José Carrizales
Escrito por José Carrizales el 05 febrero, 2021

Beneficios y riesgos de cómputo en la nube

Hace 20 o 25 años atrás ya era muy común compartir y consumir recursos a través de una red. Sin embargo, el concepto de computación en la nube nace a partir del siglo 21. Actualmente, se utiliza la nube y sus distintos servicios para ejecutar la mayoría de nuestras aplicaciones de ocio y/o trabajo. Algunas aplicaciones aún pueden residir en Datacenters privados, pero lo que se busca en mayor medida es migrar esas aplicaciones de una arquitectura legacy a ambientes dinámicos y escalables como la nube.

Beneficios y características de la nube

Si bien es cierto que existen varios proveedores de nube pública, como AWS, Azure, GCP, Alibaba Cloud, IBM Cloud, entre otros, finalmente todas tienen ventajas similares y dependiendo de la aplicación o la carga de trabajo que quisiéramos llevar a la nube nos convendría una u otra. Aquí algunos de los beneficios y características globales:

<<< 5 riesgos en la nube y cómo gestionarlos >>>

      • En lugar de tener que invertir mucho en centros de datos y servidores antes de saber cómo los vas a usar, puedes pagar solo cuando consumes recursos informáticos y solo pagar por la cantidad que consumes. Esto se define por algunos proveedores de nube como “Cambie los gastos de capital por gastos variables”.
      • Al utilizar la computación en la nube, se puede lograr un costo variable más bajo que el que puedes obtener por tu cuenta. Debido a que el uso de cientos de miles de clientes se agrega en la nube, los proveedores como Azure, AWS y Google Cloud pueden lograr mayores economías de escala, lo que se traduce en menores precios de pago por uso o como se conoce en inglés pay-as-you-go.
      • Eliminar la necesidad de adivinar sobre las capacidades de su infraestructura. Cuando tomas una decisión de capacidad antes de implementar una aplicación, a menudo terminas incurriendo en costosos recursos inactivos o lidiando con una capacidad limitada. Con la computación en la nube, estos problemas desaparecen. Puedes acceder a tanta o poca capacidad como necesite, y escalar hacia arriba y hacia abajo según sea necesario en solo unos minutos.
      • Aumentar la velocidad y la agilidad a través de un entorno de computación en la nube, los nuevos recursos de TI están a solo un clic de ser desplegados, lo que significa que reduces el tiempo para poner esos recursos a disposición de tus desarrolladores, de semanas a solo minutos. Esto da como resultado un aumento dramático en la agilidad de la organización, ya que el costo y el tiempo que lleva experimentar y desarrollar es significativamente menor.
      • Dejar de gastar dinero en la gestión y el mantenimiento de centros de datos y céntrate en proyectos que diferencian tu negocio, no en la infraestructura. La computación en la nube te permite concentrarte en tus propios clientes, en lugar de en el trabajo pesado de almacenar, apilar y alimentar servidores.
      • Globalízate en minutos e implemente fácilmente su aplicación en varias regiones del mundo con solo unos pocos clicks. Esto significa que puedes proporcionar latencias más bajas y una mejor experiencia para sus clientes a un costo mínimo.

Categorías de computación en la nube

      • Infraestructura como Servicio: IaaS contiene los componentes básicos para la TI en la nube. Por lo general, proporciona acceso a funciones de red, computadoras (virtuales o en hardware dedicado) y espacio de almacenamiento de datos. IaaS te brinda el más alto nivel de flexibilidad y control de gestión sobre tus recursos de TI. Es muy similar a los recursos de TI existentes con los que están familiarizados muchos desarrolladores y departamentos de TI.
      • Plataforma como Servicio: PaaS elimina la necesidad de administrar la infraestructura subyacente (generalmente hardware y sistemas operativos) y le permite concentrarse en la implementación y administración de las aplicaciones. Esto te ayuda a ser más eficiente, ya que no necesitas preocuparte por la adquisición de recursos, la planificación de la capacidad, el mantenimiento del software, la aplicación de parches o cualquier otro trabajo pesado no involucrado en la ejecución de su aplicación.
      • Software como Servicio: SaaS te proporciona un producto completo que es ejecutado y administrado por el proveedor de servicios de nube. En la mayoría de los casos, las personas que hablan de SaaS se refieren a aplicaciones de usuario final (como el correo electrónico basado en web). Con una oferta de SaaS, no tienes que pensar en cómo se mantiene el servicio o cómo se administra la infraestructura subyacente. Solo necesitas pensar en cómo usarás ese software en particular.


Figura 1. Arquitectura en la Nube

Como puedes observar estos 3 tipos de categorías son muy fáciles de comprender y quizás hoy en día ya consumes al menos un producto en alguna de estas modalidades. Por ejemplo, un ITSM basado en cloud vendría siendo un servicio SaaS.  Pero ahora viene la pregunta más importante de todas, ¿cómo protegemos estos servicios en la nube? Y si te das cuenta estoy haciendo esta pregunta luego de hablarte de computación en la nube, sus beneficios, los tipos de nube y categorías que existen, pero estoy colocando la seguridad al último adrede para que no cometas el mismo error.

Siempre debemos tener el pensamiento de “La seguridad va primero” y, es normal que no estemos entrenados o acostumbrados para pensarlo así, ya que siempre lo vemos desde la necesidad del negocio y pocas veces prestamos atención a lo que ese aplicativo o infraestructura no debería ser capaz de hacer desde un punto de vista de arquitectura de ciberseguridad.

Es importante resaltar que bajo cierto tipo de categoría, la responsabilidad de la ciberseguridad recae en el proveedor de nube y bajo otras categorías recae sobre el arrendatario de nube. Esto se conoce mejor como el MODELO DE RESPONSABILIDAD COMPARTIDA.

El modelo de responsabilidad compartida lo que plantea a nivel de los CSP o Proveedores de Nube, es que dependiendo del tipo de computación en la nube que estés utilizando e incluso el tipo de servicio, se dividen o se reparten alguna responsabilidad bien sea en las capas inferiores o en las capas superiores. Se entiende por este modelo que el proveedor es responsable de la nube, pero el cliente es quien en realidad es responsable de sus servicios en la nube.

<<< Amenazas de ciberseguridad más comunes en Latinoamérica >>>

Por ejemplo, si nos fijamos en la imagen a continuación podemos darnos cuenta de que el proveedor de nube es responsable de la seguridad física donde se encuentra el hardware y además es responsable de la plataforma de virtualización.

Figura 2. Modelo de Responsabilidad Compartida

Este modelo nos ayuda en gran medida como clientes a entender cuándo es nuestra responsabilidad y qué necesitamos proteger que no esté protegiendo ya el proveedor de nube. Aquí es donde empezamos a estar un poco más consciente y a hacernos preguntas como ¿necesito desplegar tecnologías de ciberseguridad adicionales en mis ambientes de nube?, ¿no es el proveedor de nube lo suficientemente seguro?, ¿está enfocado mi proveedor de nube en seguridad nativa?, ¿Cuáles herramientas son las más efectivas? ¿Cuál proveedor de ciberseguridad debería seleccionar? A fin de cuentas, tener cargas de trabajo en la nube en gran medida no es más que mudar de datacenter a otra localidad.

Los riesgos, las amenazas y las vulnerabilidades siguen estando presente en estos ambientes de nube, independientemente del proveedor. Quizás uno de los puntos que más preocupan es el robo o filtración de información y para evitar que esto pase también necesitamos procesos, controles y políticas.

Riesgos del cómputo en la nube 

Como comenté anteriormente, los riesgos de seguridad en la nube, vienen siendo los mismo que tenemos hoy en día en premisas, evidentemente restando la preocupación de la seguridad física de nuestros centros de datos y la seguridad de nuestra plataforma de virtualización. Sin embargo, se introducen riesgos nuevos por las características intrínsecas de la nube.

Después de todo, como comenté anteriormente, en cierta medida lo que estamos haciendo con la nube es colocar nuestra infraestructura en otra localidad, pero agregando casos nuevos de uso dinámicos, escalables y transformadores. Algunos casos de uso son:

      • Creación de aplicaciones nativas de la nube, web, móvil y API.
      • Despliegue de tecnologías nativas de la nube, como contenedores, Kubernetes, arquitectura de microservicios, comunicación impulsada por API y DevOps.
      • Almacenamiento y copias de seguridad a gran escala, transfiriendo datos a través de internet.
      • Análisis de aprendizaje automático e inteligencia artificial.
      • Entrega de software bajo demanda también conocido como software como servicio (SaaS)
      • Entre otros casos de uso.

Los problemas que pueden llevar a materializar riesgos en conjunto con los casos de uso pueden ser la falta de cumplimiento en regulaciones o estándares, falta de control sobre los ambientes de nube, problemas de malas configuraciones y contratos comerciales que son difíciles de adaptar a un modelo de nube. Definitivamente estos riesgos luego se pueden materializar en amenazas y posteriormente en una vulnerabilidad.

Alguna de las amenazas que considero más comunes son las siguientes:

      • APIs Inseguras
      • Debilidad de la Cadena de Suministro
      • Ataques DDoS
      • APT (Amenazas Persistentes Avanzadas
      • Error Humano o Malas configuraciones
      • Filtrado de Información
      • Contaminación de la Data (Integridad)
      • Acceso no Autorizado a través de Hijacking
      • Falta de Visibilidad

Evidentemente estas son algunas de las amenazas, sin embargo, debemos estar consciente que existen muchas más, para mitigarlas es posible desplegar tecnologías de ciberseguridad del proveedor de nube o de un proveedor en particular que ofrezca seguridad nativa para ambientes nube o multi nube con productos de CWPP o CSPM. En el caso de los distintos proveedores de nube, tenemos la siguiente tabla que nos muestra algunos de los controles que podemos implementar para mejorar nuestra postura de seguridad y ganar visibilidad.

 
 Figura 3.  Mapeo de Controles en los CSP

Sin embargo, es importante recalcar, que la seguridad en la nube no puede ser vista desde un punto ON-PREMISES ya que el compartir de los servicios y del tráfico es muy dinámico. Por último, quisiera compartir contigo la publicación de NIST 500-291- Versión 2 (Arquitectura de Seguridad de Referencia), donde se detallan algunos de los estándares y guías para la segura adopción de la nube. Sin embargo, no debe tomarse como una guía definitiva, más bien complementaria.

Nueva llamada a la acción

Escrito por José Carrizales 5 febrero, 2021
José Carrizales