Aunque algunos piensen lo contrario,las nubes públicas pueden ser más seguras que las privadas y con seguridad, mucho más que las redes tradicionales.

*Por Carlos Perea, Vicepresidente de Ventas para Latinoamérica de Gigamon

La Cloud Security Alliance (CSA) lo llama "The Treacherous Twelve”. Otros lo han llamado la “Dirty Dozen”. Sin importar el nombre, se trata de la lista para saber si usted tiene las precauciones necesarias sobre seguridad en su nube pública. Para ser honestos, ya se ha avanzado mucho para hacer frente a los elementos de esta lista.

De hecho, algunos predicen que dentro de unos años las nubes públicas pueden ser más seguras que las privadas y con seguridad, mucho más que las redes tradicionales. Imagínese, tan solo la posibilidad de que la seguridad sea determinante para estar o no en una nube pública. Aún así, es importante entender cuáles son las principales preocupaciones y separarlas en las que puedan tener un impacto directo, de aquellas donde el proveedor sea el principal responsable.

1.- Violaciones de datos – El robo de información valiosa es de gran preocupación para las empresas que almacenan datos. Sin embargo, los riesgos y la preocupación se incrementan si estos se encuentran en una nube pública principalmente por dos razones: 1) La estructura en la red es compartida con otros usuarios lo cual en prácticas de seguridad podría poner en vilo a todos los usuarios, y 2) tanto el proveedor de la nube pública cómo el personal de seguridad de la compañía, tienen el gran desafío de controlar tanto a usuarios internos como externos para que no pongan en peligro la integridad. Es claro que ambos comparten la responsabilidad en este tema y deben estar pendientes de mantener los controles de seguridad. Con lo anterior, los proveedores de tecnología y servicios en la nube pública, están invirtiendo e innovando en diferentes maneras para reforzar sus defensas. Sin embargo, aún se tiene un gran trabajo al momento de otorgar efectivamente permisos de acceso, sin dejar que éstos sean los adecuados para las cargas de trabajo. La plataforma de visibilidad, es la mejor solución para la nube, ya que dota de un medio para controlar y analizar la actividad dentro y fuera de estas cargas de trabajo.

2.- Administración de credenciales – Identidad insuficiente- Los usuarios de nubes públicas tienen muchas opciones para implementar la administración de credenciales y accesos. Ellos pueden utilizar roles basados en controles de acceso disponibles por su proveedor de la nube o bien, contar con un administrador de credenciales mediante aplicaciones hechas por sus propios sistemas. Sin embargo, deben tener cuidado para asegurar que la información de usuarios con privilegios no caiga en manos equivocadas, ya que si esto ocurre, se pondría en riesgo la efectividad y tráfico de los datos incluidos aquellos alojados en la nube pública. Recordemos el caso de la extinta empresa Code Spaces, que dejó una lección clave sobre la necesidad de garantizar la identificación y administración de credenciales, siendo ya prioridad máxima junto con mantener actualizados los privilegios al personal sobre todo al tener cambios en este.

3.- Interfaces inseguras y APIs -  Las nubes proveen aplicaciones con interfaces de programación como una forma para que los clientes designen y administren sus sistemas alojados. Parte del riesgo del uso de APIs, es que pueden complicarse al introducir terceros como personal de programación o diseño, esto puede en última instancia crear flujos de datos más complejos. Contar con medios que continuamente estén monitoreando los flujos de datos, es absolutamente vital para la detección y solución de puntos ciegos inesperados por problemas de comunicación.

4.- Sistemas vulnerables-  La exploración de sistemas sin parches es una de las formas más comunes para que los hackers puedan infiltrarse en las redes, la segunda causa tan solo debajo del fraude electrónico. Asegurar que todos los sistemas, incluidos aquellos alojados en la nube pública, se mantengan actualizados bajo la última versión (o con su cláusula de garantía al día), es algo que nos permitirá tener control de los usuarios en la nube y de una forma sencilla para eliminar los problemas secundarios en el almacenamiento Cloud.

5.- Secuestro de Cuentas -  En pocas palabras, cuando alguien toma el control de los usuarios alojados en la nube, de sus trabajos y sitios web públicos particularmente, y actúan en su nombre. Con seguridad esto debería ser de gran interés para aquellos clientes que usan host y aplicaciones en la nube pública, no solo porque el robo de datos es sólo una parte de la preocupación; sino también porque el costo por la pérdida de información en los negocios puede tener impacto de cascada masiva. Para proteger este caso tan delicado es necesario controlar dos factores identidad insuficiente, así como la administración de credenciales y accesos; para garantizarlo no sólo deben estar restringidos los accesos, sino también se debe contar con monitoreos y administración continua de sus contenidos en forma prioritaria.

6.- Insiders maliciosos -  El trabajo dentro de la nube pública implica cierta vulnerabilidad, dato que frecuente los empleados, contratistas o socios de negocios, tienen accesos privilegiados (los cuales se mantienen a veces incluso cuando ya no laboran para la compañía) con lo que puedan infiltrarse en las redes y robar datos. Esto es, algo muy común. En particular la preocupación por nube computarizada es la noción de que solo un súper administrador gestiona toda la infraestructura de la nube. Los privilegios del súper administrador podrían caer en las manos equivocadas y con ello podría generar daños a largo plazo para la organización y, a menudo, incluso sin dejar rastro podrían borrar sus pistas y no dejar rastro. Monitorear de cerca la actividad de los usuarios privilegiados y limitar su acceso de sólo lectura a papel – solo darle los privilegios necesarios- son parte de las tácticas de mitigación. Si usamos proveedores controlados para ello entonces se puede garantizar el engranaje perfecto con una responsabilidad mutuamente compartida.

7.- Las amenazas avanzadas persistentes (APTs) - Las grandes amenazas son recurrentes en la pérdida o suplantación de identidad, se mueven crecientemente hacia nuevos objetivos de alto valor. Mientras que los proveedores de nube brindan a sus clientes numerosas y sofisticadas aplicaciones con capacidad de detección APT, también tienen que controlar las comunicaciones dentro y fuera de sus entornos de la nube pública con el fin de garantizar que no han sido violados. El malware puede ser introducido de forma inadvertida por los usuarios de la nube; y aunque el proveedor de la nube puede ser capaz de asegurar el aislamiento del usuario, sus métodos no pueden proteger a todos los grupos de trabajo del usuario afectado. Cómo resultado es prioritario sumar niveles adicionales de monitoreo y accesos restringidos.

8.- Pérdida de Datos -  La pérdida permanente de datos valiosos es siempre una preocupación al tenerlos en la nube pública. A pesar de que las interrupciones catastróficas no son frecuentes, esto reafirma la necesidad de confirmar con los proveedores de la nube tanto sus procesos internos de servicio, como sus respaldos de datos. Es valuable que los datos almacenados en la nube, pueden encriptarse y almacenarse, tomando cuidado con la llave al encriptar los mismos, así contar con una segunda versión del respaldo de los datos en otro lado incluyendo permisos.

9.- Insuficiencia o mala diligencia - Las organizaciones deben entender el nivel de riesgo que tienen al migrar a una nube privada. ¿Están ellos migrando a nubes privadas porque creen que el nivel de seguridad incrementará?, o ¿están realmente buscando otra cosa? ¿estarán garantizadas todas las propiedades en el nuevo servicio incluida la seguridad? ¿qué pasa con los datos si deciden mudarse?, ¿se tiene cobertura cuando se está fuera del estado o ciudad? ¿qué pasa con los permisos de acceso, y su responsabilidad compartida? Se tiene un plan para replicar los datos en nube publica si estos son afectados. Estás son preguntas necesarias para tomar la mejor decisión de donde alojar nuestros datos y mitigar los contratiempos reduciendo los riesgos.

10.- Abuso y exceso en el uso de los servicios de la nube - La nube pública ofrece espacio para un sinnúmero de computadoras, esto es valioso para los hackers los cuales necesitan miles para sus ciber ataques, información realmente valiosa y contraseñas disponibles. Sin embargo, fallan en nubes que tienen un monitoreo adecuado de datos, para sus usuarios, estas mantienen la vigilancia, reportan eventos sospechosos y actividades anormales de forma inmediata. Una vez más son sorprendidos por la continuidad y perseverancia que el monitoreo de datos en la nube publica brinda.

11.- Calidad en el Servicio - Desde que los servicios de hospedaje en nubes han sido difundidos, estos han sido fácilmente localizados y atacados. Administrar un gran número de interfaces de subida y de bajada da oportunidad a los ataques en sus aplicaciones hospedadas en la nube lo cual es costoso no solo por el tiempo sino también por la velocidad, pero también esto puede incrementar en el número de computadoras usadas por la nube. Afortunadamente los proveedores de nube, sobre todos los gran reconocidos como Amazon y Microsoft, han actuado ya para mitigar los ataques estos ataques. Caso distinto a los proveedores de nubes pequeñas no pueden ofrecer un plan para mitigar esto.

12.- Tecnología compartida- La nube ofrece ahorros sin precedentes a las empresas, al compartir sus componentes incluyendo infraestructura, plataformas y aplicaciones. Los proveedores de nube pública dotan de una gran cantidad de software que responde a las demandas comerciales. Sin contar con apropiada segmentación y componentes de protección, pueden poner en riesgo no solo a los usuarios sino puede llegar a comunidades completas de organizaciones y negocios. Para mitigar estos riesgos, los proveedores de nube implementan supervisiones y segmentación en sus redes, red hospedaje de detección, y otra que administre los privilegios a los accesos, este plus es administrado y compartido como parte de la infraestructura de la nube.

¿Qué nos depara el futuro? 

Gartner predice que hay suficiente impulso e inversión en los grandes como Amazon, Microsoft y Google para hacer más seguras las nubes públicas sensibilizando la seguridad, incluso en sectores como el público y  organizaciones. De hecho, Neville Cannon, director de investigación de Gartner, ha dicho que las organizaciones del sector público comenzarán a darse cuenta de que la mayoría de los principales proveedores de nubes están mejor equipados para hacer frente a las amenazas de seguridad que ellos mismos.

Aún así, es importante entender cuales son las  principales preocupaciones y separarlos en aquellos donde se puede tener un impacto directo contra aquellos donde el proveedor es el principal responsable. Tenga en cuenta que, independientemente de si se es experto o responsable, los consumidores de las nubes públicas podrían crecer y todos los esfuerzos en el tema de seguridad en la nube son pieza fundamental en la implementación de la plataforma de visibilidad.