cloud computing
Empresa

Cloud computing: la seguridad de la nube

El cloud computing, conocido en castellano con nombres como computación en la nube, servicios en la nube o, simplemente, nube, permite ofrecer servicios de computación a través de internet. La seguridad de la nube es muy importante, ya que cada vez más las empresas transfieren una gran cantidad de datos y aplicaciones a los proveedores de estos servicios. Para cumplir con los requisitos de seguridad, la computación de una empresa ha de integrarse en una plataforma que pertenezca al proveedor de servicios, por lo que los aspectos relacionados con la seguridad no deben dejarse al margen a la hora de implementar un proyecto. De hecho, descuidarlos puede llevar a cometer errores que no permitan satisfacer las nuevas necesidades técnicas y comerciales, así como provocar un serio problema a la hora de diseñar una implementación que se lleve a cabo de forma escalable y flexible.

La seguridad del cloud computing es una responsabilidad compartida entre las empresas contratantes y el proveedor de servicios. Aunque cada proveedor de servicios tiene sus propias estrategias de seguridad, estas se centran principalmente en proteger la red subyacente, esperando que sean las empresas contratantes quienes aseguren sus propios datos, aplicaciones, flujos de trabajo y recursos. En este sentido, la mayoría de los proveedores de servicios proporcionan documentación que explica cómo se dividen las responsabilidades entre proveedor y contratante.

El promedio del uso de aplicaciones en la nube o en proveedores de servicios es de más del 60 %. Algunas de estas aplicaciones pueden abarcar otros clouds, lo que significa que la seguridad no solo debe estar integrada en un solo entorno, sino que las funcionalidades y los protocolos de seguridad deben instalarse de manera transversal entre los diferentes entornos de cloud y proveedores de servicios utilizados. 

cloud computing

Seguridad del cloud computing adaptada a las necesidades

Además de proteger una infraestructura en cloud, otro gran desafío es la utilización del software como un servicio (SaaS). Aunque hoy en día cualquier empresa puede contratar una aplicación basada en cloud, muchas de ellas tienen poca idea de dónde se almacenan los datos y recursos críticos, o de qué herramientas se utilizan para acceder y procesar la información. Como resultado, se pueden producir brechas de seguridad en nubes de datos, causando fugas o pérdidas de información. 

Las preocupaciones relacionadas con la seguridad del cloud computing han llevado a muchas empresas a desestimar la utilización de estas infraestructuras. Sin embargo, el problema no está en la seguridad de la infraestructura de la nube de datos (cloud), sino en las políticas y tecnologías utilizadas para proteger y controlar los datos y las aplicaciones de las empresas. Algunos analistas predicen que, hasta 2022, al menos el 95% de los fallos de seguridad en cloud computing serán responsabilidad del cliente y no del proveedor de cloud.

Cada empresa tiene unos requisitos únicos en cuanto a seguridad, por lo que es necesario hacer un estudio personalizado de cada proyecto. De esta manera, es posible ajustar los niveles de protección en nubes de datos y en la propia infraestructura de acuerdo con las necesidades de cada cliente o empresa. Esto permite evitar ciertos errores o la definición de parámetros inadecuados, como aplicar políticas de seguridad demasiado estrictas en empresas que no lo necesitan o utilizar políticas laxas en aquellas empresas que, por ejemplo, gestionan datos personales. 

Las ventajas de asegurar tu cloud

  • Facilitar el uso

Se ha de centralizar y simplificar la administración de la seguridad en la nube o en el proveedor de servicios. De esta forma, se pueden automatizar los procesos de administración del ciclo de vida del proyecto, así como establecer y aplicar políticas de seguridad consistentes.

La seguridad de los datos y aplicaciones puede simplificarse a través de la automatización. Gracias a ello, la atención puede centrarse en los problemas de seguridad y no en otros temas como la configuración, el cumplimiento o el mantenimiento de la coherencia entre la cloud y otros entornos. Además, esto proporciona agilidad para resolver los problemas de seguridad que surjan en tiempo real.

  • Integrar con clouds

La integración nativa de las capacidades de seguridad, como la seguridad de contenedores, el escalado automático, las plantillas del Administrador de Recursos de Azure (ARM), etc., ayuda a utilizar fácilmente la automatización de los procesos de seguridad en las nubes de datos (cloud).

Esto permite definir políticas coherentes en un entorno de cloud híbrida, así como adaptarse dinámicamente a medida que los recursos cambian. La integración con los recursos de administración de cloud a través de las API también permite aprovechar la información basada en la nube como parte de una estrategia general de administración y aplicación de políticas de seguridad.

  • Implementar IPS (sistemas de protección contra intrusiones)

La complejidad aumenta a medida que las empresas trasladan más servicios a las plataformas SaaS e IaaS y cuanto más complejo sea, mayor será la necesidad de detener y dar respuesta a las amenazas. Los IPS o sistemas de protección contra intrusiones proporcionan una buena defensa contra el malware y los ataques, lo que es clave considerando el panorama de amenazas actual.

Para detectar con éxito amenazas complejas en entornos en cloud, los equipos de seguridad de red deben poder monitorizar y rastrear todos los componentes de seguridad de manera centralizada. Pero, al mismo tiempo, la inteligencia de amenazas no solo tiene que ser centralizada, sino que también debe compartirse en tiempo real a través de múltiples clouds, independientemente de la nube a la que se haya dirigido cierta amenaza.

Con los entornos DevOps, los equipos han de tener la capacidad de detectar actividades sospechosas e identificar cuentas comprometidas. Por eso, cada vez más los equipos de seguridad perimetral se basan en el autoaprendizaje (inteligencia artificial), para correlacionar mejor la inteligencia de amenazas, detectar amenazas desconocidas y responder a velocidades en tiempo real.

cloud computing

  • Asegurar el control de la aplicación

También se debe encontrar una solución que utilice la administración y la visibilidad a nivel de aplicación. Algunas de las funciones críticas pueden ser bloquear o restringir el acceso a aplicaciones con riesgo, establecer políticas de seguridad basadas en el tipo de aplicación, optimizar el uso del ancho de banda mediante la priorización y eliminar las prioridades o el bloqueo del tráfico en función de la aplicación.

  • Mantener tanto alto rendimiento como alta disponibilidad

Para lograr estos requisitos de seguridad, los servicios deben estar disponibles a un nivel de sofisticación cada vez más alto.

Para lograr un alto rendimiento, se necesita una solución que garantice la seguridad, escalabilidad y flexibilidad frente a diferentes cargas de trabajo. Asimismo, debe facilitar la orquestación en cloud para automatizar el escalado automático, la alta disponibilidad y la segmentación, evitando herramientas de implementación costosas y complejas. Una buena práctica de seguridad es asumir que todo fallará en algún momento y desarrollar la capacidad de recuperación en la capa de la aplicación sobre la infraestructura de cloud.

Además, para evitar tiempos de inactividad no deseados, se pueden proporcionar varios mecanismos de redundancia a través de zonas de fallo y zonas de disponibilidad. Estos dan la posibilidad de implementar redundancia a nivel de instancia y nivel de servicio.

  • Revisar logs con regularidad en la infraestructura de red

Por último, es altamente recomendable mantener revisiones en los logs de todos los componentes de red (networking), tanto en Switches como en Firewalls, porque proporciona una cierta proactividad ante posibles problemas de intrusión o ataques DDoS. Además, algunos de los sistemas de monitorización disponibles indican posibles irregularidades de carga, o bien de ocupación de memoria, que vuelven a proporcionar proactividad frente a cualquier cuestión de seguridad en las máquinas de las empresas.