El cómputo en la nube se ha convertido en algo muy popular desde hace algunos años. Los beneficios que ofrece como lo son reducción en costos, flexibilidad, escalabilidad entre otros, son atractivos a las nuevas empresas.
El Cloud Computing nos ofrece diversas soluciones ya conocidas como:
- Infrastructure as a Service (IaaS)
- Platform as a Service (PaaS)
- Software as a Service (SaaS)
- Monitoring as a Service (MaaS)
- Security as a Service (SECaaS)
Dichas soluciones podemos combinarlas incluso entre diferentes proveedores o con infraestructura propia obteniendo así:
- Nubes públicas
- Nubes privadas
- Nubes híbridas
- Nubes comunitarias
Al final el objetivo sigue siendo el mismo: mantener la integridad y disponibilidad de nuestros servicios ofrecidos y si es a un costo menor siempre será viable.
El utilizar un servicio en la nube no puede ser tomado a la ligera. Si bien son muchas las ventajas que ofrece el cloud computing también son muchas las desventajas que tiene y gran parte de ellas se desprenden por el poco control que tenemos de la infraestructura y de nuestros datos.
Esta es una lista de vulnerabilidades que pueden estar presentes en ambientes cloud:
- Denegación de Servicio (DoS): Si bien esta vulnerabilidad no es exclusiva para ambientes Cloud es un hecho que también existe en ellos. Existen proveedores de servicio en la nube que cuentan con infraestructura preparada para estos ataques (Web Application Firewalls, Next Generation Firewalls, etc.) ofreciendo al cliente una menor afectación obviamente por un costo extra.
- Infraestructura compartida: Cuando se utilizan servicios en la nube, para garantizar flexibilidad y escalabilidad, los proveedores tienden a utilizar sistemas virtuales asignando, comúnmente, una máquina virtual o sistema operativo virtual para cada cliente, sin embargo estas máquinas virtuales de diversos clientes pueden estar creadas sobre una misma máquina física lo cual provoca que se comparta infraestructura entre ellos. ¿Qué podría ocurrir? Existen vulnerabilidades (como hyper-jumping, VM escape, VM hopping) que permiten “brincar” entre máquinas virtuales controladas por un mismo hypervisor (Microsoft Hyper-V, VMWare ESX, Oracle VirtualBox, etc.). Si un sistema virtual de otro cliente es comprometido con suficientes privilegios podría llegar hasta nuestras máquinas virtuales si se encuentran en la misma infraestructura física o podrían tener control de la máquina host que controla decenas de máquinas virtuales lo cual sería un problema un tanto más serio.
- Retención de datos: Al utilizar servicios en la nube es imprescindible almacenar datos aunque sea de forma temporal. Si nuestras aplicaciones o sistemas eliminan información sensible es necesario asegurarse que lo hagan de una forma “segura” ya que el hacerlo de la forma “común” volvería la información recuperable en los discos utilizados. Discos a los cuales no tenemos acceso físico para destruirlos físicamente en caso de que sea necesario. Al cambiar de plan o dejar de utilizar un servicio en la nube es importante utilizar alguna herramienta anti-forense para asegurarse de que los datos que fueron almacenados en alguna ocasión por nosotros no estarán disponibles para otro cliente al que le haya sido asignado ese disco.
- Acceso no autorizado a datos: Probablemente recuerden el caso de Dropbox de hace algunos años en el cual, por temas legales, se vieron obligados a modificar sus políticas de uso en más de una ocasión. El tema fue que Dropbox (la empresa y sus trabajadores) aseguraba que no podía tener acceso a la información que uno como usuario cargaba en su plataforma escudándose en que la contraseña que utilizamos cifraba la información. Después de una demanda (que no tenía que ver precisamente con ese tema) y como defensa ellos presentaron como evidencia información que se encontraba en archivos colocados por un usuario en su plataforma, archivos a los que se supone ellos no tenían acceso. Al hacerse público este dato se vieron obligados a colocar la siguiente cláusula en sus términos de uso:
“By submitting your stuff to the Services, you grant us (and those we work with to provide the Services) worldwide, non-exclusive, royalty-free, sublicenseable rights to use, copy, distribute, prepare derivative works (such as translations or format conversions) of, perform or publicly display that stuff to the extent reasonably necessary for the Service”.
El punto importante es que, al utilizar servicios en la nube, debemos aceptar que el proveedor podría tener acceso a nuestros datos pues ellos mismos proveen la infraestructura física que nosotros como clientes utilizamos (además de ellos contratar a terceros para el soporte de esa infraestructura física).
Otro tema que no debemos olvidar es si nuestra empresa debe cumplir con normativas antes de utilizar el cómputo en la nube por ejemplo un ISO 27000, ITIL, COBIT, HIPAA, PCI-DSS, etc. debido a que algunas de ellas tienen restricciones para el uso de este tipo de servicios.
Si deseas aprender más sobre Seguridad en la nube no pierdas la oportunidad e inscríbete a nuestro próximo curso sabatino a empezar el 25 de Julio. Escríbenos a info@activ.com.mx para darte más informes.