Valoración
  • Actualmente 0 de 5 Estrellas.
Tu valoración
  • Actualmente 0 de 5 Estrellas.
  • 1
  • 2
  • 3
  • 4
  • 5
OPINIÓN

Olga Ramírez, Directora de Desarrollo Corporativo, Calidad y MARCOM de Fibernet

Seguridad de la transmisión de la información en la ‘cloud’ privada

Las empresas alojadas en la nube necesitan que se les garantice que los proveedores aplican prácticas adecuadas de seguridad para mitigar los riesgos a los que se enfrentan (por ejemplo, los ataques distribuidos de denegación de servicio, o DDoS). Necesitan esta garantía para poder tomar decisiones de negocio correctas y para mantener u obtener certificados de seguridad.

Podemos definir una nube privada de muchas formas, pero una manera muy gráfica puede ser aquella que podemos ver y tocar.

Cuando una empresa alojada en una cloud pública comenta sus problemas de inseguridad, el desconocimiento de dónde estarán sus sistemas y sus datos, de cómo se están tratando éstos últimos, la falta de localización de sus equipos virtuales, etc., se ponen de manifiesto las ventajas en cuestiones de seguridad y monitorización de los datos en las cloud privadas. Aspectos como la privacidad de sus sistemas, datos, sistemas de seguridad, etc., son prioritarios dado que la propia compañía sigue manteniendo el control absoluto del negocio.

Las empresas alojadas en la nube necesitan que se les garantice que los proveedores aplican prácticas adecuadas de seguridad para mitigar los riesgos a los que se enfrentan (por ejemplo, los ataques distribuidos de denegación de servicio, o DDoS). Necesitan esta garantía para poder tomar decisiones de negocio correctas y para mantener u obtener certificados de seguridad. En este sentido, la cloud privada puede ofrecer mayores garantías.

La empresa tiene la posibilidad en este tipo de cloud privadas de mantener los sistemas físicos dedicados a cada proyecto, configurados en tantos servidores virtuales como sean necesarios para cada cliente, sistemas abiertos a cualquier crecimiento sin impacto del negocio y con la mayor disponibilidad de los sistemas que los clientes demanden. Todos estos aspectos son posibles en una cloud privada.

Con esto no quiero decir que las cloud públicas no tengan su función y razón de ser en el mercado de los servicios. Muchas organizaciones se están moviendo a la nube pública porque la descarga del coste y la responsabilidad de mantener su propia infraestructura de nube se considera que bien vale la pena en tiempo y dinero. Sin embargo, ¿es la mejor decisión para la seguridad?

Éste es un tema interesante a discutir y que cada empresa debe valorar en función de la criticidad de sus datos y sistemas. Por ejemplo, frente a la pérdida de control en la nube pública, podemos vernos en el caso de que en la nube pública el proveedor es responsable si la infraestructura de una organización es víctima de un ataque. Sin embargo, la empresa sería responsable de llamar a los administradores de sistemas y redes durante el fin de semana, y dedicar grandes cantidades de tiempo y recursos a mitigar un ataque en el caso de la nube privada. De esta manera la empresa puede valorar más interesante la nube pública.

Evidentemente, la cloud pública tiene unos costes más bajos, pero no olvidemos que también los compromisos de disponibilidad, seguridad, etc., son menores. Aquí es donde cabe preguntarse: ¿cuánto vale mi negocio?, ¿están seguros mis datos?, ¿mi información está amparada por alguna ley que los proteja?

Ventajas

Ciertas opiniones de expertos indican que la cloud privada tiende a desaparecer como servicio y la culpa, al parecer, la tienen los precios que se pagan por dicho servicio. No tiene que ser así. La cloud privada garantiza la integridad del negocio del cliente y su total privacidad, por lo que esta solución permanecerá mucho tiempo como servicio.En definitiva, las ventajas podríamos cuantificarlas y serían numerosas pero solamente indicaré las más significativas:

  • Seguridad.
  • Disponibilidad.
  • Rendimiento.
  • Productividad.
  • Confiabilidad.
  • Crecimiento seguro en la misma plataforma física.
  • Exclusividad.

En este tipo de proyectos, hablar de los niveles de seguridad en el transporte de la información es el objetivo principal. Para un servicio del estilo IaaS, DcaaS, etc., la pérdida de información o la vulnerabilidad intrínseca al puro transporte de la misma son riesgos que las empresas debemos identificar y minimizar con la adopción de medidas adecuadas, y con el objetivo de adaptarnos a las nuevas normativas europeas en lo que al ámbito de seguridad se refiere.Básicamente y atendiendo a la tecnología del tratamiento de la información, su naturaleza, alcance, contexto, así como probabilidad y gravedad de los derechos del mal uso o robo de estos contenidos, obliga a medidas técnicas y organizativas que ya están a disposición del mercado de la mano de los profesionales del sector con tecnologías adecuadas.

Nivel de seguridad

Cuando se trata de entornos prestados como servicios de cloud privadas en distintas localizaciones geográficas, pero que han de compartir información, un nivel de seguridad adecuado al riesgo debería atender a una serie de recomendaciones:

  • El cifrado de los datos a tratar.
  • Capacidad de garantizar la confidencialidad, integridad, disponibilidad y resiliencia permanentes de los sistemas y servicios de tratamiento.
  • Capacidad de restaurar la disponibilidad y el acceso a los datos de forma rápida y segura en caso de incidente físico o técnico.
  • Un proceso de verificación, evaluación y valoración regulares de la eficacia de las medidas técnicas y organizativas para garantizar la seguridad del tratamiento.

Otra funcionalidad de seguridad aconsejable para este tipo de servicios es la inclusión de módulos de monitorización en tiempo real de la calidad y posible intrusión de los enlaces de fibra óptica.

Cifrado

Una parte fundamental en el cumplimiento de las nuevas normativas europeas es el cifrado en el transporte de cada servicio. Este cumplimiento ofrece una serie de ventajas, como son el no requerir de memorias/ tarjetas "blades" adicionales en los equipos de comunicaciones como switches o routers, además de mantener el máximo rendimiento sin añadir ningún tipo de latencia. Sus principales características son:

  • Encriptación extremo a extremo de la línea de fibra.
  • Comunicación transparente.
  • Algoritmo criptográfico AES funcionando con claves de 256 bits.
  • Cambio automático con claves frecuentes mediante algoritmo de intercambio de claves Diffie-Hellman.
  • Autenticación segura extremo a extremo impidiendo suplantación o ataques man in the middle.
  • Gestión por parte del cliente con clave principal.

Es importante destacar que la nube privada no es segura solo porque es privada. La seguridad en la nube privada requiere una estrategia de empresa bien pensada y desarrollada.

Lo primero para garantizar la seguridad de la nube privada consiste en examinar la seguridad en la que reside la nube y ésta puede tomar muchas formas dependiendo de su naturaleza. No obstante, hay controles y protocolos comunes a la mayor parte de las redes.

Precisamente por esto, es importante implantar protocolos y procedimientos para acceder a los datos de la nube privada en las etapas de planificación. Si la nube está destinada a ser visitada internamente, la empresa debe asegurarse de que los servicios no puedan visitarse externamente. También es importante determinar qué restricciones se deben colocar sobre el acceso de los recursos. Por lo tanto, es importante planificar con antelación de cara a cumplir protocolos y mitigar riesgos.

Otro aspecto a cuidar es la propia preparación del personal y la realización de frecuentes auditorías de los registros del sistema. Para esto hay numerosos dispositivos que realizan análisis de registros automatizados, con mensajes de alerta y alarmas.

Como conclusión, podríamos decir que una nube privada se refiere a los recursos de computación en nube utilizados exclusivamente por un solo cliente. Una nube privada puede ubicarse físicamente en el centro de datos de la empresa o en un hoster como Fibernet, donde toda su infraestructura se mantiene en una red privada. 

Volver

Newsletter

¿Quieres estar informado? Ya puedes suscribirte GRATIS a nuestra newsletter mensual