Se ha debatido y se debate mucho sobre todos los aspectos del “Cloud Computing”,desde el más vehemente detractor del modelo de negocio hasta el más apasionado defensor de su filosofía. En otra dimensión paralela se encuentra la seguridad, aspecto sumamente importante e inherente al negocio. Como no podría ser de otra manera volvemos a tener detractores y defensores del modelo. A decir verdad, es probable que haya más detractores.

Esta última aseveración se sustenta en la aparición de fuertes iniciativas nacidas a consecuencia de este tipo de miedos. Los miedos, como todo en la vida, surgen por riesgos potenciales ante lo nuevo y lo desconocido. Por esta razón, surge entre otras iniciativas la Cloud Security Alliance. Que intenta arrojar un poco de luz en este tema a través del análisis y el estudio de la seguridad en este nuevo paradigma.

En cualquiera de los casos, de lo que no hay duda es que la nube es imparable. Todos lo grandes se apuntan (Primero Google, luego Amazon y ahora Microsoft) y sinceramente, parece poco probable que semejantes gigantes se cojan de la mano y se tiren juntos por un acantilado al más puro estilo “Telma y Louise”.

Al margen de todo esto, se hace necesario sentar como base que la seguridad es algo gestionable hasta un punto de compromiso que fija el responsabe de seguridad, independientemente del modelo, la plataforma y la tecnología.

Teniendo en cuenta que es un modelo imparable, lo mejor es ponerse manos a la obra. Por tanto, vamos a hacer una breve reflexión de las 3 dimensiones de la seguridad sobre las 3 modelos de implementar la nube según NIST:

Software como Servicio (Software as a Service - SaaS)

Se entiende como la capa más alta de la nube. Y es la que se utiliza para ofrecer servicios de aplicaciones bajo demanda. El usuario final no tiene ningún control técnico sobre la aplicación y la plataforma. Es el típico servicio que antiguamente se solía denominar ASP. El ejemplo más cotidiano es GMail.

• Confidencialidad: De las 3 formas de implementar la nube, esta es la que menos control tiene el usuario final sobre la confidencialidad. Todo está regido por contratos y actos de fé diversos.
• Integridad: Al igual que la confidencialidad, el usuario tiene que confiar en su proveedor.
• Disponibilidad: Lo mismo que las dos anteriores en cuanto al control.

No cabe duda que este modelo es el más fácil y directo de implementar por los usuarios siempre y cuando, estos confien en el proveedor del servicio. Sin duda, es el más extendido entre los servicios más básicos (como el correo electrónico).

Plataforma como Servicio (Platform as a Service - PaaS)

Este modelo está basado en ofrecer plataformas que nos permitan desplegar nuestros propios desarrollos. Este modelo nos permite un poco más de control que el anterior ya que somos responsables del desarrollo seguro de nuestras aplicaciones.

• Confidencialidad: En este caso, el cliente tiene la oportunidad de orientar sus desarrollos hacía la seguridad y por tanto, siempre es posible desarrollar de cara la preservción de la confidencialidad, utilizando metodos de encriptación, autenticación / autorización, etc. Si estos desarrollos son seguros no habría de que preocuparse. Al menos, es una dimensión controlable.
• Integridad: Suponiendo un desarrollo seguro, esta dimensión al igual que el primer modelo depende de la confianza depositada en el proveedor de la plataforma. Es decir, se ha de suponer que el proveedor hace las pertinentes copias de seguridad y que dispone de un sistema lo suficientemente seguro para que ningún usuario malintencionado ponga en riesgo la integridad de los datos de los usuarios de la plataforma.
• Disponibilidad: Al igual que el modelo anterior, en este caso tampoco hay mucho control más alla de lo meramente contractual.

Infraestructura como Servicio (Infrastructure as a Service - IaaS)

Es el modelo que está a más bajo nivel y consiste en ofrecer la infraestructura necesaria para que los clientes implementen sus propios sistemas (almacenamiento, capacidad de computo, etc.). El modelo más conocido es el de Amazon, que ofrece los servicios EC2 y S3, de virtualización y almacenamiento respectivamente. Ambos servicios te permiten tener tu propio servidor alojado en la denominada “nube de computación” con todas las ventajas de la virtualización (escalabilidad, menores costes, etc.). En definitiva, desde un punto de vista más abstracto (sin tener en cuenta lo físico) es como tener tu propio servidor en un Data Center.

• Confidencialidad: De los tres modelos vistos, es el que mayor potencial tiene para gestionar la confidencialidad debido a un mayor control (desde el sistema operativo hasta la aplicación). Por lo tanto, no dista mucho de los modelos convencionales.
• Integridad: La ventaja principal respecto a los otros modelos es que en este caso, al tener mayor control sobre los sistemas se simplifica la realización de copias de seguridad así como la seguridad propia del sistema donde alojamos el servicio. Del sistema operativo hacía abajo vuelve a entrar en juego la confianza depositada en el proveedor de la infraestructura.
• Disponibilidad: En este modelo, la disponibilidad en la capa de aplicaciones se puede controlar mejor ya que tenemos control sobre nuestro sistema y por tanto siempre podemos implementar servicios WatchDog, servicios de replicación, clustering, etc. Al igual que la integridad, del operativo hacía abajo vuelve a entrar en juego la confianza.

De lo analizado, se desprende que en función del nivel de seguridad requerido para nuestros sistemas, se requiere mayor o menor control de ciertos aspectos. Una vez más, el control en la gestión de la seguridad va parejo con los costes asociados. También hemos visto, que incluso en el modelo potencialmente (digo potencial porque la gestión es necesaria) más seguro es necesario confiar en nuestro proveedor. Como riesgo poco controlable no nos queda más remedio que suscribir contratos, seguros y acuerdos de nivel de servicio (SLA’s) y sobre todo una buena dosis de confianza.

Desde mi subjetivo punto de vista, creo que el nivel de confianza ofrecido por las más grandes en esta materia es el suficiente para la mayoría de las aplicaciones. De hecho, en ellas confiamos muchos información tan importante como nuestro e-mail.

Para finalizar, resaltar que un problema inherente al Cloud Computing es la disponibilidad propia de las líneas de datos de los usuarios. Simplemente, esto se ha omitido porque en un modelo de futuro la disponibilidad de las líneas de datos no debería de ser un tema de debate.

Comentarios

Añadir nuevo Buscar

Escribir comentario
Nombre:
Email:	No notificar:Notificar:
Website:
Título:
Código UBB:	-color-aguanegroazulfucsiagrisverdelimamarrónmarinoolivapúrpurarojoplataturquesablancoamarillo -tamaño-minúsculopequeñomedianograndeenorme
	Por favor introduce el código anti-spam que puedes leer en la imagen.

Powered by !JoomlaComment 4.0alpha3

!joomlacomment 4.0 Copyright (C) 2009 Compojoom.com . All rights reserved."