar de manera rentable el control de políticas y realizar el seguimiento de la seguridad en entornos físicos, virtuales y basados en la nube con una sola plataforma. En otras palabras, se automatiza la aplicación de políticas de seguridad, incluyendo además una gestión multipropiedad para empresas y proveedora de servicios que necesitan un control general con administración segregada para departamentos u otras organizaciones. Por lo tanto, se trata de una solución basada en la nube para centros de datos que protege los servidores físicos, virtuales y basados en la nube, así como los equipos de sobremesa virtuales, con una seguridad exhaustiva automatizada.
¿Qué es Cloud Computing o Computación en la Nube?
<<Cloud computing es un modelo para
permitir el acceso por medio de redes de manera conveniente y según demanda a un pool compartido de recursos informáticos configurables (por ejemplo, redes, servidores, almacenamiento, aplicaciones y servicios) que se pueden aprovisionar y liberar rápidamente con un mínimo esfuerzo de administración o con la interacción de un proveedor de servicios>>, Instituto Nacional de Normalización y Tecnología.
permitir el acceso por medio de redes de manera conveniente y según demanda a un pool compartido de recursos informáticos configurables (por ejemplo, redes, servidores, almacenamiento, aplicaciones y servicios) que se pueden aprovisionar y liberar rápidamente con un mínimo esfuerzo de administración o con la interacción de un proveedor de servicios>>, Instituto Nacional de Normalización y Tecnología.
Aunque esta definición es un poco exagerada, lo más importante para tener en cuenta es que la infraestructura de nube
no es un conjunto de tecnologías, sino que es un modelo para prestar e implementar, administrar y
utilizar recursos y servicios de tecnología de la información.
Resulta útil desglosar la definición de cloud computing en cómo están configurados los recursos y qué les permite hacer a los usuarios. Los recursos de una nube (que también pueden incluir información o bases de datos, herramientas de productividad y otras aplicaciones de software) tienen tres características básicas:
• Agrupación en pool. Todos los recursos de la infraestructura de nube se organizan y se administran como un pool compartido común. Por lo general, el pool se inicia con servidores y almacenamiento, que establecen el escenario para los datos y las aplicaciones. Por supuesto, esto demanda métodos comunes de estructuración, conexión y acceso a los recursos.
• Virtualización. Todos los recursos del pool están empaquetados en “contenedores de envío” electrónicos. Cada uno contiene no solo el recurso mismo, sino también las reglas del negocio que controlan su acceso, uso y administración.
• Conexión a la red. Se puede acceder a todos estos recursos modulares por medio de una red con interfaces estándar que les permiten combinarse como bloques. En términos técnicos, están disponibles como “servicios web”.
Existe un informe más exhausto sobre la descripción, tipos y distintos usos de cloud computing en el siguiente enlace: http://www.pearltrees.com/s/file/preview/96953167/Nvolinegocis.pdf
Resulta útil desglosar la definición de cloud computing en cómo están configurados los recursos y qué les permite hacer a los usuarios. Los recursos de una nube (que también pueden incluir información o bases de datos, herramientas de productividad y otras aplicaciones de software) tienen tres características básicas:
• Agrupación en pool. Todos los recursos de la infraestructura de nube se organizan y se administran como un pool compartido común. Por lo general, el pool se inicia con servidores y almacenamiento, que establecen el escenario para los datos y las aplicaciones. Por supuesto, esto demanda métodos comunes de estructuración, conexión y acceso a los recursos.
• Virtualización. Todos los recursos del pool están empaquetados en “contenedores de envío” electrónicos. Cada uno contiene no solo el recurso mismo, sino también las reglas del negocio que controlan su acceso, uso y administración.
• Conexión a la red. Se puede acceder a todos estos recursos modulares por medio de una red con interfaces estándar que les permiten combinarse como bloques. En términos técnicos, están disponibles como “servicios web”.
Existe un informe más exhausto sobre la descripción, tipos y distintos usos de cloud computing en el siguiente enlace: http://www.pearltrees.com/s/file/preview/96953167/Nvolinegocis.pdf
Suscribirse a:
Comentarios (Atom)