28 de noviembre de 2020
26 de junio de 2018

Principales amenazas a las que se enfrenta el 'Cloud Computing'

Principales amenazas a las que se enfrenta el 'Cloud Computing'
FLICKR/FUTUNDBEIDL/CC - ARCHIVO

MADRID, 26 Jun. (Javier Sánchez, Áudea Seguridad de la Información) -

El desarrollo de Internet y la virtualización de los Sistemas operativos ha propiciado el crecimiento de servicios entre empresas que proporcionan la utilización de 'software' y servidores en entornos distribuidos y escalables denominando este tipo de arquitectura con el nombre de 'Cloud Computing'.

Esto proporciona muchas ventajas a la hora de iniciar un nuevo servicio, ya que garantiza la rapidez en la puesta en marcha y el crecimiento de los Sistemas sin tener que invertir lo ya invertido, pagando en todo momento exclusivamente por el uso que se realiza del mismo.

Para poder entender un poco mejor las medidas de seguridad que han de adoptarse en este tipo de entornos, es conveniente conocer, a grandes rasgos, los distintos tipos de arquitectura y servicios que se pueden ofrecer.

TIPOS DE 'CLOUDS'

En función del lugar de almacenamiento, se han definido tres tipos de 'Clouds' (nubes): privada, pública e híbrida.

La 'Cloud' Privada consiste en que los recursos suelen estar alojados en una red privada a nivel local o en un proveedor de servicios externo, que usa exclusivamente una empresa u organización. Este tipo de nubes son utilizadas por entidades bancarias y gubernamentales.

En la 'Cloud' pública, por su parte, los recursos se encuentran alojados externamente en el proveedor de servicios, que puede compartir recursos con otras empresas u organizaciones que lo soliciten.

Este tipo de nubes son las ofrecidas por proveedores como Amazon, Microsoft, entre otras compañías. Para la implementación de este tipo de nubes, se utilizan herramientas propias del proveedor como podrían ser AWS de Amazón, Azure de Microsoft, Softlayer de IBM, que gestiona el proveedor o el propio cliente.

También está la 'Cloud' híbrida, una mezcla de ambos tipos de nubes, donde hay recursos locales y externos que configuran la arquitectura final del entorno.

Para la implementación tanto de nubes privadas como híbridas, suele emplearse 'software' como VMWare, Hyper-V o 'software' libre de código abierto, como OpenStack, que permite vincular los recursos de almacenamiento a los entornos virtuales, y ofrece una amplia escalabilidad.

MODALIDADES DEL SERVICIO 'CLOUD'

A la hora de contratar los servicios en 'Cloud', también hay que tener en cuenta otras consideraciones en relación a las modalidades del tipo de servicio contratado. Éstas se clasifican en tres:

'Software as a Service' ('SaaS'), el 'software' como un servicio, suele ser el más utilizado. Consiste en que el 'software' permanece alojado en el servidor del proveedor y el cliente accede al mismo a través de un navegador web.

El mantenimiento, soporte y disponibilidad es gestionado por el proveedor. Un ejemplo de este tipo de servicio podría ser la utilización del correo electrónico tipo Gmail.

'Platform as a Service' ('PaaS'), plataforma como servicio, consiste en que el proveedor ofrece acceso a un entorno basado en la nube en el cual los usuarios pueden crear y distribuir sus propias aplicaciones. El proveedor proporciona la infraestructura subyacente.

También se encuentra la modalidad 'Infrastructure as a Service' ('IaaS'), infraestructura como servicio, en cuyo caso, un proveedor de servicios proporciona el 'software' y las aplicaciones a través de Internet. Los usuarios se suscriben al 'software' y acceden a él a través de la web o las API del proveedor.

PRINCIPALES AMENAZAS EN EL ENTORNO 'CLOUD'

Existe una organización internacional sin ánimo de lucro que es la Cloud Securitty Alliance que se dedica a promover el uso de las mejores prácticas para garantizar la seguridad en 'Cloud'.

Esta organización recoge entre sus amenazas una interfaz de programación y API poco seguros. Una API (de las siglas en inglés Application Programming Interface) permite la comunicación entre varios servicios o aplicaciones mediante la programación.

Una implementación insegura, que permita el acceso a la misma desde elementos remotos, puede ofrecer el acceso a nuestra nube y datos por parte de terceros no autorizados.

También supone una amenaza el factor humano. La amenaza que suponen los propios usuarios, es una de las más importantes, con lo que se recomienda incorporar cláusulas de confidencialidad en los contratos laborales, así como determinar una correcta gestión de altas y bajas de usuarios, además de que existan unos procesos correctos de notificación de acceso. Todo esto debe de estar soportado con revisiones periódicas del uso de los usuarios hacia los sistemas.

Respecto al 'hardware' compartido, en algunos casos, los proveedores de 'cloud computing' emplean los mismos servidores físicos para prestar servicio a múltiples clientes a través de la virtualización.

El hecho de compartir la misma máquina implica que el acceso a la misma o a uno de los servidores virtuales podría facilitar la entrada a todos los recursos presentes. Es por este motivo que los entornos deben de estar debidamente protegidos en éste sentido.

Otra amenaza son los secuestros de sesión. En este caso, se ha de evitar que un atacante pueda obtener las credenciales de un entorno, con lo que se aconseja aplicar técnicas de autenticación de doble factor siempre que sea posible y monitorizar las sesiones en búsqueda de actividades inusuales.

En cuanto a los sistemas de copias de seguridad y restauración, tiene que establecerse con el proveedor una correcta estrategia de salvaguarda de la información, ya que una posible eventualidad podría generar problemas en la disponibilidad del servicio o pérdida de información.

Las hay que prestar atención a las actualizaciones. Al tratarse de entornos 'software', es importante que los sistemas se actualicen con las últimas versiones que hayan sido validadas como correctas, para evitar ataques apoyados en posibles vulnerabilidades.

Los problemas físicos también suponen amenazas. En este caso, es importante que el proveedor de servicios ofrezca las garantías suficientes frente a cualquier tipo de contingencia como incendio, robo, e inundación, ya que en el fondo hay una infraestructura física que está soportando la arquitectura.

Sobre los problemas de cumplimiento, al tratarse de un servicio en el cual estará alojada todo tipo de información, en relación a información con datos de carácter personal, debemos asegurarnos de que el proveedor cumple con todos los requisitos exigidos por la normativa solicitándole un certificado de cumplimiento, que garantice que ue el lugar donde se alojan los datos se encuentren en país con que forme parte de un marco seguro como la Unión Europea o Estados Unidos.

También tiene que garantizarse que el proveedor esté adscrito al 'Privacy Shield', un contrato marco entre empresas que intercambian información entre Europa y Estados Unidos que garantiza que se realiza dentro de un ámbito que garantiza la seguridad y los derechos de los usuarios.

Una de las novedades del nuevo Reglamento General de Protección de Datos (RGPD) europeo tiene que ver con la portabilidad de los datos. Esto implica que en caso de que lo necesitáramos, deberíamos de poder cambiar de proveedor sin ningún tipo de problema pudiéndonos llevar los servicios contratados a cualquier otro entorno.