En la edición pasada de Magazcitum se abordaron dos temas que son parte del amplio espectro de servicios de seguridad en la nube (SecaaS): protección Web y protección de correo electrónico, y fue lo que me motivó a escribir sobre la oferta de servicios de este tipo, que, de acuerdo a Gartner crecerán a más del triple para 2013[1], para tener un visión general, saber dónde estamos parados y no perdernos en el mar de posibles servicios que con el genérico X-aaS puedan surgir en los próximos meses.

Un poco de historia: en noviembre de 2008 en el foro ISSA CISO (Information Systems Security Association-Chief Information Security Officer) de Las Vegas nació el concepto del Cloud Security Alliance (CSA) como una llamada a la acción para asegurar el cómputo  en la nube. Una serie de encuentros en el cercano diciembre de 2008 formalizó la creación de la CSA como una organización sin fines de lucro formada para promover el uso de las mejores prácticas y proveer garantías de seguridad en la nube. Sus principales objetivos son:

  • Promover niveles comunes de entendimiento entre los consumidores y proveedores de cómputo en la nube relacionados con los requerimientos de seguridad y certificados de garantía.
  • Promover desarrollos independientes dentro de las mejores prácticas para la seguridad del cómputo en la nube.
  • Poner en marcha campañas de concientización y programas educacionales sobre el uso apropiado del cómputo en la nube y soluciones de seguridad en el mismo entorno.
  • Crear consenso y directrices para garantizar la seguridad en la nube[2].

Como ya se asentó en otros artículos, a partir de las definiciones del NIST (National Institute of Standards and Technology) y la CSA, se generó el modelo visual del cómputo en la nube, que comprende tres modelos de servicio: software como servicio (software as a service, SaaS), plataforma como servicio (platform as a service, PaaS) e infraestructura como servicio (infrastructure as a service, IaaS).

Este modelo es el que la CSA emplea en las definiciones de servicios de la nube y en el Dominio 1 (marco de la arquitectura de cómputo en la nube) de su Guía para la Seguridad en Áreas Críticas de Atención en Cloud Computing[3].

Fig. 1

.

¿Por qué el desarrollo de estas definiciones y categorías?

Los clientes que evalúan y observan la proliferación de servicios en la nube encuentran gran motivación por las oportunidades que en disminución de costos pueden representar dichos servicios, además del aliciente para pasar de ser administradores de infraestructura a dedicarse a lo que saben hacer: explotar sus fortalezas y habilidades. Sin embargo, por otro lado está la preocupación por la pérdida de control directo sobre los sistemas de seguridad.

Algunos fabricantes ya están intentando satisfacer esta demanda ofreciendo servicios de seguridad en la plataforma, lo que se manifiesta en una gran variedad de formas que poco a poco han venido a generar más confusión que claridad en el mercado. Es aquí donde cobra importancia la CSA proveyendo orden sobre los campos de acción de la SecaaS (security as a service) y sus modos de entrega.

De acuerdo a un artículo anterior de Magazcitum, la SecaaS es “la implementación de controles de seguridad que son entregados y gestionados a través de infraestructura tecnológica, operativa y física perteneciente al proveedor” y dado que los clientes están ahora evaluando más críticamente la oferta, necesitan comprender la naturaleza única de servicios basados en la nube, por ello a continuación  presento una revisión de las áreas de SecaaS definidas por la CSA:

  • Administración de identidades y acceso (identity and access management, IAM).
  • Prevención de pérdida de datos (data loss prevention, DLP).
  • Seguridad Web (Web security).
  • Seguridad de correo electrónico (email security).
  • Auditoría de seguridad (security assessments).
  • Administración de intrusos (intrusion management).
  • Administración de eventos y seguridad de la información (security information and event management, SIEM).
  • Cifrado (encryption).
  • Continuidad del negocio y recuperación de desastres (business continuity and disaster recovery).
  • Seguridad de la red (network security).

Muchas de ellas son ya conocidas como servicios internos, pero ¿Cómo pueden ser ofertadas en la nube? Describiré brevemente cada categoría y me concentraré en los puntos más relevantes de cada una.

.

Administración de identidades y acceso (identity and access management, IAM)[4],[5]

Este servicio debe proveer todos los controles que aseguren la identidad y la administración de accesos. Incluye la gente, los procesos y los sistemas que típicamente son empleados para ingresar a los recursos de las empresas, de manera que la identidad es verificada y los permisos son otorgados en el nivel adecuado.

Los proveedores actuales de este servicio ofrecen soporte a integraciones con sistemas de directorio activo, kerberos, Radius y otros. Los registros de la actividad derivada de este servicio -como son autenticaciones exitosas o fallidas, por ejemplo-  son parte esencial de la garantía que un proveedor puede brindar a su cliente ya sea como parte de los niveles de servicio acordados o con fines de cobro en la modalidad pago por consumo, tan típica en los modelos en la nube.

.

Prevención de pérdida de datos (data loss prevention, DLP)

Esta modalidad se encarga de verificar la seguridad, monitorear y proteger la información (o datos) en cualquiera de sus estados (en reposo o en movimiento), si son usados en equipos dentro de las instalaciones de la empresa o en la nube. Esta protección de datos se basa en reglas definidas de movimiento de la información, tales como capacidad de copiar o no información en unidades de almacenamiento externas, permiso para mover información de un equipo a otro, realizar el cifrado de la información, entre otras muchas.

.

Seguridad Web (Web security).

Explicada con amplitud en la edición pasada de Magazcitum, la protección en la navegación Web protegida con este esquema agrega una capa de seguridad, previniendo el ingreso o navegación a sitios con contenido malicioso, paginas con phishing o malware, y controlando sistemas de mensajería y chat en sus diversas modalidades, etcétera.

La entrega se hace por software o por hardware en las instalaciones del proveedor o vía la nube a través de la implementación de proxy o redirección de tráfico. La administración de ancho de banda  y el control de tráfico son otras de las actividades de gran relevancia en las empresas y de las cuales el servicio de Web security se hace cargo.

.

Seguridad de correo electrónico (email security)

La protección en este nivel controla el tráfico entrante y saliente de correo, previniendo anexos maliciosos, cadenas de correos, ingreso a páginas de phishing por cadenas publicitarias y proporciona algunas opciones para asegurar la continuidad del servicio de correo electrónico.

La solución puede permitir además el cifrado basado en políticas, uso de firma digital para identificación y no repudiación, además de complementarse con esquemas de seguridad como DLP.

.

Auditoría de seguridad (security assessments)

Este servicio brinda, desde soluciones provistas en la nube, evaluaciones a los servicios en la nube o a los sistemas de los clientes, obviamente con estricto apego a estándares. Como es sabido, los análisis de seguridad se conforman -de entre muchas otras actividades- con pruebas de penetración y análisis de vulnerabilidades. Los análisis tradicionales están avalados por estándares como NIST, ISO o CIS y las herramientas empleadas están relativamente maduras.

Este servicio analiza puntos muy sensibles de cómo se entregan los servicios en la nube  y permiten demostrar cómo se asegura el aislamiento de los datos y servicios en ambientes de multi-arrendamiento.

.

Administración de intrusos (intrusion management)

Con base en el reconocimiento de patrones, este servicio detecta y reacciona a eventos inusuales en la red. En caso de que un patrón sospechoso sea captado, se puede realizar la reconfiguración de componentes para detener o prevenir intrusiones. También se puede incluir el análisis de comportamientos con plataformas de protección contra ataques de DoS o DDoS.

Las tecnologías disponibles ya están muy maduras, sin embargo el crecimiento de entornos virtualizados o entornos de  arrendamiento masivos imponen nuevos retos respecto a nuevos objetivos de intrusión y a las arquitecturas de implementación. Este servicio lo puede brindar el proveedor de servicios, un tercero ruteando tráfico por la infraestructura de SecaaS, o en un esquema “híbrido”, administrado por un tercero y basado en dispositivos virtuales corriendo en el contexto de la nube.

.

Administración de eventos y seguridad de la información (security information and event management, SIEM)

Los sistemas SIEM son herramientas que recolectan información acerca de la operación de los equipos y sistemas en el entorno de red de una empresa; esto puede incluir desde equipos de interconectividad hasta aplicaciones propietarias o soluciones ERP. Una vez recolectados los datos, se almacenan como eventos, y son analizados y correlacionados entre ellos para proveer reportes en tiempo real o alertas sobre eventos de seguridad que eventualmente requieran intervención para iniciar un proceso de manejo de incidentes.

Resulta relevante mantener íntegra la información que estos sistemas recolectan, a fin de que sea empleada como evidencia en investigaciones o auditorías de cumplimiento. La retención por largos periodos, tal como es requerido por la mayoría de las regulaciones, implica uno de los retos importantes a solventar.

.

Cifrado (encryption)

Este es básico para mantener la CIA (confidencialidad, integridad y disponibilidad) de los datos almacenados en la nube y apoya a otros servicios como validación de datos, autenticación de mensajes, integridad de datos y mensajes, firma de código, validación de identidad y detección de falsificaciones, entre otros.

En el mercado hay una gran cantidad de ofertas y en algunos casos el cifrado como servicio (EaaS) es ofrecido desde los propios fabricantes.

.

Continuidad del negocio y recuperación de desastres (business continuity and disaster recovery)

Todos los esfuerzos orientados a asegurar la operatividad del negocio ante cualquier circunstancia causal de interrupción conforman el servicio de continuidad del negocio y recuperación de desastres.

Un plan BC/DR centrado en servicios en la nube aprovecharía naturalmente la flexibilidad de crecimiento o demanda de servicios en un caso de contingencia, reduciendo el costo de  implementación. Los escenario típicos incluyen replicación de aplicaciones o datos en la nube, recuperación de información o respaldo de bases de datos, información de bitácoras y cumplimiento, respaldos seguros, conectividad a servicios de terceros, replicación de datos, sitios de operación alternos, infraestructura o centros de datos distribuidos geográficamente.

Los servicios de alojamiento administrado no son nuevos, han ido evolucionando y han encontrado,  válgase la expresión, “acomodo” en el escenario del cómputo en la nube.

.

Seguridad en la red (network security)

La seguridad en la red se enfoca principalmente en la infraestructura que protege los servicios de una empresa, dando accesos y controlándolos. En un entorno dentro de la nube estos servicios pueden ser proporcionados a través de equipos tanto físicos como virtuales disponibles en las instalaciones del proveedor.

La completa visibilidad con el Hipervisor sería fundamental para dominar todo el tráfico del segmento virtual a fin de proveerle seguridad con tareas como la administración de los gateways de seguridad (firewalls), protección y mitigación contra DoS o DDoS, monitoreo de tráfico, controles de autenticación y acceso, aseguramiento de servicios como DNSSec, DNS, NTP, RAS, DHCP y la propia integración con el Hipervisor.

Hay muchos retos para este servicio ofrecido en la nube, como la exacta delimitación de las fronteras entre un cliente y otro, mayormente en entornos virtuales, y la visibilidad limitada del tráfico entre entornos virtuales, por ejemplo cuando se encuentran ambientes productivos y no productivos.

.

Conclusión

Al buscar una solución de SecaaS es obligado preguntar tanto a los proveedores como a los clientes los pros, contras y alguno que otro dato más del ámbito de administración de riesgos o de negocio que seguramente ambos deberían responder, de preferencia de manera conjunta.

El cliente tendría que preguntar como mínimo: ¿Cuáles de esos servicios necesito en mi empresa? ¿De los que aún desconozco o no tengo implementados, cuáles son necesarios en mi ambiente de trabajo? ¿Cuáles estoy dispuesto a dejar en manos del proveedor y cuáles no? ¿Qué garantías ofrece la entrega del servicio por el proveedor A o por el proveedor B? ¿Cuál es el nivel de servicio que me ofrecen y cómo es medido? ¿Cómo se deben modificar mis modelos operativos para incluir estos servicios dentro de mi dinámica de negocio bajo esta nueva entrega? Y otras muy importantes: ¿Quién tendrá la capacidad de ofrecer una seguridad holística en la nube? ¿Implicará múltiples contratos de arrendamiento con diferentes proveedores para cubrir todas mis necesidades? ¿Cuál es el nivel de comunicación entre sistemas de diferentes proveedores de acuerdo a cada uno de los servicios ofertados-adquiridos?

Sin duda la respuesta a estas preguntas es una labor muy seria y consultiva al interior y exterior de las organizaciones. Considero que todas las bondades de estos servicios, descritas por un sinfín de artículos y ofertas comerciales, solo serán posibles si existe claridad y si las respuestas que den los proveedores satisfacen al menos estas preguntas.

A usted,  como lector ¿Cuáles otras preguntas le parece importante incluir? ¿Se ha enfrentado a dar respuesta a algunas de ellas? Una vez que hemos presentado un panorama de la seguridad como servicio, ¿puede definir con mayor claridad las necesidades de su empresa y la instrumentación de los servicios en la nube a implementar para asegurar su mayor beneficio?

[email protected]

 

[1] Gartner. (2010, September 2). Securing and Managing Private and Public Cloud Computing (G00206019). Pescatore, J.

[5] CSA Silicon Valley cloud authorization policy automation presentation: http://www.objectsecurity.com/en-resources-video-20110208-webinar-79898734.htm