El Cloud Computing se ha convertido en la corriente principal empresarial y el principal (valga la redundancia) desafío para las empresas pasa por mejorar la manera de administrar las operaciones y la seguridad al utilizar «varias nubes».
Hablemos un poco de cómo está el mercado
La mayoría de las grandes empresas, tal y como ya os contamos aquí el otro día, utilizan entre tres y cinco proveedores de la nube para ayudar con IaaS, PaaS, SaaS o sus variantes.
A pesar de estos datos que ya os mostramos, sólo entre el 20% y el 30% de las cargas de trabajo se ejecutan en la nube. Está claro que este es un mercado en expansión y que cada vez más, las empresas, además de apostar por el Cloud, lo usará para gestionar los datos, pero además de poner la atención en la gestión de datos, debería poner más atención aún en la seguridad de esos datos.
Como decía, con este crecimiento del mercado, también crece la complejidad y, a su vez, crece el riesgo y la amenaza a la seguridad del mismo. La postura de riesgo de una empresa se ve directamente afectada por el modelo de adopción de nube (CAM) elegido, ya sea una nube única o varias. Cada CAM tiene diferentes ramificaciones de seguridad, lo que lleva a distintas posturas de riesgo.
Compartir riesgos como solución
Los proveedores de servicios en la nube (CSP) suelen utilizar un modelo de seguridad compartida con el cliente. Los investigadores de Forrester se refieren a este modelo de seguridad en una traducción literal como «el apretón de manos desigual«. Según Gartner, hasta el 2022, al menos el 95% de los fallos de seguridad en la nube serán culpa del cliente.»
Por el momento este modelo de seguridad no se ha estandarizado y puede llevar a conclusiones diferentes según el punto de vista que adoptemos ya que este modelo supone que los clientes están bien versados en todos los servicios y características de seguridad de una nube ya dada, incluyendo la evolución casi diaria que sufren.
Desde la otra perspectiva, regulaciones como la GDPR ponen la responsabilidad de una forma casi absoluta en los «controladores de los datos» y juicios recientes toman a los CSP como simples «procesadores de datos», con lo que toda la carga de la seguridad está sobre los hombros del cliente como propietarios de los datos que son realmente.
CSP como proveedor de seguridad en la nube
Una vez que hemos visto lo anterior, hablaremos ahora de que los principales proveedores de la nube, para entregar la elasticidad, disponibilidad y resistencia de los servicios, han construido infraestructuras extensas y algunos han invertido grandes cantidades en ello. Para lograr esto, se requieren características de red especiales entre instalaciones de datacenters y acuerdos con varios proveedores de telecomunicaciones.
Cada CSP, por tanto, tiene un ecosistema de infraestructura propio y las actividades intrusivas tienden a romper la confianza de los CSP a gran escala. Los CSP también suelen tener mucha experiencia en seguridad y suelen también gastar millones en ello, en garantizar que su infraestructura en la nube permanezca segura.
Sin embargo, estos aumentos de seguridad se vuelven más complejos en modelos híbridos o multinube como decíamos al principio de la entrada o también por «culpa» de los entornos de código abierto.
¿Es prudente confiar en un CSP para que actúe como único proveedor de seguridad en la nube en un entorno multicloud?¿Es mejor equilibrar y repartir las cargas entre cliente y proveedor? ¿Y entre varios proveedores?
Otro problema de esta gestión de la seguridad por terceros (o entre varios CSP) está precisamente en la opacidad que existe entre los distintos servicios en la nube. No se puede proteger aquello a lo que no se tiene acceso.
A medida que los mercados crecen, los CSP se ven obligados a formar alianzas entre ellos para evitar la problemática anteriormente expuesta, aún así no se puede afirmar que éste sea el modelo de seguridad que mejor combata las amenazas.
Entonces ¿qué hacemos? Un viejo conocido como respuesta
Parece que existen más preguntas que respuestas en cuanto a en manos de quien dejar la seguridad de nuestros ecosistemas multicloud. Bien, una solución que es una vieja conocida es la llamada «confianza cero». Bajo este modelo, las organizaciones adoptan un principio de «privilegio mínimo», según el cual se presume que cada usuario es un extraño y el acceso se otorga según las necesidades de conocerlo. La confianza cero se puede implementar con puertas de enlace seguras, una microsegmentación de redes y proxies de identidad para otorgar a los usuarios autorizados acceso a los datos, incluso dentro de la propia organización.
Al segmentar tanto las redes y establecer micro perímetros y comunidades de confianza, los clientes de la nube pueden lograr una red de seguridad más sólida contra las infracciones, con independencia del origen y de los CSP. Vemos que, una vez más, tiene que ser el propio usuario el que ponga las trabas a las amenazas, algo similar al ya manido mantra en el mundo de la informática «el mejor antivirus eres tú».