Entorno nube seguro con un Telco Cloud Provider

martes, 25 de julio de 2017


En la actualidad, nadie puede negar los importantes beneficios de la computación en la nube, tanto en su modalidad de infraestructura como servicio (IaaS) como en software como servicio (SaaS). La computación en la nube implica ahorro de costes, flexibilidad a la hora de satisfacer las necesidades de las organizaciones e innovación. En suma, es un factor fundamental en la transformación digital corporativa. Sin embargo, los entornos en la nube conllevan un cierto nivel de complejidad a la hora de gestionar la seguridad TI, debido a que las organizaciones delegan en terceros la responsabilidad del almacenamiento y control de datos sensibles. A lo largo de este artículo, se identificará los retos de la seguridad en la nube y en consecuencia se propondrá un modelo de seguridad, de acuerdo a la perspectiva de un Telco Cloud Provider, para facilitar y asegurar el viaje hacia el entorno en la nube.

Los profesionales de TI y de seguridad son plenamente conscientes de los riesgos para la seguridad de la información y de cómo estos afectan a los entornos en la nube. Sin embargo el continuo bombardeo de noticias sobre ciberataques, a parte de fomentar la concienciación de seguridad en el público en general –lo que es claramente necesario-, está contribuyendo a difundir una serie de ideas equivocadas sobre el nivel de seguridad de estos entornos.

¿Qué crees que es más conveniente?, ¿guardar el dinero en el colchón o en un banco? Con el dinero en el colchón, este estará siempre disponible (simplicidad) y puede ser menos probable que seas seleccionado por los delincuentes como objetivo, pero si por alguna razón alguien asalta tu casa, sin duda necesitaras el mejor sistema de protección para impedirlo o detectarlo. Debemos preguntarnos entonces si somos capaces de implementar medidas de seguridad similares a las de un banco.

En el informe de Visión en Nube 2016 de IDC, se constató que las preocupaciones de seguridad siguen siendo el inhibidor clave para continuar con el despliegue de entornos en la nube. ¿Esta impresión está fundamentada en circunstancias reales? Creemos que no. La mayoría de los ataques cibernéticos no están relacionados con la propia infraestructura de la nube ni tampoco pueden atribuirse al proveedor de estos servicios. Por su parte, Gartner sustenta esta presunción en un reciente análisis el cual presume que, hasta 2020, el 95 por ciento de los fallos de seguridad en la nube serán responsabilidad del cliente.

Aunque el riesgo de seguridad es similar para un entorno de nube o en local, es necesario ser conscientes de que existen tres inconvenientes que deben ser atajados: la complejidad, comunicaciones vulnerables y el aumento en la exposición de los activos.

Complejidad de un entorno sin fronteras
El perímetro de las organizaciones actuales ha sido demolido por tecnologías como la movilidad, las redes definidas por software (SDN) y los servicios en la nube, así como por requisitos operativos como son la necesidad de segurizar el proceso de producción o la cadenas de suministro. Gartner vaticina que para el año 2018, el 25% del tráfico de datos corporativos fluirá directamente de los dispositivos móviles a la nube, evitando controles de seguridad empresariales tradicionales. Esto es un quebradero de cabeza para los departamentos de TI, quienes han de ocuparse de docenas de servicios de terceros alojados en diferentes nubes, proveedores de aplicaciones SaaS y servicios en la nube no autorizados tanto desde el interior del perímetro, como desde el exterior, lo que parece prácticamente imposible de manejar. Por esta razón, las organizaciones demandan a los proveedores de servicios en la nube la implementación de controles de seguridad adecuados, por lo menos equivalentes a los que se podría implantar en un centro de datos local, y además establecer mecanismos de control y notificación flexibles y efectivos.

Calidad de Servicio en Comunicaciones
Aunque las organizaciones puedan acceder a sus Virtual Private Clouds (VPC) a través de Internet, esta opción presenta inconvenientes diversos y costosos, como problemas de seguridad de las comunicaciones, latencia, demoras, pérdida de datos y jitter, entre otros. Esto, pone en riesgo la calidad de servicio (QoS) esperada de una red de datos en un entorno profesional cuando se trata de acceder a aplicaciones corporativas.

Exposición de aplicaciones
En el momento de abandonar el perímetro corporativo y hacer uso de SaaS o aplicaciones de cliente en IaaS, se presenta una mayor exposición y por tanto una mayor facilidad para explotar las vulnerabilidades. Este riesgo es una consecuencia indirecta de la migración de las aplicaciones corporativas a la nube. No es intrínseco a la propia nube, sino que reside en las vulnerabilidades no solucionadas en estas aplicaciones que por haber estado en un entorno más o menos cerrado han pasado desapercibidas. Puesto que las organizaciones han asumido que vivir en un agujero en el suelo ya no es una opción, entonces es necesario implementar una serie de buenas prácticas, tales como monitoreo de seguridad, evaluación de vulnerabilidades o gestión de identidad y acceso.

Seguridad de la nube
Los proveedores de servicios en la nube ponen el foco en asegurar la infraestructura, implementando mecanismos similares a los que usualmente se utilizan en los centros de datos, convirtiendo en transparentes estas medidas para los clientes. Estas medidas incluyen:
  • Resiliencia de la información: el proveedor de servicios de nube debe tener almacenamiento distribuido en varias regiones para garantizar la disponibilidad global. Como parte de su oferta global de servicios en la nube, Telefónica ofrece nodos en diferentes países para resolver problemas regulatorios locales, sin socavar una perspectiva unificada y global que pueda ser requerida por clientes multinacionales o que necesiten portabilidad de información entre regiones.
  • Segmentación: en un entorno compartido, debe garantizarse el aislamiento total entre los usuarios y que el uso (o abuso) de uno de ellos no afecta el rendimiento del resto.
  • Certificaciones: las certificaciones de terceros brindan garantías sobre la implementación y operación de las medidas de seguridad. Organizaciones como Cloud Security Alliance (CSA) otorgan certificaciones como CSA Star, basadas en el grupo de estándares ISO 27001 y adaptadas específicamente para servicios en la nube.

Seguridad hacia la nube
La mejor opción para abordar el problema de comunicación entre la red privada y la VPC es permitir la extensión de redes privadas virtuales (VPN) sobre tecnología IP / MPLS y con cobertura global. De esta manera, todos los recursos corporativos, instancias, bases de datos o puntos finales, independientemente de dónde se encuentren, son visibles en la misma LAN. Este modelo permite incluir fácilmente una capa de seguridad adicional mediante firewalls de próxima generación desplegados en la misma red de acceso para filtrar y bloquear cualquier malware y tráfico no deseado, lo que se conoce como servicios de Redes Limpias. Por último, las organizaciones pueden delegar el despliegue de la defensa perimetral en el proveedor de acceso a Internet, obteniendo una arquitectura de fácil escalabilidad, una mayor resiliencia y una reducción de costos (moviendo CAPEX a OPEX), y si el provedor de acceso a internet también puede proporcionar el entorno en la nube las sinergias serán significativas, a la vez que se garantiza una seguridad extremo a extremo.

Sumado a lo anterior, una propuesta integrada de servicios de nube y telecomunicaciones permite contratar servicios diferenciales de primera clase como AntiDDoS (Global Shield) que detiene los ataques desde la red, incluso antes de que afecten al centro de datos.

Seguridad en la nube
  • Visibilidad y control: también es necesario resaltar la importancia de contar con herramientas que permitan una visibilidad del estado general de seguridad, así como herramientas de monitorización, detección y respuesta. Una plataforma de análisis de vulnerabilidades como es Vamps puede integrarse en los procesos de prueba y contribuir a un proceso de desarrollo más seguro
  • Integración con plataformas de seguridad gestionadas: uno de los factores diferenciales de un proveedor de servicios en la nube es poder ofrecer una perfecta integración con servicios de Seguridad Gestionada (MSS/Managed Security Service). Si el mismo proveedor puede ofrecer ambos, la complejidad, el principal quebradero de cabeza de la seguridad gestionada, se reduce de manera significativa.
  • Gestión del riesgo y el cumplimiento normativo: es necesario contar con herramientas específicas para la gestión de riesgos y el cumplimiento normativo que se adapten a los servicios en la nube. Telefónica dispone en su cartera una solución específica, Sandas GRC, que interacciona con los recursos corporativos desplegados en la nube de Telefónica.
  • Gestión de Identidad y procesos de Autenticación: la plataforma de servicios en la nube debe ofrecer la capacidad de una gestión integral y genérica de la identidad, que se interrelacione con la del resto de servicios utilizados por la organización, como por ejemplo los de comunicaciones o aplicaciones. Para ello, Telefónica ofrece servicios tan conocidos como Latch y Mobile Connect en su oferta de servicios en la nube.

La solución de un Telco Cloud Provider
Como vemos, si se opta por un Telco Cloud Provider, las organizaciones pueden disponer de una oferta de productos integrados –alojamiento, comunicaciones, servicios especializados de seguridad, operación y soporte–, los cuales, al haber sido diseñados de manera holística, conllevan un dimensionamiento adecuado a las necesidades de seguridad, simplicidad a la hora de operar el sistema, garantía de calidad de servicio (QoS) en las comunicaciones y un ahorro de costes al contratarlo conjuntamente.

En resumen, Telefónica, gracias a su capacidad de proveedor integral, es capaz de ofrecer una solución única de seguridad en la nube en la que se combinan los servicios de alojamiento con la reputada experiencia de Telefónica para ofrecer calidad de servicio en las comunicaciones y también con la más avanzada protección de los productos de ElevenPaths operados desde los Centros de Operaciones de Seguridad (SOCs) desplegados por todo el mundo.

Mercedes Soto Rodríguez 
Jefe de Producto de seguridad en la nube 

Francisco Oteiza Lacalle 
Jefe de producto de Seguridad Gestionada 

No hay comentarios:

Publicar un comentario