CLOUD COMPUTING, GENERALIDADES DE LA NUBE

Definición de Cloud computing

El Laboratorio de Tecnologías de la Información, integrado en el National Institute of Standards and Technology (NIST) del Departamento de Comercio del Gobierno Federal de los Estados Unidos, ha definido Cloud Computing de la siguiente forma:

Cloud Computing es un modelo que permite el acceso bajo demanda y a través de la red a un conjunto de recursos compartidos y configurables (como redes, servidores, capacidad de almacenamiento, aplicables y servicios) que pueden ser rápidamente asignados y liberados con una mínima gestión por parte del proveedor del servicio (NIST, 2011).

Según el NIST, el modelo tiene las siguientes cinco características esenciales:

  1. Autoservicio bajo demanda. El usuario puede acceder a capacidades de computación en la nube de forma automática a medida que las vaya requiriendo sin necesidad de una interacción humana con su proveedor o sus proveedores de servicios cloud.
  2. Múltiples formas de acceder a la red. Los recursos son accesibles a través de la red y por medio de mecanismos estándar que son utilizados por una amplia variedad de dispositivos de usuario, desde teléfonos móviles a ordenadores portátiles o PDA (personal digital assistant).
  3. Compartición de recursos. Los recursos (almacenamiento, memoria, ancho de banda, capacidad de procesamiento, máquinas virtuales, etc.) de los proveedores son compartidos por múltiples usuarios, a los que se van asignando capacidades de forma dinámica según sus peticiones. Los usuarios pueden ignorar el origen y la ubicación de los recursos a los que acceden, aunque sí es posible que sean conscientes de su situación a determinado nivel, como el de CPD (centro de procesamiento de datos).
  4. Elasticidad. Los recursos se asignan y liberan rápidamente, muchas veces de forma automática, lo que da al usuario la impresión de que los recursos a su alcance son ilimitados y están siempre disponibles.
  5. Servicio medido. El proveedor es capaz de medir, a determinado nivel, el servicio efectivamente entregado a cada usuario, de forma que tanto proveedor como usuario tienen acceso transparente al consumo real de los recursos, lo que posibilita el pago por el uso efectivo de los servicios. (Cierco David, 2011).

Características del Cloud Computing

Las tecnologías Cloud Computing ofrecen tres modelos de servicio:

1. Cloud Software as a Service. Al usuario se le ofrece la capacidad de que las aplicaciones que su proveedor le suministra corran en una infraestructura cloud, siendo las aplicaciones accesibles a través de, por ejemplo, un navegador web como en el caso del webmail, que es posiblemente el ejemplo más representativo, por lo extendido, de este modelo de servicio. El usuario carece de cualquier control sobre la infraestructura o sobre las propias aplicaciones, excepción hecha de las posibles configuraciones de usuario o personalizaciones que se le permitan.

2. Cloud Platform as a Service. Al usuario se le permite desplegar aplicaciones propias (ya sean adquiridas o desarrolladas por el propio usuario) en la infraestructura cloud de su proveedor, que es quien ofrece la plataforma de servicio.

3. Cloud infrastructure as a Service. El proveedor ofrece al usuario recursos como capacidad de procesamiento, de almacenamiento, o comunicaciones, que el usuario puede utilizar para ejecutar cualquier tipo de software, desde sistemas operativos hasta aplicaciones. (Cierco David, 2011).

Por último, según el NIST hay tres posibles formas de desplegar y operar una infraestructura de Cloud Computing:

1. Cloud privada, en la que los servicios cloud no son ofrecidos al público en general. Pueden distinguirse a su vez dos situaciones:

  • a) Cloud propia. La infraestructura es íntegramente gestionada por una organización.
  • b) Cloud compartida. La infraestructura es compartida por varias organizaciones.

2. Cloud pública. La infraestructura es operada por un proveedor que ofrece servicios al público en general.

3. Cloud híbrida. Resultado de la combinación de dos o más clouds individuales que, pudiendo ser a su vez propias, compartidas o públicas, permite portar datos o aplicaciones entre ellas.

Ventajas y desventajas del cloud computing

Ventajas:

  • El modelo genera grandes economías de escala que pueden ser trasladadas a los usuarios, transformando así de fijos en variables los costes en sistemas de información y poniendo, por tanto, las prestaciones de los sistemas más costosos al alcance de organizaciones de cualquier tamaño o de limitada capacidad inversora.
  • Se elimina la necesidad de grandes inversiones y costes fijos en tecnologías de la información (TI) y, en definitiva, se transforma a los proveedores de servicios TI en utilities, que ponen al alcance de los usuarios la capacidad de computación: bajo demanda, sin preocuparse de cómo o dónde es generada, y de forma flexible e instantánea.
  • Se reducen considerablemente no solo las inversiones, sino los plazos necesarios para lanzar al mercado una nueva aplicación o servicio si está basado en el modelo de Cloud Computing, facilitando así un mayor dinamismo en la oferta de servicios y habilitando a nuevos actores la entrada en mercados en los que hasta la fecha las barreras de entrada resultaban disuasorias.

Desventajas:

  • Existe una pérdida de control por parte de los usuarios tanto sobre las aplicaciones y servicios como sobre los datos, en ocasiones muy sensibles, subidos a nubes con los consiguientes riesgos tanto relativos a la privacidad como a la integridad de los mismos.
  • Se tiene la necesidad constante de garantizar con transparencia tanto la seguridad como la privacidad de la información a sus clientes debido a la vulnerabilidad.

Seguridad en la nube

La seguridad en entornos de tipo Cloud ha tenido una doble vertiente desde el principio. Por un lado, es una de las principales barreras para muchos organismos y empresas a la hora de optar por modelos públicos y/o híbridos, ya que se percibe que en este tipo de entornos los riesgos son mayores debido a la pérdida de control sobre la infraestructura tecnológica. Pero por otro lado, el nacimiento del modelo de Security as a Service, puede ser una gran oportunidad para mejorar la seguridad de muchas compañías.

En la actualidad muchos productos y desarrollos típicos del entorno de la seguridad informática se están transformando en servicios, que gracias al paradigma Cloud, pueden ser consumidos de manera flexible y escalable por los clientes, que tienen así la posibilidad de acceder a soluciones que no estaban disponibles para ellos con el modelo tradicional (sistemas de autentificación, sistemas de prevención y detección de intrusos, etc.). Además, el modelo de Security as a Service (SECsaaS) permite que ciertos proveedores se especialicen en proporcionar un valor añadido a los servicios de otros en lo que se refiere a la seguridad, por ejemplo, con esquemas de identificación más sofisticados, entornos single sign on, mecanismos criptográficos, etc.

A pesar de las numerosas ventajas del modelo de Security as a Service, en la actualidad todavía tiene más peso la visión negativa acerca de la seguridad del paradigma. Según multitud de estudios y encuestas, la percepción de las personas encargadas de tomar las decisiones en la mayor parte de las organizaciones es que las vulnerabilidades que existen en otros modelos tecnológicos se hacen más importantes en entornos Cloud y que además, aparecen otras nuevas, por ejemplo asociadas a la utilización de una red de área extensa y no controlada para acceder a los datos, procesos, aplicaciones y sistemas.

Por este motivo desde el año 2008 diferentes organismos (ENISA, NIST o CSA por poner sólo algunos ejemplos) han tratado de identificar y clasificar estas vulnerabilidades y sobre todo, de proponer soluciones y mejores prácticas y de generar confianza en los potenciales usuarios de este paradigma. Esta confianza mejorará, con toda probabilidad, cuando se extiendan certificaciones de seguridad estándares, diseñadas específicamente para que los proveedores Cloud puedan acreditar sus niveles de seguridad.

A los potenciales usuarios les preocupa saber si sus sistemas van a ser menos seguros en un Cloud público y/o híbrido, pero también quieren saber cómo elegir a sus proveedores teniendo en cuenta criterios de seguridad, cómo definir correctamente sus acuerdos de nivel de servicio (SLAs), etc. Las diferentes recomendaciones realizadas por las organizaciones antes mencionadas tienen algo en común, ya que todas ellas señalan que para contestar a estas preguntas se debe analizar el contexto en el que trabaja la organización, sus objetivos, su apetito por el riesgo, la regulación y legislación que le afecta y su situación de partida en lo que se refiere a la seguridad, entre otros muchos factores.

Es decir, desgraciadamente no existen soluciones ni conclusiones generales.

 

Amenaza

Explicación

1. Robo de datos ¿Qué los datos del cliente sean acreditados por terceros no autorizados?
2. Perdida de datos ¿Qué los datos del cliente se eliminen y se pierdan?
3. Secuestro en cuenta ¿Qué un tercero no autorizado tenga acceso a la cuenta del cliente para utilizar los recursos contratados con malas intenciones?
4. Apis inseguras ¿Qué las interfaces de acceso a los recursos contratados sean vulnerables a diferentes tipos de ataque?
5. Denegación de servicio ¿Qué el cliente no pueda acceder a los recursos contratados?
6. Atacantes internos ¿Qué empleados actuales o pasados del cliente o del proveedor aprovechen sus privilegios con malas intenciones?
7. Abuso de servicios Cloud En este caso la amenaza es para el proveedor: que el cliente haga un mal uso de los servicios contratados.
8. Análisis insuficiente del proveedor ¿Qué el cliente no analice al proveedor lo suficiente antes de establecer con él una relación contractual?
9. Problemas asociados al multi-tenancy ¿Qué la compartición de los recursos físicos por parte de diferentes clientes les haga vulnerables a diferentes tipos de ataque que se apoyen en las tecnologías de virtualizacion?

Tabla 02-02: Descripción sobre las diversas problemáticas relacionadas con el almacenamiento de datos.

Fuente: Beltrán Pardo Marta, ‎ Sevillano Jaén Fernando. Cloud Computing, tecnología y negocio, 2013.

Normalmente los proveedores Cloud destacan como sus puntos fuertes en lo que se refiere a la seguridad la especialización de su personal, la incorporación inmediata de las últimas tecnologías y contramedidas existentes, la disponibilidad de gran cantidad de recursos (en variedad y en número, este aspecto es importante para protegerse frente a ciertos tipos de ataques, para proporcionar tolerancia a fallos y para recuperarse lo antes posible cuando ocurren incidentes), el cumplimiento de diferentes normativas y certificaciones, la automatización de muchos de los procedimientos de seguridad, etc. Aspectos que en muchos casos, las empresas e instituciones que contratan a estos proveedores no pueden cumplir con soluciones tradicionales on-house.

Sin embargo a estas empresas u organizaciones les preocupa la complejidad de la gestión de los grandes centros de datos de los proveedores, especialmente cuando existe un modelo de multi-tenancy que hace que sus datos, procesos, aplicaciones y sistemas convivan con los de otros usuarios sobre las mismas máquinas físicas. Como decíamos antes, también les preocupan los riesgos que añade la utilización de Internet al paradigma, ya que no se pueden utilizar esquemas de seguridad basados en la protección del perímetro como se hacía hasta ahora. Y en la mayor parte de los casos preocupa enormemente la pérdida de control sobre la infraestructura TIC de la organización. Esta pérdida de control implica que los clientes dependen en gran medida de los proveedores para garantizar la seguridad de sus activos. (Beltrán y Sevillano, 2013).