Las nubes opacan por definición y eso no siempre es bueno, por poco arruinan la confirmación de la teoría de la relatividad de Einstein al obstruir la visión de un eclipse solar. La naturaleza de las nubes se contrapone así a la claridad, y eso es un problema fundamental si hablamos en términos de seguridad.

Pero exactamente, ¿qué es el “cómputo en nube”? Fiel a su naturaleza, la nube es difícil de definir; de manera corta y simple puede decirse que es un servicio de renta bajo demanda de poder de cómputo, ya sea  en forma de aplicación (Software as a Service: SaaS), plataforma de cómputo (Platform as a Service: PaaS) o bien infraestructura (Infrastructure as a Service: IaaS). Ese poder de cómputo se constituye mediante un conjunto de servicios, aplicaciones e infraestructura -frecuentemente distribuidos- los cuales a su vez comprenden servidores, equipo de red y almacenamiento que pueden estar en uno o más sitios geográficos.

El principal atractivo de usar un servicio de “cloud computing”, desde el punto de vista de quien lo consume, es que provee una manera de incrementar la capacidad de cómputo bajo demanda, prácticamente al instante y sin los problemas asociados a la compra de nuevo hardware, licencias y entrenamiento de personal. Sólo el proveedor de servicios sabe si va a usar la infraestructura de uno o más centros de cómputo, o si transfiere los datos para su procesamiento en otros países. Todo este manejo es ajeno al cliente, quien sólo ve una interfaz –probablemente web- para trabajar.

Las ventajas de la nube son tan grandes como también lo son sus problemas en términos de seguridad: ¿Cómo se puede asegurar algo que no se puede definir ni localizar?  Los paradigmas de seguridad actuales están basados en la definición de compartimientos de un determinado universo, de manera que se pueda limitar la exposición de elementos críticos a un daño potencial. En las redes de TI tradicionales es muy sencillo identificar fronteras, zonas confiables y zonas en las que no podemos confiar; lo cual facilita el diseño de controles y reglas para gestionar el flujo de información entre ellas; en la nube esto no se puede conseguir de manera sencilla.

Existe un modelo que pudiera subsanar estas dificultades de seguridad; le llaman “nube privada” (“private cloud”)(1) y básicamente se caracteriza porque sólo una entidad tiene completo control sobre la infraestructura, plataformas y aplicaciones involucradas, así como de la gestión de todas ellas. Este modelo permite tener control sobre los flujos de información y, por tanto, de los perímetros y zonas asociadas, justo lo que necesitamos para poder usar los paradigmas actuales de seguridad.

Uno de los problemas de este modelo radica en que está sacrificando los beneficios económicos de distribuir el control y las responsabilidades en un número más amplio de participantes, y si hay algo capaz de inhibir un esfuerzo de seguridad, es la economía.

Otro de los problemas que comparten las diferentes modalidades de oferta de servicios en nube es el cumplimiento de regulaciones. La primera razón es que normalmente las regulaciones están circunscritas a un área geográfica donde son aplicables, y frecuentemente no hay mecanismos claros para delimitar la jurisdicción cuando hablamos de servicios que son soportados por elementos que están disgregados en diferentes países, e incluso en diferentes continentes. Otra razón muy importante es que la naturaleza difusa y flexible de los servicios en la nube se contrapone directamente con las pruebas y auditorías de seguridad. No se puede garantizar en el tiempo la certificación de cumplimiento de los componentes de un servicio, si estos estarán cambiando constantemente, y con un patrón que posiblemente ni el propietario pueda predecir.

Uno de los proveedores de servicios de “cloud computing” más reconocidos es Amazon, empresa que parece haber descubierto algo al respecto. Basta asomarse a los términos de sus servicios AWS (Amazon Web Services): De manera oficial no garantiza el cumplimento de PCI si eres un proveedor (“merchant” según la definición de Visa) nivel 1(2). Esto obedece a que Visa obliga al proveedor nivel 1 a una validación de cumplimiento que incluye un reporte anual denominado “ROC”, el cual debe ser emitido por un asesor calificado de seguridad,  QSA por sus siglas en inglés(3). La validación implica una auditoría de los sistemas en sitio, algo a lo que Amazon no está dispuesta a acceder. La falta de argumentos claros para negarse a la auditoría hace muy difícil determinar si es sólo por razones de logística (ya me imagino a decenas de auditores accediendo a los centros de datos de Amazon y los trámites asociados) o porque realmente no es posible conducir una auditoría de este tipo en la nube de Amazon.

En resumen, el universo tan amplio detrás del término “cloud computing” nos obliga, como posibles consumidores, a particularizar y analizar la viabilidad de un proyecto basándonos en el conocimiento de las diferentes formas de entregar un servicio en la nube, y determinando la que nos ofrece el grado de seguridad que necesitamos sin perder los beneficios de este modelo de entrega de servicios.

[email protected]

1)     Reavis, Jim; et. al., Security Guidance for Critical Areas of Focus in Cloud Computing. The Cloud Security Alliance. http://www.cloudsecurityalliance.org/csaguide.pdf 

2)     Foro de discusión en línea de Amazon, tema “¿El servicio EC2 de Amazon cumple las guías de PCI?”

 http://developer.amazonwebservices.com/connect/thread.jspa?threadID=34960

3)     Visa, Compliance validation details for merchants. http://usa.visa.com/merchants/risk_management/cisp_merchants.html