www.GitsInformatica.com Seguridad Informática – Cloud Computing: computación en la nube. Pág. 1 de 4 CLOUD COMPUTING: COMPUTACIÓN EN LA NUBE. "Cloud computing" es un nuevo modelo de prestación de servicios de negocio y tecnología, que permite al usuario acceder a un catálogo de servicios estandarizados y responder a las necesidades de su negocio, de forma flexible y adaptativa, en caso de demandas no previsibles o de picos de trabajo, pagando únicamente por el consumo efectuado. El cambio paradigmático que ofrece computación en nube es que permite aumentar el número de servicios basados en la red. Esto genera beneficios tanto para los proveedores, que pueden ofrecer, de forma más rápida y eficiente, un mayor número de servicios, como para los usuarios que tienen la posibilidad de acceder a ellos, disfrutando de la ‘transparencia’ e inmediatez del sistema y de un modelo de pago por consumo. Existen discrepancias en el medio tecnológico en cuanto a qué significa cloud computer. Unos expertos dicen que Cloud Computing son servicios virtuales sobre la internet, algo muy similar a un servicio actualizado de ordenador utilitario: Servicios básicos virtuales online o mejor dicho, DISPONIBLES SOBRE internet. Sin embargo, otros analistas explican el Cloud Computing como cualquier cosa que se consuma o utilice por afuera del firewall estará "En la nube". Pero si coinciden en que el Cloud Computing vino para incrementar y mejorar las herramientas informáticas pero permitiendo y ofreciéndolas a través de la internet. Otro punto importante que hay que mencionar es que a partir de la aparición de la nube, cuando se llegó a una "Y" dentro de la internet, por un lado la WEB y por otro lado el uso de la nube como plataformas de software. Beneficios Una infraestructura 100% de "Cloud Computing" no necesita instalar ningún tipo Integración probada de servicios Red. Por su naturaleza, la tecnología de cloud computing se puede integrar con mucha mayor facilidad y rapidez con el resto de sus aplicaciones empresariales (tanto software tradicional como Cloud Computing basado en infraestructuras), ya sean desarrolladas de manera interna o externa. Prestación de servicios a nivel mundial. Las infraestructuras de cloud computing proporcionan mayor capacidad de adaptación, recuperación de desastres completa y reducción al mínimo de los tiempos de inactividad. Una infraestructura 100% de cloud computing permite al proveedor de contenidos o servicios en la nube prescindir de instalar cualquier tipo de hardware, ya que éste es provisto por el proveedor de la infraestructura o la plataforma en la nube. La belleza de la tecnología de cloud computing es su simplicidad… y el hecho de que requiera mucha menor inversión para empezar a trabajar. Implementación más rápida y con menos riesgos. Podrá empezar a trabajar muy rápidamente gracias a una infraestructura de cloud computing. No tendrá que volver a esperar meses o años e invertir grandes cantidades de dinero antes de que un usuario inicie sesión en su nueva solución. Sus aplicaciones en tecnología de cloud computing estarán disponibles en cuestión de días u horas en lugar de semanas o meses, incluso con un nivel considerable de personalización o integración. Actualizaciones automáticas que no afectan negativamente a los recursos de TI. Si actualizamos a la última versión de la aplicación, nos veremos obligados a dedicar tiempo y recursos (que no tenemos) a volver a crear nuestras personalizaciones e integraciones. La tecnología de cloud computing no le obliga a decidir entre actualizar y conservar su trabajo, porque esas personalizaciones e integraciones se conservan automáticamente durante la actualización. Contribuye al uso eficiente de la energía. En este caso, a la energía requerida para el funcionamiento de la infraestructura. En los datacenters tradicionales, los servidores consumen mucha más energía de la requerida realmente. En cambio, en las nubes, la energía consumida es sólo la necesaria, reduciendo notablemente el desperdicio. Computación en nube consigue aportar estas ventajas, apoyándose sobre una infraestructura tecnológica dinámica que se caracteriza, entre otros factores, por un alto grado de automatización, una rápida movilización de los recursos, una elevada capacidad de adaptación para atender a una demanda variable, así como virtualización avanzada y un precio flexible en función del consumo realizado evitando además el uso fraudulento del software y la piratería. Desventajas Depende de conexión en internet, O sea que si no se dispone de la conexión no tienes acceso a la información. Vulnerabilidad de información confidencial y/o privada. Al estar en la red de redes, la información está expuesta a ser leída u obtenida por otras personas. Esto incluso cuando pueden ser agentes policiales. www.GitsInformatica.com Seguridad Informática – Cloud Computing: computación en la nube. Pág. 2 de 4 La computación en nube es un concepto que incorpora el software como servicio, como en la Web 2.0 y otros conceptos recientes, también conocidos como tendencias tecnológicas, que tienen en común el que confían en Internet para satisfacer las necesidades de cómputo de los usuarios. La centralización de las aplicaciones y el almacenamiento de los datos origina una interdependencia de los proveedores de servicios. La disponibilidad de las aplicaciones está ligada a la disponibilidad de acceso a Internet. Los datos "sensibles" del negocio no residen en las instalaciones de las empresas, lo que podría generar un contexto de alta vulnerabilidad para la sustracción o robo de información. La confiabilidad de los servicios depende de la "salud" tecnológica y financiera de los proveedores de servicios en nube. Empresas emergentes o alianzas entre empresas podrían crear un ambiente propicio para el monopolio y el crecimiento exagerado en los servicios. La disponibilidad de servicios altamente especializados podría tardar meses o incluso años para que sean factibles de ser desplegados en la red. La madurez funcional de las aplicaciones hace que continuamente estén modificando sus interfaces, por lo cual la curva de aprendizaje en empresas de orientación no tecnológica tenga unas pendientes significativas, así como su consumo automático por aplicaciones. Seguridad. La información de la empresa debe recorrer diferentes nodos para llegar a su destino, cada uno de ellos (y sus canales) son un foco de inseguridad. Si se utilizan protocolos seguros, HTTPS por ejemplo, la velocidad total disminuye debido a la sobrecarga que estos requieren. Escalabilidad a largo plazo. A medida que más usuarios empiecen a compartir la infraestructura de la nube, la sobrecarga en los servidores de los proveedores aumentará, si la empresa no posee un esquema de crecimiento óptimo puede llevar a degradaciones en el servicio o jitter altos. Consejos para migrar un proyecto a la nube Uno de los factores que hace reticentes a las empresas a migrar a la nube es la seguridad. Muchas compañías piensa que las soluciones cloud pueden ser inseguras. Sin embargo, simplemente es necesario elegir bien para que la protección sea igual o mejor que la de tecnologías tradicionales. Para ayudar a las empresas y sus partners a saber qué criterios de seguridad son necesarios para entrar en una nube protegida, se puede seguir este decálogo de consejos para migrar un proyecto con garantías de seguridad cubiertas. 1. No todas las nubes son iguales. Aunque el concepto es similar, no todas las nubes y servicios concebidos para la nube están diseñados y desarrollados de la misma forma. Es muy recomendable analizar todos los detalles de cualquier propuesta de un proveedor. 2. Conoce dónde está y cómo es tu cloud. La nube no es etérea, sino que está ubicada en un sitio físico. Saber dónde está, poder acceder a ella o conocer a la gente que está detrás de la gestión evita muchos sustos en el futuro y facilita muchas de las operaciones del día a día. Es importante ofrecer a los clientes un entorno de cloud basado en un datacenter que cuenta con las máximas medidas de seguridad lógicas y físicas. 3. La seguridad es un requisito, no un añadido. En cuestiones tan sensibles como la salvaguardia de documentación crítica de la empresa, resulta obvio que la seguridad no es una funcionalidad extra a añadir y negociar, sino que por defecto, un buen servicio en la nube debe garantizar el control, gestión y acceso a los datos y aplicaciones bajo estrictas normas de seguridad y acorde a los permisos establecidos por el cliente para interferir en su entorno cloud o en los diferentes niveles de opciones que haya configurado. 4. Una buena seguridad cloud obliga a una buena seguridad in house. No hay que olvidar que en los proyectos de infraestructura y de servicios cloud, el compromiso de seguridad debe de ser doble. No tiene sentido exigir al proveedor entornos seguros de acceso y trabajo y descuidar las políticas internas de seguridad de la empresa. 5. Las personas siguen siendo un elemento crítico. Las tecnologías hacen el trabajo, pero el diseño y aplicación de las medidas de seguridad las hacen las personas. Las economías de escala permiten a los proveedores de servicios en la nube contar con auténticos expertos de seguridad que aportan mucho valor y experiencia, sobre todo, teniendo en cuenta que históricamente muchos de los fallos de seguridad son por errores humanos. 6. Recuerda que la seguridad es multiplataforma. El acceso a la nube es ubicuo y multiplataforma. Según las necesidades de cada empleado o departamento accederá a una hora u otra, desde una red fija o una red pública, o desde un dispositivo u otro. Una buena política de seguridad no debe de descuidar ninguna de estas vías y proponer siempre la existencia de dos redes separadas, aquella que tiene conexión con el exterior, dotada de direccionamiento IP público, y una red privada con direccionamiento privado que es de uso exclusivamente interno. Seguridad Informática – Cloud Computing: computación en la nube. Pág. 3 de 4 www.GitsInformatica.com 7. 8. 9. 10. Apuesta por estándares de mercado. Siempre es más sencillo trabajar con tecnologías y productos estándares del mercado que acotarse a desarrollos muy específicos o de nicho. La migración e integración de equipos, o incluso la replicación de entornos y sistemas será más rápida y sencilla trabajando con estándares de mercado. Revisa el cumplimiento legal. Un buen proveedor de cloud no sólo debe ofrecer las máximas garantías de seguridad, sino que debe cumplir con las normativas legales en materia de protección de datos, como puede ser en España la LOPD para salvaguardar la confidencialidad y la seguridad de la información. Por eso es importante contar con personal cualificado que monitorice cualquier incidencia y que notifique y solucione en tiempo real cualquier infracción de seguridad. Exige garantías de alta disponibilidad y redundancia. Contar con nubes redundantes –datacenters en diversas localizaciones- no sólo garantiza la disponibilidad permanente del servicio en cuestiones de red, almacenamiento y nodos de computación, sino que añade un grado extra de seguridad. En seguridad y en cloud no te la juegues. En realidad las amenazas de seguridad en los entornos en la nube no son diferentes a los que existen en el modelo tradicional. Lo que sí que resulta crítico es la confianza y credibilidad que puede aportar una empresa un proveedor de este tipo de soluciones. Hay que tener en cuenta que la empresa está exponiendo información sensible a un tercero por lo que hay que tener absoluta garantía de que tanto en entornos de cloud pública, como privada o mixta se garantiza la gestión y administración de permisos y accesos. Delincuencia en la nube. Cloud computing y otras cuestiones de Seguridad. Primero fue el ataque contra la red de juegos en línea de Sony, Play Station Network, que comprometió los datos personales de más de 100 millones de usuarios. Luego, la semana pasada, la empresa japonesa reportó incursiones ilegales en varias de sus páginas en Canadá, Grecia, Indonesia y Tailandia, que también afectaron a miles de usuarios. El turno fue después para Honda: piratas informáticos se apropiaron de información de cientos de miles de clientes de la automotriz japonesa luego de entrar ilegalmente (hackear) a la página de Honda Canadá. Y esta semana inicia con noticias de que una de los principales fabricantes de material bélico de Estados Unidos -Lockheed Martin, uno de los principales proveedores del Pentágono- también fue objeto de un ataque similar. La empresa publicó un comunicado afirmando que había detectado el ataque "casi inmediatamente", evitando así el robo de información personal. Pero estas noticias no resultan nada tranquilizadoras cuando cada vez más compañías planean guardar al menos partes de sus datos en clic "la nube", como se denomina a la práctica de almacenar información en la red en lugar de en el disco duro de la computadora local. Un lugar para esconderse. En el caso del Reino Unido, por ejemplo, casi siete de cada 10 compañías están planeando usar "la nube", según un estudio de la consultora Axios. Y entre más empresas sigan ese camino, más frecuentes serán las filtraciones como las padecidas por Sony, explicó Alex Hudson, de BBC Click. "Cada vez tenemos una mejor idea del potencial de la computación en la nube, pero también de sus vulnerabilidades", le dijo por su parte el ministro del Interior de Australia, Brendan O'Connor, a la Asociación Internacional de Profesionales de la Seguridad. Y, en opinión de O'Connor, si los criminales son lo suficientemente inteligentes también pueden esconder información ahí. "Algunos proveedores de servicios de computación en nube poco escrupulosos, basados en países con leyes poco estrictas en materia de cibercriminalidad, pueden ofrecer servicios confidenciales de almacenamiento de datos", explicó el ministro. "Esto haría más fácil guardar y distribuir información criminal, y más difícil el trabajo de las agencias encargadas de hacer cumplir la ley", afirmó. Hudson ofrece como ejemplo la forma en la que algunos bancos suizos operaban en el pasado. "Estos bancos le ofrecían a sus clientes absoluta discreción sobre sus operaciones financieras. Y la misma cortesía podría ser ofrecida a aquellos interesados en esconder información sensible", explicó el reportero de BBC Click. Robando secretos Según Hudson, los cibercriminales también están usando la nube para mejorar su capacidad para robar secretos informáticos. www.GitsInformatica.com Seguridad Informática – Cloud Computing: computación en la nube. Pág. 4 de 4 Y es que, para proteger la información que se guarda en la nube, los datos por lo general son "encriptadas" (es decir, cifradas) con cierta regularidad. Hasta hace muy poco tiempo esto hacía necesario contar con una supercomputadora para regresar los datos a un estado en el que se pudieran usar. Pero ahora internet mismo le ofrece a los criminales la posibilidad de aumentar significativamente su capacidad de procesamiento para hacer el descifrado cada vez más rápido, fácil y barato. "Incluso si la información sobre nuestras tarjetas de crédito está cifrada, hay programas que permiten descifrarla si cuentan con suficiente poder de procesamiento", le dijo a la BBC William Beer, director del departamento de seguridad de Prix Price Waterhouse Cooper. "Y la nube puede proporcionar una inmensa capacidad de procesamiento... La ironía es que están usando las tarjetas de crédito robadas para pagar por esa capacidad", agregó. El investigador alemán en temas de seguridad informática Thoma Roth ha probado este sistema. Roth usó una técnica de "fuerza bruta", que antes hubiera requerido de una supercomputadora, para hackear redes inalámbricas cifradas. "Esta técnica permite probar 400,000 contraseñas diferentes por segundo. Es algo así como golpear la puerta hasta que esta se abre. No se necesitan habilidades especiales de hacker", explicó Hudson. Y Roth lo hizo usando un servicio de computación en nube que sólo cuesta unos pocos dólares por hora: el Elastic Cloud Computing (EC2) de Amazon. Amazon dice que trabaja permanentemente para garantizar que sus servicios no son empleados para actividades ilegales. Pero aunque Roth no hizo la prueba con fines ilícitos, y podía haber usado cualquier otro proveedor, la técnica también podría ser empleada, en principio, para descifrar la información de las tarjetas de crédito. Y el investigador alemán afirma haber experimentado con velocidades que le permitirían probar un millón de contraseñas por segundo. La "llave maestra" de los hackers. Lo que más asusta a otros, sin embargo, es que los criminales que usan la nube también son muy difíciles de rastrear. Y es que la mayoría de las compañías que manejan información financiera tienen estándares muy estrictos de seguridad. "Todo se resume a qué tan bueno es el sistema de encriptado", explica Mark Bowerman, portavoz de Acción contra el Fraude Financiero, el grupo que coordina las iniciativas de seguridad del sector en el Reino Unido. "Incluso teniendo supercomputadoras, o el poder de cientos de miles de computadoras conectadas en red, si el encriptado es lo suficientemente fuerte se necesitarían años para poder romper nuestras contraseñas", aseguró. Pero, desafortunadamente, muchas personas tienen la costumbre de utilizar la misma contraseña para varios servicios. "Y, por eso, una vez que un hacker se adueña de un correo electrónico, esa es como una llave maestra para todo lo demás", explicó Rik Ferguson, de la compañía de seguridad Trend Micro. "Por eso, la gente debería de ser más cuidadosa con sus contraseñas y emplear contraseñas diferentes para cada cuenta en línea", recomienda en consultor en seguridad informática Graham Cluley. De lo contrario, podríamos estar aumentando el riesgo de caernos de la nube, incluso si nuestro banco es una garantía de seguridad. ______________________________________ Encontrará más documentos en la Sección de Descargas de Seguridad GITS Informática. Gits mira por tus derechos. Gits es Pro-Vida. Por razones ecológicas y económicas, imprima este documento solo si es necesario y, a ser posible, en papel reciclado. Recomendamos la visualización de este documental: http://www.youtube.com/watch?v=SWRHxh6XepM. Gracias por su colaboración con el medio ambiente. Copyright (c) 2003. Gits Informática. All rights reserved.