Siete riesgos de seguridad en la nube
Cuando se trata de la adopción empresarial de la computación en la nube, los números hablan por sí mismos. El gasto en servicios de nube pública superará los 127 mil millones en 2018, lo que representa más de la mitad del crecimiento del gasto en software global, servidor y almacenamiento, según la firma de análisis de mercado IDC.
Pero a pesar de todo el alboroto, no todas las organizaciones de TI están en una carrera hacia la nube. Y las preocupaciones de seguridad, especialmente rodeando la nube pública y su naturaleza multi inquilino, son una gran razón de ello.
Las preocupaciones de muchas organizaciones sobre seguridad de los datos en la nube son válidas. Sin las medidas adecuadas de seguridad instaladas, los datos almacenados y procesados en la nube se vuelven vulnerables a las fugas y, peor aún, a las brechas de seguridad y ataques.
Desde BYOD a la residencia de datos, aquí hay un vistazo a siete de los más comunes –y peligrosos– riesgos de seguridad en nube, junto con formas para identificarlos y superarlos.
Conforme los datos de una organización fluyen más allá de los confines de su centro de datos y hacia la nube pública, proteger esos datos de ojos curiosos –y no autorizados– se vuelve clave. Y una de las mejores maneras de hacerlo es a través de la encriptación de datos en la nube.
El cifrado convierte los datos en otra forma, llamada “texto cifrado” (ciphertext), que es irreconocible para cualquier persona no autorizada que los vea. Sin cifrado, especialmente en un mundo cada vez más móvil e impulsado por la nube, los datos de una empresa son especialmente vulnerables si caen en las manos equivocadas.
Los usuarios de la nube públicas deben cifrar tanto los datos en tránsito, como en reposo, dijo Garrett Bekker, analista senior de seguridad de 451 Research LLC.
«Es necesario proteger los datos en tránsito para asegurarse de que no son interceptados y no son vulnerables a ataques man-in-the-middle», dijo Bekker. «También es necesario proteger los datos en reposo para asegurarse de que nadie en el proveedor de la nube que está utilizando tenga acceso inadecuado».
A pesar de sus beneficios, el cifrado no es un enfoque de seguridad en la nube para configurar y olvidar, advirtió Erik Heidt, director de investigación de Gartner. «[Las organizaciones] no pueden asumir que, simplemente porque los datos se cifran, de alguna manera están protegidos con un amuleto de seguridad», dijo Heidt.
Hacer las cosas de la forma en que siempre han sido hechas puede ser contraproducente. Y no adaptar medidas de seguridad a la nube pública es como tratar de encajar una clavija cuadrada en un agujero redondo: no encaja y obligatoriamente habrá huecos.
«Nuestras arquitecturas técnicas son frágiles cuando tratamos de aplicarlas [a la nube]», dijo Jim Reavis, cofundador de la Cloud Security Alliance. Los métodos de seguridad tradicionales –que confían en el firewall para monitorear el tráfico– no existen en la nube.
Los centros de datos tienen firewalls que ofrecen la primera línea de defensa. Muchos profesionales de TI utilizan aplicaciones de seguridad y analizadores de datos sobre eso para capturar los paquetes que entran y salen. Con la nube, las empresas no tienen acceso físico al sistema, por lo que «hay formas más matizadas en las que se tiene que aplicar los controles de seguridad», agregó Reavis.
Los desarrolladores también cometen el error de confiar demasiado en las capas de seguridad del proveedor de IaaS, dijo Justin Franks, ingeniero principal de nube en Lithium Technologies. Debido a que los grupos de seguridad de Amazon Web Services (AWS), por ejemplo, son fáciles de usar, los desarrolladores pueden no tomar las medidas adicionales para editar o gestionar las capas adicionales de seguridad.
La nube pública tiene una pierna de seguridad a lo largo de los centros de datos tradicionales; los proveedores de la nube monitorean datos y alertan a los clientes sobre actividad maliciosa. Los proveedores también siguen lanzando más servicios de seguridad y ofrecen una mayor visibilidad con acceso a los archivos de registro, pero esos servicios tienden a ser a la carta.
«Hay miles de servicios en la nube, por lo que recae en el consumidor la carga de saber que no hay un enfoque uniforme a cuánta visibilidad proporciona [el vendedor]», advirtió Reavis.
Es difícil negar los beneficios de BYOD. Liberarse de las ataduras de los dispositivos de propiedad corporativa otorga a los empleados una mayor flexibilidad, comodidad y la capacidad de trabajar en cualquier momento y desde cualquier lugar.
Pero el fenómeno de traer su propio dispositivo (BYOD) no está exento de riesgos, especialmente cuando se combina con la nube. En un modelo de BYOD y nube, los datos de una organización no solo se hospedan y utilizan fuera de la red corporativa, sino que los dispositivos no corporativos también están accediendo a los datos.
«Eso se convierte en un verdadero reto de manejar, porque usted no está realmente controlando nada», dijo Garrett Bekker, analista de seguridad senior de 451 Research LCC.
Para mitigar los riesgos, las organizaciones deben establecer y comunicar con claridad una política de seguridad BYOD –directrices para el acceso a datos corporativos a través de dispositivos personales. Las plataformas de gestión de dispositivos móviles también pueden ayudar a asegurar y monitorear dispositivos que acceden a los datos en la nube.
En algunos casos, la nube en realidad puede facilitar la gestión de BYOD, dijo Korey Lee, director de información de SumAll, una firma de marketing y analítica de medios sociales con sede en Nueva York.
«Debido a que operamos en la nube, desconectar a alguien si se pierde un dispositivo, o cambiar su contraseña o limpiar su teléfono de forma remota, es relativamente fácil», dijo Lee.
Docker cogió interés durante el año pasado como una manera de desplegar contenedores de Linux, pero las preocupaciones de seguridad alrededor de los multiclientes actualmente limitan a muchas implementaciones de Docker a las pruebas y desarrollo.
«El problema más grande es las empresas que deben llegar a un acuerdo y entender lo que significa la seguridad [respecto a] los contenedores, porque es diferente de las máquinas virtuales», dijo Dave Bartoletti, analista principal de Forrester Research, Inc., en Cambridge, Massachusetts.
Las máquinas virtuales (VM) tienen un sistema operativo (SO) completo, aislamiento, acceso directo al hardware y una industria madura que les rodea. Los contenedores Docker, sin embargo, son procesos de Linux que se ejecutan en un sistema operativo, es decir que cualquier persona con acceso a privilegios de root puede iniciar y detener los contenedores, o realizar alguna otra tarea desagradable, si el acceso no se endurece, dijo Bartoletti.
Es un problema que sigue estando en gran medida sin resolverse, conforme proveedores, incluyendo Red Hat Inc. y Joyent, abordan el desafío de manera diferente. Pero con todos, desde IBM a Microsoft, centrándose en la seguridad de contenedores, las mejoras probablemente llegarán durante el próximo año.
Por ahora, la seguridad de contenedores se trata tanto de procesos, como de gobernanza, y se trata de la tecnología. Los expertos instan a las organizaciones a utilizar solo contenedores de aplicaciones con permisos fuertemente custodiados, y a monitorear el sistema operativo subyacente. Los repositorios de imagen privados de Docker guardados en bases de datos detrás de firewalls son otra solución.
Las APIs son una pieza fundamental dentro de la máquina global de nube pública. Entre otras cosas, las APIs de nube alimentan el desarrollo de aplicaciones, permiten la automatización y agilizan la gestión de servicios en la nube.
Pero, sin las medidas de seguridad adecuadas, las APIs de nube pueden también ser una puerta de entrada a un ataque.
En 2014, por ejemplo, las APIs fueron en gran parte culpables de una violación en SNAPCHAT que afectó a 4.6 millones de usuarios.
Para minimizar los riesgos de las APIs, las organizaciones deben presionar a los proveedores de nube pública sobre sus prácticas de seguridad de aplicaciones y APIs, dijo Erik Heidt, director de investigación de Gartner.
«Si la narrativa o explicación [de un proveedor de nube] sobre cómo manejan la seguridad de aplicaciones… no refleja una inversión continua en las pruebas y capacitación y en la identificación y remediación de problemas, entonces yo sería muy sospechoso de ello», dijo Heidt.
SumAll, una firma de análisis de medios sociales y marketing basada en Nueva York, integra su plataforma con más de 50 APIs de terceros, dijo Korey Lee, CIO de la compañía. Como resultado, la seguridad de API se ha convertido en primordial.
«Hemos tomado muchas medidas para mitigar los riesgos observando nuestros términos de servicio e implementando una serie de capas de seguridad en torno a esos datos», dijo Lee. «Hay una paranoia general y sana alrededor de dónde van nuestros datos de nube y quién los está usando para qué», dijo.
Las TI en las sombras, o el uso no autorizado de software y máquinas virtuales, no solo causa estragos en el presupuesto de una empresa, sino que también crea agujeros de seguridad graves.
«Hay personas que van fuera de la reserva todo el tiempo», dijo Justin Franks, ingeniero principal de nube en Lithium Technologies. Las TI en las sombras obliga a las «TI tradicionales a cambiar desde un cuello de botella –o gestión centralizada o posición de seguridad– a una postura de vigilancia», agregó. Pero las instalaciones de TI rebeldes no son necesariamente maliciosas en su naturaleza. A menudo, las TI corporativas no aprovisionan algo lo suficientemente rápido, por lo que los desarrolladores disparan máquinas virtuales fuera de los proveedores de nube sancionados, creando puertas traseras de acceso a los sistemas internos.
Si bien encontrar esos equipos virtuales no autorizados no es fácil, cada vez es más fácil. La primera línea de defensa es crear políticas contra el giro de servicios en la nube no autorizados. El siguiente paso es prepararse para que los usuarios rompan esas políticas.
Para ganar visibilidad, los equipos de TI utilizan herramientas de terceros como ThousandEyes, Sumo Logic, Datadog y CloudPassage para monitorear aplicaciones y analizar registros de salida del firewall, o construir sus propios agentes para darles «ojos y oídos en todas partes», dijo Frank.
Pero estas herramientas no están instaladas para bloquear a los desarrolladores de lo que están haciendo, dijo Jim Reavis, cofundador de la Cloud Security Alliance. «Estas son personas que están innovando», añadió. «Es una cuestión de entender lo que están tratando de hacer y ayudar a que lo hagan de una manera más segura».
Las recientes revelaciones alrededor de la Agencia de Seguridad Nacional espiando llevó a muchos países fuera de los EE.UU. a hacer un balance de sus leyes de privacidad de datos. Y los clientes de nube –que, a menudo, no son conscientes de dónde se almacenan sus datos– también deben estar familiarizados con estas regulaciones locales.
«Cada país está reaccionando a esto de manera diferente, por lo que depende en gran medida de dónde está ubicado y dónde está haciendo negocios y qué datos está almacenando», dijo Garrett Bekker, analista de seguridad senior de 451 Research LLC.
Países como Alemania, Austria, Australia y Canadá son agresivos sobre la soberanía de los datos y mantener los datos sensibles dentro de sus fronteras. Pero las regulaciones se encuentran aún en proceso de cambio, así que es mejor errar en el lado de la precaución, dijo Bekker.
«El desafío es que es como disparar a un blanco móvil», explicó Bekker. «Usted no necesariamente conoce qué remedio necesita tomar y si van a cumplir con la letra de la ley o no».
Los proveedores de nube están construyendo centros de datos en todo el mundo, en parte para cumplir con las regulaciones emergentes. Pero los clientes deben tomar sus propias medidas para garantizar el cumplimiento, instó Bekker.
En primer lugar, sepa dónde se encuentran físicamente los centros de datos de un proveedor. A partir de ahí, sea consciente de los procesos de recopilación de datos para garantizar el cumplimiento de las leyes de residencia local. Si es posible, ponga lenguaje en un acuerdo de nivel de servicio que limite dónde pueden residir los datos, dijo Bekker.
Los clientes de nube pueden cifrar, enmascarar o tokenizar datos sensibles para minimizar el riesgo. Los proveedor, incluyendo PerspecSys, CipherCloud y Vormetric, también ofrecen servicios de residencia de datos.
Fuente: Michael Kloran – Search Data Center
Fuente: http://blog.segu-info.com.ar/2015/
Fecha de consulta: 26 Mayo 2015