martes, 11 de agosto de 2009

Seguridad en la nube según NIST


Una de las tendencias tecnológicas más valoradas, como ya nos dijeron los oráculos, es sin duda el Cloud Computing. Estoy seguro que casi todo el mundo sabe ya lo que es y cómo funciona, y además hay mejores definiciones por ahí que la que yo pueda dar, así que no entraré a detallar qué significa SaaS, PaaS, IaaS, o las tecnologías implicadas en la construcción de estos, aquí por ejemplo podemos encontrar una introducción rápida que viene bien.

Hace unos días NIST presentaba algo de material acerca de este tema, en particular una ppt que sirve no como palabra de NIST (o sea, que no es una guía oficial), sino como recurso educativo, una recopilación de material sobre Cloud Computing, de dónde sale el término, qué es y cómo utilizarlo de forma segura, discutiendo sus ventajas y los desafíos que presenta a nivel de seguridad de la información. Para repetirlo una vez más y que también salgan en este blog, aquí va el listado de ventajas del cloud computing:
  • Fragmentación de los datos, que estarán alojados (dispersos, si traducimos literalmente) en distintos lugares. (Como se dice en España, es el principio de no poner todos los huevos en la misma cesta).
  • Equipo de seguridad dedicado
  • Mayores inversiones en infraestructuras de seguridad
  • Controles de seguridad implantados bajo demanda
  • Protección frente a ataques a nivel de red, gracias a las medidas de los hipervisores
  • Posible reducción de las actividades orientadas a la certificación y la acreditación, al acceder a entornos ya certificados. Simplificación de los análisis de cumplimiento (normativo, se entiende)
  • Datos custodiados por un tercero objetivo (según indican los propios proveedores de cloud hosting)
  • Mayor fiabilidad y tolerancia frente a fallos
  • Soluciones de almacenamiento de datos y recuperación frente a desastres, de bajo coste. Reconstitución del servicio rápida.
  • Detección de ataques e intentos de manipulación de los sistemas, en tiempo real. Posibilidad de utilizar redes honeynet avanzadas
Algunas de estas ventajas son evidentes, como por ejemplo el hecho de centralizar las infraestructuras de seguridad, lo que redunda en una reducción de costes, o la posibilidad en caso de fallo de relanzar el servicio que uno tiene contratado con mucha más rapidez, o incluso que no llegue a perderse en ningún momento.

Otras, en cambio, chocan con las propias desventajas listadas en esta ppt, con lo cual serán ventajas o desventajas según cada cual. Por ejemplo, el hecho de que los datos que uno almacena en la nube estén alojados a la vez en lugares diferentes planteará un problema de cumplimiento con las leyes de protección de datos, puesto que será posible que los datos estén no sólo en tu país, sino en otros donde el proveedor de cloud hosting tenga infraestructuras. O el hecho de que los datos estén custodiados por un tercero que se define como objetivo, hace que te cuestiones de quién te fías más: si de ese tercero, o de tus propias infraestructuras y tus propios administradores de sistemas, como nos hacen ver los que saben de verdad.

Habrá que estar atento a ver cómo sigue esta nueva línea de documentación de NIST. De momento, está bien como recopilatorio, aunque tampoco nos han contado nada realmente nuevo: más o menos las mismas ventajas y riesgos salen hasta en wikipedia.

Slds!




Si te gustó esta entrada, quizás quieras suscribirte al blog por RSS...