Retos en seguridad del Cloud Computing

A continuación se enumeran los diferentes retos que el Cloud Computing tiene para mejorar en cuanto a la seguridad que ofrece a sus usuarios:

a) Necesidad de gestión del aislamiento.
b) El multi-arrendamiento.
c) Los retos del registro o logging.
d) Las cuestiones de propiedad de los datos.
e) Las garantías de calidad de servicio o QoS.
f) La dispersión de datos y las leyes de privacidad internacionales como por ejemplo la Directiva Europea de Protección de Datos y el Programa norteamericano Safe Harbor, la exposición de datos a gobiernos extranjeros y las citaciones de datos y las cuestiones de retención de datos.
g) La dependencia en supervisores seguros.
h) La atracción de todo tipo de atacantes debido al elevado valor del objetivo que es la “nube”.
i) La seguridad de sistemas operativos virtuales en la nube.
j) La posibilidad de fallos masivos.
k) Necesidades de cifrado en cloud computing: cifrado para el acceso a la interfaz de control de recursos de la red, cifrado administrativo de acceso a las instancias de sistemas operativos, cifrado de acceso a las aplicaciones, cifrado de los datos de las aplicaciones en reposo-almacenamiento y tránsito.
l) Seguridad de la nube pública en contraposición con la seguridad de la nube interna-privada.
m) Carencia de control de versión SaaS pública.
n) Problemas con el movimiento de PII (Personal Identificable Information) y datos sensibles a la nube (valoración del impacto de la privacidad).
o) Utilizar SLAs para obtener seguridad de nube (requisitos sugeridos para SLAs de nube, cuestiones relacionadas con análisis forense en cloud).
p) Planificación de contingencias y recuperación de desastres para implementaciones de nube.
q) Gestión de cumplimientos como SOX, PCI-DSS, HIPAA, FISMA, etc.
r) Auditorias por ejemplo del tipo SAS 70.

Principales componentes de la seguridad en el Cloud Computing de empresa

Los principales componentes del Cloud Computing desde la perspectiva de la seguridad para las empresas son:

a) Servicios de aprovisionamiento cloud.

Las ventajas principales que puede aportar son la rápida reconstitución de servicios, permite la disponibilidad (provisión en múltiples centros de datos de múltiples instancias) y las capacidades de honey-net avanzadas. El principal desafío identificado, el impacto de comprometer el servicio de aprovisionamiento.

b) Servicios de almacenamiento de datos cloud.

Las ventajas principales que puede aportar son la fragmentación y dispersión de datos, la replicación automatizada, la provisión de zonas de datos (por ejemplo por país), el cifrado en reposo y en tránsito y la retención automatizada de datos. Los principales desafíos identificados son la gestión del aislamiento y el multi-arrendamiento de datos, el controlador de almacenamiento (presenta un único punto de fallo en caso de verse comprometido) y la exposición de datos a posibles gobiernos extranjeros.

c) Infraestructura de procesamiento cloud.

Las ventajas principales que puede aportar son la capacidad para proteger masters y sacar imágenes seguras. En este caso, los principales desafíos identificados son el multi-arrendamiento de aplicaciones, la dependencia en los hipervisores y el aislamiento de procesos y los mecanismos de sandbox para aplicaciones.

d) Servicios de soporte cloud.

Las ventajas principales que puede aportar son los controles de seguridad bajo demanda, por ejemplo la autenticación, el logging, los firewalls, etc. Una vez más, los principales desafíos identificados son el riesgo adicional cuando se integra con aplicaciones del cliente, las necesidades de certificación y acreditación como aplicación separada y las actualizaciones de código.

e) Seguridad perimétrica y de red cloud.

Las ventajas principales que puede aportar son la protección contra la denegación de servicios distribuida o DDoS, las capacidades VLAN, la seguridad perimétrica como IAM/IDS/IPS, firewall, autenticación, etc. Por último, el principal desafío identificado es el de las zonas virtuales con movilidad de aplicaciones.

Cómo elegir un proveedor de Cloud Computing

La elección de un proveedor adecuado de la nube cobra especial relevancia en el mundo empresarial, ya que el desempeño de sus actividades básicas y la satisfacción de sus clientes en términos tanto de calidad como de rapidez y confidencialidad, dependerá en gran medida de ello.

Los criterios más importantes son los siguientes:

a) Legislación: Resulta imprescindible que el proveedor cuente con las acreditaciones y certificados de los organismos internacionales más reconocidos. A nivel nacional la LOPD (Ley Orgánica de Protección de Datos) es una de las más significativas.

b) Seguridad: La seguridad debe estar incorporada en todos sus sentidos como un elemento base en el despliegue de la infraestructura. Los accesos y virus deben de estar bajo control en todo momento y la posibilidad de contar con backups o copias de seguridad.

Otros elementos clave para determinar el grado de seguridad que ofrece el proveedor son los cortafuegos, herramientas para el control de código malicioso y los sistemas de detección y prevención de intrusiones, entre otros. Mucha información es especialmente crítica y, por ello, preocupa el lugar donde esté ubicada. Sin embargo, los centros de datos cuentan con unas medidas de seguridad más elevadas que las que suelen tener implantadas las empresas en sus instalaciones.

c) Disponibilidad: Para ofrecer garantías a la empresa de poder contar con un servicio continuado, es conveniente que los recursos se distribuyan en una plataforma informática redundada para asegurar siempre una alta disponibilidad.

d) Soporte: El equipo de soporte técnico también será fundamental a la hora de decidir uno u otro proveedor. La empresa debe considerar si desea contar con un soporte continuado y atención telefónica, o solo correo electrónico, y si va a tener acceso a un grupo de especialistas en caso de que lo necesite.

e) Integración: Además de todo lo expuesto anteriormente, los servicios ofrecidos por el proveedor deben estar completamente integrados.