Archivo de la etiqueta: IaaS

Los verdaderos peligros de la nube

Artículo original de Christian Drake

Es frecuente escuchar que las cuestiones relacionadas con la seguridad y la privacidad son los principales escollos para la adopción de la nube. Pero… ¿cuáles son las amenazas de verdad? ¿Es cierto que la nube esconde más peligros que su propio centro de datos? Yo diría que la virtualización y la computación en la nube no entrañan un riesgo mayor; lo que sucede es que tienen una infraestructura única que debe tenerse en cuenta a la hora de diseñar los principios de seguridad.

Los ataques dirigidos a infraestructuras físicas, virtuales y de nube son similares (malware para el robo de datos, amenazas Web, spam, phishing, redes robot, etc.). Por este motivo, muchas empresas caen en la tentación de implementar la seguridad específica para servidores físicos y puestos de trabajo concretos en los equipos virtuales de sus centros de datos e incluso en la misma nube. No obstante, y a pesar de que los tipos de ataques sean similares, pueden existir diferencias en la forma en que se atacan los dispositivos de virtualización y las infraestructuras de la nube. Y en este contexto, la seguridad física convencional no es capaz de garantizar una protección adecuada para estos entornos.

Trend Micro acaba de publicar un informe sobre las amenazas de seguridad existentes para la virtualización y la computación en la nube, informe que se ha publicado en el apartado Tendencias de las amenazas de este sitio Web. Quizás no sea objetiva porque trabajo en Trend Micro, pero se trata de uno de los mejores informes sobre amenazas que he leído. Empieza con estadísticas globales sobre la adopción de la virtualización y los entornos de nube. Luego aborda los riesgos de seguridad específicos tanto para la virtualización como para la nube. Por ejemplo, en el caso de las infraestructuras virtuales, el informe repasa los puntos débiles de la comunicación, los ataques entre distintos equipos virtuales, los riesgos de la tecnología Hypervisor y muchos más aspectos. No solo eso, sino que también describe los métodos existentes para conseguir que las soluciones de seguridad estén preparadas para la virtualización a fin de mejorar la protección y poder aprovechar al máximo los recursos virtuales. En el caso de la computación en la nube, el informe empieza con una presentación de los distintos modelos de nube y plantea el tema de la responsabilidad de la seguridad y sobre quién recae, para seguir luego con las amenazas existentes para los distintos escenarios de la nube: privada, pública e híbrida.

El informe va incluyendo además ejemplos de amenazas reales. Los lectores son conscientes de que se trata de amenazas reales, que ocurren en el mundo de verdad, no amenazas hipotéticas. No cabe duda de que los ciberdelincuentes aumentarán sus esfuerzos por intentar infiltrarse en estos entornos conforme avance la adopción de la virtualización y la computación en la nube. Para contribuir a esta lucha, Trend Micro también ha publicado un documento de mejores prácticas sobre virtualización y seguridad en la nube que complementa el informe sobre amenazas. Al fin y al cabo, ¿de qué sirve conocer las amenazas si no sabemos cómo combatirlas?

Adaptación de la seguridad a la nube

Artículo original de Christian Drake

Hace unas pocas semanas los temas estrella fueron la computación en nube y su seguridad a causa de la celebración de la conferencia VMworld en Las Vegas (vea Trend Micro at VMworld). Pero no todos los tipos de seguridad para la nube son los más indicados para todos los tipos de computación en nube.

Cuando se habla de forma genérica sobre la “cloud computing” o computación en la nube, solemos referirnos a la nube pública. ¿Pero qué sucede con las nubes privadas y las híbridas? Los resultados de la encuesta sobre la nube de Trend Micro de mayo de 2011 demostraron que las empresas están adoptando estos tres modelos de forma prácticamente ecuánime. Aunque no cabe duda de que hay muchas coincidencias en las mejores prácticas de seguridad de estos tres modelos, también existen grandes diferencias y su seguridad debería ser capaz de afrontar los riesgos de seguridad específicos del modelo implementado.

Para profundizar en el tema, echemos un vistazo a las nubes privada, híbrida y pública como Infraestructura como servicio (IaaS). Independientemente del modelo elegido, lo ideal es disponer de una protección similar a la que encontramos en un equipo físico: cortafuegos, antimalware, detección y prevención de intrusiones, control de aplicaciones, supervisión de la integridad, inspección de registros, cifrado, etc. Pero usted se ha pasado a la nube para disfrutar de ventajas como la flexibilidad o el ahorro de costes, entre otras. La seguridad de su nube debería trabajar conjuntamente con el modelo de nube para maximizar estas ventajas. Cómo conseguir esto depende del tipo de nube.

Centros de datos virtuales y nubes privadas
Tanto en los centros virtuales de datos como en las nubes privadas usted controla el hipervisor. En estos entornos, la seguridad de la nube debe integrarse en las API del hipervisor para activar la seguridad sin agente. Este enfoque implementa un equipo virtual de seguridad dedicado en cada host físico y utiliza un controlador de impacto reducido en cada VM invitado para coordinar y escalonar las exploraciones de seguridad y las actualizaciones. Este enfoque cuenta con numerosas ventajas como la mejora del rendimiento, mayores tasas de VM, una protección más veloz sin necesidad de una comunicación con seguridad instalada y menor complejidad administrativa al no tener que implementar, configurar o actualizar agentes. Asimismo, elementos de seguridad como la supervisión de la integridad del hipervisor pueden contribuir a proteger estos entornos.

Nubes públicas
En un entorno IaaS público, las empresas no tienen control mediante el hipervisor porque se trata de un entorno de multipropiedad. Sin el control del hipervisor, la seguridad debe implementarse como una protección basada en agente en el nivel del VM, lo que crea VM con autoprotección que permanecen seguros en la infraestructura compartida y que contribuyen a mantener el aislamiento del VM. Aunque los agentes suponen una carga adicional en el host, las economías de escala en una nube pública compensan y hay ventajas de costes adicionales gracias al ahorro en el gasto de capital y un enfoque de pago según uso.

Nubes híbridas
Con las nubes híbridas, se utilizan tanto una nube privada como una pública para beneficiarse de ambos modelos. La seguridad para su nube debería tener opciones de implementación flexibles para conseguir el mejor rendimiento en su nube privada con seguridad sin agente y poder crear VM de autoprotección en su implementación de nube pública. Además, si desea que haya ciertos VM que «viajen» entre sus nubes privada y pública, deberá poder usar una seguridad basada en agente que se desplace con los VM pero que siga coordinándose con el appliance virtual específico de seguridad cuando se encuentre en la nube privada para escalonar las exploraciones y proteger el rendimiento. Por supuesto, todas estas implementaciones de seguridad deben poder gestionarse mediante una sola consola. Con todo esto se debería cubrir la seguridad de los servidores físicos, virtuales y de la nube privada, pública e híbrida.

Trend Micro acaba de publicar una nueva página Web sobre Total Cloud Protection y un artículo técnico, Total Cloud Protection: Security for Your Unique Cloud Infrastructure. Este artículo describe los distintos modelos de nube, la seguridad diseñada para cada modelo y las soluciones de Trend Micro. Su seguridad para la nube deberá maximizar las ventajas de la nube y ayudar a acelerar el retorno de la inversión realizada en la nube. ¿Por qué conformarse con menos?