Cloud Computing es actualmente uno de los términos de moda en la Sociedad de la Información. Desde hace varios años se viene hablando de la implantación de servicios en la nube como el futuro de la computación. El uso de las infraestructuras Cloud todavía es bajo pero avanza con paso firme hacia su implantación masiva. Este auge puede ser debido a una situación económica global en la que las inversiones en tecnología pueden resultar demasiado costosas.
La decisión de migrar los servicios de una entidad a la nube no debe tomarse a la ligera, ya que tiene muchas implicaciones que deben ser tenidas en cuenta. Lo primero de todo es conocer el modelo a utilizar tanto de infraestructura como de modelo de servicio. Las opciones son varias, en cuanto a los tipos de infraestructuras:
- – Infraestructura cloud pública: La infraestructura (así como el control de recursos, procesos y datos) pertenece a una organización externa a nosotros. Esta organización nos ofrece su equipamiento y su capacidad de proceso a todos los usuarios y de esta manera usamos sus servicios web, compartimos espacio en disco u otras infraestructuras de red con otros usuarios.
- – Infraestructura cloud privada: La infraestructura ha sido creada, pertenece y es administrada por la propia entidad, la cual decide dónde y cómo se ejecutan los servicios cloud.
- – Infraestructura cloud híbrida: En ellas coexisten los dos modelos anteriores. Por ejemplo, una entidad hace uso de una nube pública para mantener su servidor web mientras que mantiene su servidor de bases de datos en su nube privada.
- – Infraestructura cloud comunitaria: La infraestructura pertenece a un grupo de entidades que forman una comunidad con principios similares (misión, políticas y cumplimientos normativos) que la utilizan para la implantación de servicios comunes.
Una vez se comprende esta clasificación, es conveniente conocer los modelos de servicio que pueden ofrecer estas infraestructuras:
- – Software como servicio (SaaS): En este modelo se ofrece un despliegue de software en el cual las aplicaciones y recursos se diseñan para ser ofrecidos como servicios bajo demanda. El cliente usará el sistema alojado por una empresa y ésta mantendrá la información del cliente en sus servidores. La empresa proporcionará herramientas para la explotación de la información.
- – Infraestructura como servicio (IaaS): En este modelo únicamente se contrata la infraestructura por lo cual el suscriptor del servicio ha de desarrollar sus propias aplicaciones y servicios. En vez de adquirir servidores o equipamiento de red, el cliente sólo contrata una conexión a Internet y todos estos recursos se encuentran en una empresa externa. El cliente instala las aplicaciones que necesite en la infraestructura contratada.
- – Plataforma como servicio (PaaS): En este modelo los servicios se ofrecen bajo demanda. Para ello, la empresa prestadora del servicio despliega el entorno necesario (hardware y software) para su funcionamiento.
Con esta clasificación queda claro que la elección de cada modelo tiene unas implicaciones de seguridad distintas, principalmente relativa a quién gestiona la seguridad de éstos entornos.
Una vez definidos los responsables de la seguridad en cada una de las variantes de Cloud Computing se puede saber cuáles son las principales amenazas de estas infraestructuras, que se engloban en tres grandes bloques:
- – Identificación y control de acceso.
- – Seguridad de los datos.
- – Cumplimiento normativo.
Identificación y control de acceso
La identidad y la definición de políticas de control de acceso a los datos son una parte básica de la seguridad en Cloud, dado que las infraestructuras suelen ser compartidas por múltiples usuarios. Por lo tanto, una mala definición de estas políticas puede derivar en accesos no autorizados a los datos y, en última instancia, en el robo o la destrucción de los mismos.
Debido a la posibilidad de graves incidentes de seguridad, se hace necesario comprobar la política de identidad y control de acceso que define el proveedor del servicio, siendo recomendable la utilización de algún estándar de identificación tipo OpenID o SAML (Security Assertion Markup Language) y siendo absolutamente necesario la implementación de controles de acceso a los recursos para que los usuarios únicamente tengan acceso a aquello para lo que han sido autorizados.
Seguridad de datos
El tema de la seguridad de los datos es posiblemente la parte más importante de la protección de las infraestructuras Cloud. En este sentido, es importante que los proveedores de servicio garanticen la seguridad de los datos tanto en reposo como en tránsito mediante técnicas criptográficas, usos de canales seguros de comunicación, etc.
Otro aspecto de vital importancia es el tema de la protección de datos ya que, cuando se implanta un servicio en Cloud, los datos pueden ser disgregados entre diferentes de servidores en multitud de localizaciones físicas diferentes. Por lo tanto, si los datos que gestiona el servicio Cloud contienen información personal sujeta a los términos de la Ley Orgánica de Protección de Datos (LOPD) se debe ser muy cauto a la hora de contratar el servicio.
Las implicaciones de la protección de datos parten del reto de definir quién es el responsable y quién es el encargado del tratamiento de los datos, así como de conocer las legislaciones en materia de protección de datos de los países donde se encuentren los servidores que alojen los datos. En los países de la Unión Europea la protección de los datos personales tiene un marco legal similar. En otros países las legislaciones son muy heterogéneas. Para conocer el marco legal en estos países lo mejor es consultar con la Agencia Española de Protección de Datos.
No obstante, existe un marco de colaboración con Estados Unidos que permite almacenar y tratar datos a las empresas adheridas a la iniciativa Safe Harbor, que establece unas guías sobre cómo realizar el tratamiento de los datos personales para la aprobación del mismo por parte de la Unión Europea.
En España están indicadas las normas por las que se rigen los movimientos internacionales de datos en la “Instrucción 1/2000” de la Ley Orgánica de Protección de Datos. Para países que no proporcionen un nivel adecuado de protección se tendrá que consultar el artículo 70 de la LOPD española.
Cumplimiento normativo
La elección de un proveedor de servicios Cloud debe ofrecer unas garantías. Una de las mejores formas de evaluación de las mismas es que cumplan con normativas de prestigio y reconocidas internacionalmente (ISO27000, BS 25999, etc.).
La obtención de la certificación en este tipo de normativas indica que, al menos, los procedimientos se encuentran documentados, probados y evaluados por terceros de confianza que garantizan su correcto funcionamiento.
El suscriptor del servicio puede definir en el “Acuerdo de Nivel de Servicio” (ANS), la posibilidad de realizar auditorías en el proveedor siempre que ambas partes lleguen a un acuerdo.
Otro aspecto importante del cumplimiento normativo es el nivel de auditoría que se realiza en los sistemas, ya que los proveedores deben mantener registro de todo lo que ocurre en sus infraestructuras. De cara a un posible fallo o incidente de seguridad se deben poder obtener las evidencias electrónicas necesarias para la investigación del mismo.
En el ANS que se firma con los proveedores también se han de definir los tiempos máximos de recuperación del servicio (desde el momento de la caída). En estos casos, la posesión de certificaciones en materia de planes de contingencia y continuidad de negocio indica que esos tiempos de recuperación han sido estimados en base a un conocimiento previo.
Dado que el Cloud Computing es un tema novedoso, y con cierta complejidad, existe numerosa documentación al respecto. Desde el Centro de Respuesta a Incidentes en Tecnologías de la Información de INTECO, INTECO-CERT, se recomienda el informe “Security and Resilience in Governmental Clouds”, elaborado por la ENISA, y el informe “Riesgos y amenazas en Cloud Computing” de creación propia.
Autores:
 INTECO-CERT es un equipo de respuesta ante emergencias informáticas (del inglés, Computer Emergency Response Team) del Instituto Nacional de Tecnología de la Comunicación (INTECO), responsable del desarrollo de medidas preventivas y reactivas ante incidencias de seguridad en sistemas de información. |
