8 razones por las que tus desarrollos están más seguros en Cloud

En un momento en el que la adopción de la nube parece imparable, en el que muchas empresas están dando el salto desde la virtualización a la nube privada o desde ésta a la nube pública, existen todavía dudas acerca de si es realmente segura.

A continuación analizaremos por qué podemos desterrar de una vez por todas este miedo infundado y empezar a valorar cloud como la opción más segura.

Seguridad física

Los datacenters de Google, Amazon y otros proveedores cloud son conocidos por su modelo de seguridad física que incluye las siguientes protecciones:

  • Localizaciones exactas no públicas en lugares poco propensos a desastres naturales.
  • Vallado perimetral.
  • Alarmas.
  • Cámaras interiores y exteriores.
  • Barreras para el acceso de vehículos.
  • Detectores de metales.
  • Accesos biométricos y mediante tarjeta.
  • Sistemas de detección de intrusiones mediante láser.
  • Patrullas de guardias de seguridad.
  • Logs de acceso, registros de actividad.
  • Sistemas eléctricos y de red redundantes.
  • Generadores eléctricos diesel.
  • Sistemas de refrigeración para mantener la temperatura óptima.
  • Detectores de fuego.
  • Equipos de extinción de incendios.
  • Protocolos muy estrictos para la eliminación del hardware, especialmente los discos duros.

¿Pueden estar tus instalaciones a ese nivel?

Confidencialidad y seguridad de los datos

Los datos en tránsito se cifran por defecto con SSL o TLS. Y las opciones de cifrado de los datos suelen ser múltiples para cada uno de sus servicios de almacenamiento en disco persistente y de bases de datos. Generalmente se pueden utilizar los mismos mecanismos, tecnologías y servicios usados por los propios proveedores en producción.

Se garantiza en todo momento que la titularidad de los datos es del cliente, que se los puede llevar cuando quiera. Incluso, como es posible utilizar claves de cifrado propias, se puede certificar que no acceden a ellos terceros sin autorización, ni siquiera el propio proveedor de Cloud. Además existen servicios y herramientas que facilitan tanto la migración de datos hacia la nube como su extracción.

Mejor control de accesos

El acceso a los servicios se realiza a través de APIs globales securizadas, solamente accesibles a través de canales encriptados con SSL/TLS y utilizando tokens de autenticación con un tiempo de vida limitado.

Todas las peticiones a las APIs de la plataforma, tales como peticiones web, acceso a los bucket de almacenamiento y acceso a las cuentas de usuario son trazadas. Se pueden consultar todas las operaciones realizadas y acceder a los logs del IaaS, el PaaS y el resto de servicios gestionados de bases de datos, redes y almacenamiento.

Al gestionar los usuarios existe la posibilidad de establecer la política de passwords, forzar que se use la autenticación en dos fases y el uso de claves de seguridad hardware para acceder a la plataforma.

Conexiones punto a punto y VPNs para conectar con redes locales

Existe la posibilidad de habilitar conexiones privadas o dedicadas por hardware desde la oficina o desde entornos on-premise, para implementar cloud híbridas. Ofrecen mayor disponibilidad y menor latencia que las conexiones de Internet existentes.

Se pueden crear VPNs, conectar las redes cloud y las de la infraestructura, crear subredes, segmentar el tráfico mediante firewalls y enrutar el tráfico de la forma más conveniente.

Conexiones punto a punto y VPNs para conectar con redes locales

Existe la posibilidad de habilitar conexiones privadas o dedicadas por hardware desde la oficina o desde entornos on-premise, para implementar cloud híbridas. Ofrecen mayor disponibilidad y menor latencia que las conexiones de Internet existentes.

Se pueden crear VPNs, conectar las redes cloud y las de la infraestructura, crear subredes, segmentar el tráfico mediante firewalls y enrutar el tráfico de la forma más conveniente.

Alta disponibilidad por defecto

Todos los componentes de las plataformas cloud se diseñan para ser altamente redundantes, desde los procesadores, las conexiones de red y el almacenamiento de los datos, hasta el mismo software.

De forma que, en caso de fallo de algún componente individual, los servicios de la plataforma pueden continuar funcionando sin interrupción y sin que exista ninguna pérdida de datos. Esto permite a los clientes construir sistemas con alta disponibilidad y resiliencia.

Frente a las soluciones tradicionales donde factores como la disponibilidad, la redundancia o la flexibilidad a menudo se ven sacrificadas por cuestiones de coste.

Cuando existe un fallo en alguna parte del hardware, el proveedor del servicio se encargará de realizar la sustitución de forma totalmente transparente para el usuario final, pudiendo llegar a mover la aplicación y/o los datos a otra zona o región.

Para aumentar la redundancia y la tolerancia a fallos se puede optar por replicar aplicaciones y datos en varias zonas de disponibilidad de la misma región o, incluso, entre regiones distintas.

La disponibilidad es un factor crucial, por ello los proveedores cloud incorporan también protección frente a los ataques DDoS. Todo el tráfico entrante es filtrado para detectar y parar peticiones maliciosas.

Además de la protección que traen por defecto, permiten utilizar sus servicios de manera combinada (como el autoescalado, el balanceo, CDN y DNS) para implementar una estrategia más eficaz para minimizar el tiempo que llevaría mitigar y reducir el impacto de estos ataques de denegación distribuida de servicio.

En manos de los mejores expertos de seguridad del mundo

Las máquinas están bajo el control de las manos más adecuadas. Los equipos de seguridad de los proveedores cloud son muy numerosos y están formados por los mejores expertos en seguridad de red, de aplicaciones y de la información.

Son los encargados de mantener los sistemas de defensa de la compañía, desarrollar los procesos de revisión de la seguridad, diseñar la seguridad de la infraestructura e implementar las políticas de seguridad.

Monitorizan actividades sospechosas en sus redes, hacen frente a las amenazas de seguridad de la información, realizan evaluaciones y auditorías de seguridad de forma rutinaria y buscan expertos externos para que lleven a cabo evaluaciones de seguridad.

También participan en actividades de investigación y divulgación, como proyectos open-source, conferencias académicas y publicaciones de papers. Entre sus logros se encuentran haber detectado algunas de las mayores vulnerabilidades de los últimos años (como Heartbleed o Poodle).

De manera general se establece un modelo de responsabilidad compartida en el que el proveedor se encargará de la infraestructura global subyacente y de los servicios que hacen de base a la cloud.

Dependiendo del tipo de servicio las responsabilidades cambian. El mínimo es encargarse de los parches de seguridad y las actualizaciones del software y del sistema operativo del entorno anfitrión, en los IaaS, por ejemplo. Y aumentan a medida que se va hacia servicios gestionados, PaaS o SaaS.

Mayor visibilidad y transparencia

En los servicios cloud la gestión de la seguridad resulta mucho más transparente. Desde un panel se dispone de visibilidad completa de todos los recursos cloud. Así todo está visible para los responsables de controlar la seguridad, por lo que es mucho más fácil que tengan todo trazado y arreglen cualquier tipo de incidencia.

Los mayores problemas de seguridad de las empresas vienen por usuarios o máquinas que muchas veces no se conoce su existencia, en Cloud dispones de un mapa global de todas tus máquinas para evitar este problema.

Esta claridad se refuerza mediante herramientas que ofrecen asesoramiento automático para mejorar el uso de los recursos y la resolución de problemas.

Auditorías, controles y certificaciones

Además, existen escáneres de seguridad para ayudar a los usuarios a mejorar la seguridad y la conformidad de sus aplicaciones. Estas herramientas realizan una inspección automática de las aplicaciones en busca de vulnerabilidades, cross-site scripting, contenido mixto y desviaciones respecto a las prácticas recomendadas.

Es habitual recibir correos de los proveedores con recomendaciones de seguridad tales como actualizar la versión de un cluster de kubernetes o renovar los certificados de seguridad.

Google Cloud Platform y Amazon Web Services garantizan el cumplimiento con un gran número de estándares, controles, auditorías y certificaciones  en materia de seguridad. Algunos de las más importantes son:

SOC 1, SOC 2, SOC 3, ISO 27001, ISO 27017, ISO 27018, ISO 9001, FedRamp, FIOS, DoD SRG, PCI DSS, HIPAA, CISPE, FERPA, HITECH, CSA STAR, EU Data Protection Directive, CIS, CJIS, CSA, Privacy Shield.

Conclusiones

Resulta común que se mire hacia el cloud computing para reducir los gastos en infraestructura, aumentar la agilidad y dotar al negocio de las mejores funcionalidades, pero la seguridad de los datos y las aplicaciones es un requisito crítico y, como hemos visto, existen suficientes razones para pensar que en Cloud tendremos, sin lugar a dudas, la mejor seguridad.
Nuevo llamado a la acción

Escribe un comentario