Opiniones sobre la seguridad en Internet de la Conferencia de Gartner Data Center

Todd Thiemann

En diciembre asistí a la Conferencia de Gartner Data Center, en Las Vegas, para recabar información sobre cómo ven los profesionales de TI para empresas la virtualización y la computación en la nube. Aunque Las Vegas es una ciudad que en general me disgusta, tuve ocasión de visitar el museo Pinball Hall of Fame (imprescindible para los aficionados a las máquinas de pinball o flipper). Desde el punto de vista de la seguridad, viví un par de momentos reveladores escuchando a los analistas de Gartner y a los asistentes hablar de cómo están tratando la computación en nube.

La virtualización está creciendo a un ritmo trepidante: la sesión de VMware llenó la sala a rebosar y la mayoría de las sesiones en las que se trataron la virtualización y las estructuras de almacenamiento contaron con un enorme número de asistentes. En la sesión sobre seguridad de la virtualización se señaló que hay cierta desconexión entre los profesionales de TI que tratan con aplicaciones y almacenamiento y los que se encargan de la seguridad. El tren de la virtualización está avanzando a toda máquina, pero los equipos de seguridad están corriendo para alcanzarlo y entender las implicaciones para la seguridad que supone la virtualización. Se está poniendo énfasis en el antiguo modelo de seguridad perimetral, como las aplicaciones VMotion en el entorno VMware (cuidado con la aplicación confidencial que aterriza accidentalmente en la zona desmilitarizada! es recomendable prestar atención a la hora de crear la arquitectura del centro de datos virtual y considerar la posibilidad de usar VLAN con conmutadores virtuales distribuidos).

La computación en la nube privada es la respuesta a corto plazo para las empresas: los presidentes de las empresas están pidiendo a los directores de TI que “reduzcan los costes de la computación en la nube” y los directores responden diciendo: “Sí, eso es lo que estamos haciendo hoy; se llama nube privada”. Gran parte del interés de los proveedores y analistas de Gartner en este acontecimiento organizado por Gartner estuvo centrado en la computación en la nube privada. Todo el mundo parecía tener su propia definición de qué es lo que constituye una nube privada, con los especialistas en marketing y TI empresarial explotando el concepto estrella del día, a saber, la computación en la nube. A algunos puristas de la idea de computación en la nube podría incomodarles esta situación, pero los especialistas en TI para empresas y los proveedores se están subiendo al carro con el concepto de “nube privada”. Gran parte de lo que vi en la Conferencia de Gartner Data Center era un centro de datos inmerso en un proceso agresivo de virtualización, pero la verdad es que era más fácil destacar como organización diciendo: “Tengo una nube virtual”.

Nube pública para el almacenamiento: en su sesión titulada “Cloud Storage @ GE” (Almacenamiento en nube en GE), Matthew Merchant, director de tecnología de General Electric, ofreció una aplicación interesante de SaaS/PaaS/IaaS. GE ha creado una aplicación interna que se encarga de las copias de seguridad utilizando proveedores de almacenamiento en nube públicos, como Amazon AWS. Pudieron recortar el coste de las copias de seguridad entre un 40% y un 60% utilizando la nube pública, algo verdaderamente interesante. Implicación para la seguridad: cifrar los datos para cumplir las obligaciones relacionadas con el cumplimiento de normativas.

Nube pública para redundancia y recuperación de desastres: John Morency, de Gartner, ofreció una sesión muy interesante titulada “Building Resiliency via Colocation and the Cloud” que trataba el uso de la nube pública como “warm spare” (dispositivo de reserva listo para operar) o “cold spare” (dispositivo de reserva de activación manual) en caso de fallo para la recuperación de desastres (a la que los iniciados se refieren cariñosamente como “DR”, por sus siglas en inglés). Un dato de la intervención de John Morency que me pareció revelador fue que “antes del 2014, el 15% de las grandes empresas estarán utilizando una combinación de infraestructura privada y servicios de nube pública para mejorar su preparación para la continuidad y la recuperación”. La DR es una aplicación atractiva de la computación en la nube pública para reducir costes y aumentar la flexibilidad. Implicación para la seguridad: las empresas deben pensar en proteger las instancias en nube con soluciones tales como Trend Micro Deep Security 7.0 para servidores (una promoción descarada para un producto atractivo :-) ).

Computación en la nube para pruebas y desarrollo: algo que había oído decir en el pasado a los analistas de Gartner es que la nube pública es un lugar estupendo para probar y desarrollar aplicaciones, pero que esos entornos de pruebas y desarrollo utilizan datos reales que deben protegerse. Cuando hablo sobre la computación en nube a los clientes de seguridad de TI de Trend Micro, suelen contestar: “No la utilizamos”. Pero, cuando les preguntas si algunos desarrolladores de aplicaciones podrían recurrir directamente a Amazon EC2, los chicos de seguridad afirman con la cabeza de mala gana. Implicación para la seguridad: los entornos de pruebas y desarrollo en la nube pública pueden necesitar protección cuando se utilizan datos reales.

Seguridad de TI en el trabajo en la nube: un comentario de la intervención de Cameron Haight y Milind Govekar, titulada “Cloud Computing Management — Making Sure Mountains Aren’t Hiding in the Mist” (Gestión de la computación en nube: cómo asegurarse de que no haya montañas ocultas entre la niebla) me llamó la atención desde el punto de vista de la seguridad. “La computación en nube no es el anuncio del fin de las TI; en realidad, constituye una oportunidad para reforzar la función de proporcionar seguridad que cumplen las TI, siempre que se realicen las actualizaciones adecuadas con respecto a procesos, herramientas y estructura organizativa.” Esto resulta especialmente relevante en el mundo de la seguridad de TI; nadie más va a estar pendiente de las joyas de la corona en la empresa.

1 comentario en “Opiniones sobre la seguridad en Internet de la Conferencia de Gartner Data Center

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

*

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.