Oliver Detectius Blog

Detectives Oliver:Detectives Privados- informes financieros - espionaje industrial - infidelidades

Archivo

Lecciones de campo sobre seguridad en Cloud Computing - EMPRESAS

Cloud computing y virtualización llevan copando el vocabulario de las TICs durante el último año, y unificados, invitan al consumo tecnológico mediante el pay-per-use, la escalabilidad y la ansiada conversión de CAPEX a OPEX, fomentando un nuevo proceso de re-industrialización resultando en un Low-Cost hosting.

Desde el punto de vista del Marketing y la Tecnología es tentadora la posibilidad de contratar, instalar y poner en marcha un equipo grande, mediano o pequeño con determinadas características en 15 minutos. Para poder ofrecer un servicio de bajo coste una de las posibles estrategias es la paquetización y limitación de las opciones disponibles. En este sentido, cloud computing ofrece sistemas estándar de seguridad en datos/servicios, copias, alta disponibilidad, etc.

Hasta la fecha la externalización de servicios críticos no se ha basado únicamente en precios, sino que también se ha basado en confianza. Esta relación incluye valores como la adaptación de soluciones a los problemas, la capacidad de negociación del cliente, posibles certificaciones de edificios, gestión de servicios TI, calidad, seguridad y continuidad.

De hecho, una de las primeras consideraciones de seguridad estriba en la ubicación de los datos o aplicaciones, a fecha de hoy la mayor parte de los Cloud Data Centres se encuentran en Estados Unidos; en consecuencia, la primera dificultad es determinar que legislaciones y/o regulaciones aplican a quién.

Adicionalmente, los proveedores como Amazon y Microsoft son Organizaciones de un tamaño y relevancia considerable. Es difícil pensar en clientes con el poder de negociación suficiente para imponer sus condiciones en negociaciones o de depurar responsabilidades en el supuesto de que algo fuese mal con respecto a estas grandes organizaciones.

Otro aspecto a destacar, viene dado por el desconocimiento de cómo se administra y opera el servicio, lo cual cuestiona si existe una apropiada segregación de roles. Al estandarizar los servicios, pueden existir perfiles de administración que tenga acceso a todo, a la base de datos, al código fuente de las aplicaciones o la totalidad de entornos que gestione.

Desde el punto de vista tecnológico, hay que considerar que en vez de una instancia hay muchas disponibles a las que atacar y la imposibilidad de utilizar determinados mecanismos de monitorización como los NIDS (Network Intrusion Detection Systems) dificulta la detección de que equipos están siendo atacados. Lo cual implica un incremento en el tiempo de respuesta ante incidentes de seguridad.

Aunque han aparecido pocas vulnerabilidades aplicables, el aislamiento virtual presenta algunas dudas, recientemente un grupo de atacantes aprovecharon una vulnerabilidad en el software de virtualización para borrar la información de más de 100.000 clientes de una empresa de hosting británica. Los detalles de la vulnerabilidad no han sido publicados, pero permitía acceder desde una máquina virtual al sistema operativo del equipo físico donde estaba siendo ejecutada, lo que implica el acceso con permisos de administración al resto de máquinas virtuales en ese mismo equipo. En consecuencia, el esfuerzo dedicado a la securización de las imágenes, las aplicaciones y las bases de datos utilizadas se vería mermado si las imágenes de otros usuarios no disponen del mismo nivel de protección. Un ataque exitoso al hypervisor puede ser equiparable a cientos de ataques exitosos simultáneos.

Por otro lado, la tecnología también ofrece sus ventajas como la rapidez del despliegue de nuevas versiones de aplicaciones, con mejoras o correcciones de vulnerabilidades. Basta realizar las modificaciones en la imagen y arrancar las nuevas instancias de dicha imagen, a la par que detener las antiguas. Del mismo modo, la recuperación de un sistema que necesite la restauración del sistema operativo y las aplicaciones se puede realizar de forma inmediata mediante la recuperación de la imagen original del sistema; es tan sencillo como copiar y pegar.

En conclusión, la combinación de cloud computing y virtualización ofrece ventajas en cuanto a reducción de costes, mejoras en la disponibilidad y, según el caso, en la reducción de los tiempos de recuperación. Sin embargo, el desconocer dónde están ubicados los sistemas, quién y cómo los administra, y quiénes son los vecinos sugiere una serie de dudas que hace reflexionar si, a día de hoy, cloud computing es una alternativa para las empresas solventes que manipulan información sensible. Si realmente ha llegado el momento de subir funcionalidades a la nube, se antoja fundamental la función del CISO que deberá valorar las ventajas frente a los inconvenientes e impactos, y deberá encontrar un equilibrio en el análisis de riesgos. En cualquier caso, ni los requisitos ni la política de seguridad deberían ser externalizados o impuestos por el proveedor.

Fuente:
Javier Osuna García-Malo de Molina

Respuesta: