Seguridad por parte del proveedor/cliente de Cloud Computing

Los servicios cloud ponen al alcance de la pyme las ventajas y funcionalidades de la tecnología que de otra forma no podrían permitirse. Los proveedores de estos servicios ofrecen escalabilidad y flexibilidad para adaptarse sobre la marcha (pay as you go) a nuestras necesidades en cuanto a capacidad de procesamiento y de almacenamiento. También nos permiten tener siempre disponibles y accesibles desde cualquier lugar nuestras aplicaciones. Todo esto con la posibilidad de contratar no solo la infraestructura o el software, sino también su mantenimiento. Pero, ¿cumplen también nuestros requisitos de seguridad

Organismos y organizaciones de renombre, como la Cloud Security Alliance, la Agencia para la Seguridad de la Información en la Red de la Unión Europea (ENISA) o Gartner, han elaborado extensos estudios sobre qué amenazas y riesgos son más comunes en el uso de tecnologías de cloud computing. Vamos a ver un resumen de las mismas:

1. Interfaz de programación fácilmente accesible: una API (de las siglas en inglés Application Programming Interface) permite la comunicación entre varios servicios o software mediante la programación. Una implementación laxa, permitiendo el acceso a la misma desde elementos remotos, puede propiciar el acceso a nuestra nube y datos por parte de terceros.
2. Hardware compartido: en algunos casos, los proveedores de cloud computing emplean los mismos servidores físicos para prestar servicio a múltiples clientes a través de la virtualización. El hecho de compartir la misma máquina implica que el acceso a la misma o a uno de los servidores virtuales, podría facilitar la entrada a todos los recursos presentes.
3. Factor humano: un exempleado cabreado, el acceso desde un ordenador público o una contraseña poco segura son elementos que, más que estar vinculados a la tecnología, se atribuyen al componente humano de las organizaciones. Una buena formación y la definición de unos protocolos de actuación claros deberán formar parte de toda migración a los servicios de cloud computing en una empresa para evitar estas situaciones.
4. Problemas físicos: aunque tendamos a imaginar el cloud computing como un servicio ubicuo, realmente se aloja en unas infraestructuras tangibles y materiales. La seguridad y prevención de problemas (como un incendio o el robo de material) en los centros donde se encuentran los servidores también forma parte de las garantías que deber ofrecer todo proveedor de cloud.
5. Sistemas de copias de seguridad y restauración: la ausencia de este tipo de mecanismos puede suponer un riesgo muy grave ante posibles eventualidades.
6. Actualización: como en todos los ámbitos de la informática, la constante actualización del hardware y software es imprescindible para mantener un servicio seguro.

    Responsabilidad Compartida

En pocas palabras, el cliente es responsable de todos los aspectos de las soluciones operativas y de seguridad cuando se implementan en las instalaciones. Y a medida que las organizaciones avanzan en el aprovechamiento de los servicios basados en la nube, se transfieren más responsabilidades a los proveedores. En general, el beneficio clave de los servicios basados en la nube es que lo que sucede en la nube es responsabilidad de su proveedor o socio tecnológico. En otras palabras, los proveedores cloud y los clientes de la nube son responsables de los fallos en las funciones bajo su control.

Cuanto más inclusivo es un servicio ofrecido por un proveedor, menos responsabilidades tiene una organización cliente. Las responsabilidades específicas de los proveedores de la nube abarcan un amplio abanico según el tipo específico de servicio basado en la nube, que van desde la infraestructura como servicio (IaaS) hasta los modelos de software como servicio (SaaS), con la plataforma como servicio (PaaS) ocupando un posición intermedia.

  

Fuente: BLOG ITQS

Fuente: BLOG ITQS

• Cuando hablamos de IaaS, su organización es bastante independiente con respecto a la seguridad, pero esto aún es un gran paso para mantener sus propios racks de servidores en las instalaciones. En los modelos IaaS, las organizaciones son responsables no solo de sus propios datos, clientes y usuarios, sino también de las aplicaciones, las configuraciones de red e incluso los sistemas operativos.

Sin embargo, IaaS descarga la considerable responsabilidad de almacenar y mantener físicamente los servidores a su socio tecnológico y hace que los recursos informáticos estén disponibles a través de interfaces simples como las máquinas virtuales. Además, su proveedor de IaaS es responsable de algún nivel básico de seguridad de la red (es decir, detectar infracciones) y seguridad física (es decir, copia de seguridad). Incluso este nivel básico de servicio en la nube seguramente ayudará a la gerencia a dormir mejor por la noche.

• Con PaaS se simplifica un poco. Con PaaS, los problemas de almacenamiento y seguridad de la red son responsabilidad exclusiva de su proveedor de nube. Este nivel de servicio permite a su organización la comodidad adicional de saber que su proveedor se ocupa de las brechas en la red, junto con la facilidad que brinda la disponibilidad de los recursos informáticos a pedido.

En este nivel, si las organizaciones de clientes pueden concentrarse en mantener a los usuarios de sus terminales a salvo de la introducción de malware y contenido malicioso en la nube, sus datos pueden mantenerse bastante seguros. Bajo PaaS, usted es responsable de proteger y administrar aplicaciones, así como usuarios, dispositivos terminales y datos.

• SaaS en cambio, es el modelo cloud más simple y a menudo más seguro. La menor responsabilidad para con las organizaciones clientes se encuentra en los modelos SaaS. En este punto, el proveedor de la nube mantiene y protege todo menos a los usuarios, los dispositivos endpoint y los datos en la nube. Este nivel de servicio abstrae casi todos los detalles técnicos de la computación, y los proveedores de SaaS acreditados actualizan continuamente las aplicaciones a medida que surgen nuevas amenazas. Los modelos SaaS incluyen los muchos servicios orientados a empresas y consumidores que ofrece Google (por ejemplo, Gmail o Google Docs), así como Salesforce y Microsoft Office 365.

Fuente: Amazon AWS

Si bien los modelos SaaS son los servicios basados en la nube más seguros, no están libres de riesgos, como lo demostró el ataque de virus ransomware Cerber de junio de 2016 en Microsoft 365. Como muchos virus tradicionales de Microsoft Office, Cerber confiaba en que los usuarios abrieran un archivo desde un correo electrónico y luego habilitar macros.

Pase lo que pase, la seguridad en la nube es una responsabilidad compartida, ya que los servicios en la nube no son "seguros de forma predeterminada". Todo lo que ingresa a la nube desde los usuarios de su organización y los dispositivos finales es responsabilidad de su organización. La firma líder en la industria de investigación y asesoría en TI, Gartner, predice que para 2020, el 95% de las brechas de seguridad en la nube serán el resultado de la supervisión del cliente. A la luz de esta previsión, es fundamental que las empresas comprendan plenamente los modelos de responsabilidad compartida para poder implementar las medidas de seguridad necesarias que se espera que manejen.