

Seguridad en el Cloud
Es el momento del Cloud, nadie lo duda. Si intentamos reflejar la adopción de la tecnología de Cloud Computing en la campana de Rogers, podríamos decir que ya ha pasado la fase de “early adopters” y se encuentra de lleno en la fase “early majority” o mayoría precoz.
Fuente: Wikipedia
Es una tecnología que ya ha demostrado sus beneficios, que está implantada 100% en muchas empresas y que posiblemente, se encuentre ahora mismo sobre tu mesa la decisión de migrar al cloud, o te encuentres ya sumergido en un proyecto de este tipo. También puede darse el caso de que seas uno de los early adopters o innovadores que ya llevan tiempo trabajando en cloud. Independientemente del estado en el que te encuentres, es muy importante que no olvidemos un aspecto esencial de cualquier infraestructura: la seguridad.
¿Es el cloud seguro por ser cloud ? Podemos pensar que, al tratarse de Microsoft, Google o Amazon, por poner el ejemplo de los 3 grandes, tienen unas infraestructuras muy seguras y redundadas. Y en parte es correcto, lo son. Peo hay un matiz muy importante a tener en cuenta, y es la diferencia entre los términos: “seguridad del cloud” y “seguridad en el cloud”.
- Seguridad del cloud: es la seguridad de la infraestructura sobre la que se da el servicio cloud. Es responsabilidad del proveedor, y nosotros como clientes no tenemos ningún tipo de control.
- Seguridad en el Cloud: Es la seguridad de los servicios que se ejecutan sobre la infraestructura del proveedor Cloud. Estamos hablamos de la seguridad de nuestros servidores virtuales que sirven nuestra web, de los datos de la BBDD o de los accesos al panel de administración de nuestros administradores, por poner sólo unos ejemplos.
Modelo de Seguridad Compartida
Esta diferenciación entre la seguridad del cloud y en el cloud, es lo que se conoce como el modelo de seguridad compartida. Y lo que determina este modelo es dónde empieza y dónde acaba la responsabilidad de cada participante en una solución cloud (proveedor y cliente).
Aún falta introducir un concepto más para terminar de conocer exactamente cuál es nuestra responsabilidad como clientes. Y es que el cloud tiene diferentes modalidades que seguro habrás escuchado más de una vez: IaaS, PaaS y SaaS. Sin entrar en detalle, y a grandes rasgos, podemos definirlos como:
- IaaS: Infraestructure as a Service. El proveedor proporciona el hardware y servicios complementarios (red, escalado, automatización, almacenamiento…) para que el cliente instale y mantenga su SO, software y aplicaciones. Ejemplos: Amazon EC2 o Azure Virtual Machines.
- PaaS: Platform as a Service. El proveedor proporciona entornos completos (hardware + SO + software) y el cliente puede desplegar o desarrollar su aplicación directamente. Es una solución orientada a desarrolladores principalmente. Ejemplos: Google Apps Engine o Heroku.
- SaaS: Software as a Service. El proveedor proporciona todas las capas de la aplicación, el cliente usa directamente la aplicación sin tener ningún control sobre la infraestructura. Ejemplos: Office365, Dropbox o Salesforce.
Conociendo estos 3 modelos, ahora sí tenemos toda la información y ya podemos ver que, en todos los casos nosotros como clientes, tenemos responsabilidad en mayor o menor medida del servicio cloud que estemos contratando. Ordenándolos de menor a mayor responsabilidad, podríamos decir que:
- Modelo SaaS: El cliente se responsabiliza de los datos y el acceso al servicio. El proveedor no protegerá las cuentas de usuario, tampoco el uso de los datos que se encuentren ahí almacenados. Todo lo demás es responsabilidad del proveedor.
- Modelo PaaS: El cliente se responsabiliza de la aplicación que se ejecuta sobre el software del proveedor, así como de los datos y accesos a la misma. El resto de capas, son responsabilidad del proveedor de servicio.
- Modelo IaaS: El cliente se responsabiliza de la seguridad de la infraestructura de sistemas, esto significa que va desde el sistema operativo hasta los datos (pasando por el software y la aplicación). A excepción de la seguridad del hardware y sistema de virtualización, el resto es responsabilidad del cliente.
Esto queda resumido en la siguiente imagen, elaborada por Amazon AWS:
Fuente: AWS
Medidas de protección en el Cloud
Una vez puestas las bases, se puede empezar a hablar sobre qué medidas de seguridad tenemos para proteger nuestros activos del Cloud. En este caso, nos centraremos en la modalidad IaaS, que es en la que más responsabilidad como clientes tenemos.
Empezaremos enumerando brevemente las protecciones que el proveedor ofrece:
- Security Groups: Son reglas de firewall básicas (de nivel 3) que definen qué tráfico puede entrar y salir de nuestras máquinas, tanto tráfico externo como tráfico interno entre redes propias de nuestro cloud.
- Solución IAM: Sistema de gestión de acceso a la consola de administración del proveedor cloud, donde se definen los usuarios, roles y permisos que establecemos para administrar todo nuestro entorno cloud.
- Zonas de disponibilidad: Dentro de tu espacio cloud, el proveedor te da diferentes datacenters para que despliegues tu infraestructura de forma redundada. Es lo que se conoce como zonas de disponibilidad.
Estas serían las básicas, sobre las cuales los proveedores pueden darte muchos servicios adicionales de pago: WAF, cifrado de datos, protección de claves SSL, DLP, etc.
Dejando al margen la flexibilidad y escalabilidad del cloud, al final se trata de proteger una infraestructura muy similar a una on-premise, salvo que no tenemos acceso a una parte de la misma. Por tanto, las medidas de seguridad en cloud que se pueden implementar serían muy similares:
- Firewalls. Los security groups pueden quedarse algo cortos, por ejemplo la visibilidad será un problema pues no veremos si un tráfico lo está bloqueando una ACL. Implantar un firewall virtual y hacer que todo el tráfico pase por él (tanto el entrante/saliente de internet como el interno de nuestro cloud), nos proporcionará la misma protección y visibilidad que el firewall que tengamos en nuestro datacenter. Esto significa poder aplicar protecciones de nivel 7 como IPS o detección de aplicaciones, antimalware o incluso acceso VPN al entorno cloud. Los principales fabricantes de firewall están disponibles en modalidad IaaS.
- Soluciones HIDS (Host IDS) y Parcheo Virtual. Se deben proteger todos los servidores que se ejecuten en el cloud, ya sean de acceso público o sólo internos. Una solución de este tipo protegerá a los equipos frente a vulnerabilidades conocidas e incluso zero-day. Muchas de ellas están perfectamente integradas con el modelo flexible del cloud, de forma que la escalabilidad de la plataforma no va a implicar una brecha en nuestra política de seguridad.
- Soluciones de auditoría de accesos. Según el tamaño de nuestra empresa, el número de usuarios accediendo al panel de administración del cloud y de operaciones puede ser enorme. Es necesario tener un registro de quien, cómo, cuándo y dónde se ha hecho una acción que ha podido provocar una brecha de seguridad en nuestra infraestructura. ¿Os suena la noticia del borrado masivo de servidores cloud por parte de un ex-empleado?
- Filtros de seguridad como WAF o DDoS. Posiblemente el proveedor disponga de estos servicios, pero pueden contratarse de otros fabricantes. Los principales fabricantes de seguridad disponen de su propio SaaS de protección WAF, DDoS, Antispam, etc. Dependiendo del servicio que tengamos ejecutando en el cloud, sería muy recomendable hacer pasar el tráfico previamente por estos filtros antes de que llegue a nuestro cloud para evitar un uso excesivo de nuestros recursos (lo que conlleva un coste mayor) o una amenaza de seguridad.
- Aplicar las normas de buenas prácticas de seguridad: mantener actualizados los entornos, gestionar correctamente el ciclo de vida de los usuarios: altas, bajas, roles, permisos… menos es más (menos permisos, es más seguro), cifrar los datos en movimiento (SSL/TLS) y si es posible, almacenar datos cifrados, establecer una política de contraseñas robusta, etc.
Conclusiones
Reduciéndolo a su mínima expresión, al final el cloud no es más que una infraestructura on premise en un datacenter gestionada por un tercero. En función de la modalidad, tendremos más o menos visibilidad y control de lo que hay. Pero en ningún caso se debe dar por hecho que por ser cloud es seguro, si no al contrario, si es cloud está expuesto y hay que protegerlo.
Oscar Nogales · Especialista en Comunicaciones y Seguridad & Gestión de Infraestructuras de Brújula · LinkedIn