Etiquetas

, , , , , , ,

Como analizaba en mi comentario titulado ¿”Nubarrones” en la Nube (Cloud Computing)? (12 de marzo) , una de las afirmaciones más generalizadas en estos momentos, casi un estereotipo, es que la seguridad es uno de los frenos (por no decir obstáculo o barrera) para el Cloud Computing. En esa afirmación, como en muchas otras, de entrada usamos el término seguridad de una forma genérica que en ocasiones da lugar a equívocos …

En primer lugar, hay que tener en cuenta como “Cloud Computing” implica un nuevo paradigma en muchos aspectos de la TIC tanto en el diseño de sus servicios, como en la forma de trabajar con ellos, con el consiguiente y necesario cambio cultural: en la parte del usuario (entendiendo por tal en este caso, el departamento TIC de una entidad que decide usar Servicios de una Cloud Pública) que en el aludido comentario del 12 de marzo resumíamos en la “gestión de servicios frente a la gestión de activos”, pero en la parte del Prestador de Servicos Cloud también implica un cambio aún mayor  tanto en el diseño de su infraestructura, como en la forma de operar con ella, etc. Y esos aspectos irán calando entre los profesionales del sector TIC, aunque en muchos casos aún no han sido asumidos. Para centrar el tema creo que es bueno analizar unos cuantos ejemplos que ilustren el cambio de paradigma al que aludo:

Por ejemplo en el tema de diseño de infraestructuras TIC, para crear un entorno cloud no tiene sentido comprar máquinas robustas y con alta tolerancia a fallos (por ejemplo, doble fuente de alimentación, doble controladora de disco, configuración RAID 1+0, 2 tarjetas de red conectada switches diferentes, etc.), la filosofía es poner máquinas mucho más baratas y asumir que se pueden estropear, en cuyo caso su trabajo será asumido por otras máquinas (lo mismo con el almacenamiento de la información, las comunicaciones y otros criterios de diseño). Esto, como se ve, ya rompe conceptos muy asentados de seguridad, en este caso los relacionados con la “disponibilidad”.

El mismo ejemplo anterior significa que un usuario de una Cloud Pública significa, además de las ventajas características del Cloud Computing (que se pueden en resumir en pagar por lo que realmente usa, solo por el tiempo que lo usa, y en el momento que lo necesita, es decir transformar el CAPEX en OPEX), tiene la ventaja adicional de poder establecer planes de “continuidad del negocio” y DRP que hasta el momento, tal vez, le eran inviables por coste.

Del mismo modo, tal vez, se deban redefinir el uso de las estrategias defensivas (firewall, etc.) cuando se trabaja en un entorno cloud (por ejemplo llevándolas a la aplicación o, en el otro extremo del abanico de posibilidades, analizando si de verdad la aplicación es la correcta para llevarla al modelo cloud).

Sin embargo sí es cierto que estas Cloud Públicas traen consigo nuevos riesgos de seguridad, sobre todo en lo relacionado con las leyes de protección de datos española y europea, o con los requisitos de estándares como la ISO 27.000,  que se están resolviendo en función del servicio que se contrate, p.e. criptografiando la información almacenada en la Cloud o la “circulante”, etc.. En esto casos además puede llegar a ser inviable en casos donde la legislación u otras regulaciones no permitan que los datos salgan de la organización o del país (bien impidan su almacenamiento externo de datos o bien su procesamiento).

Este es uno de los motivos tecnológicos (también regulatorios) que inducen a muchas empresas (especialmente grandes) a optar por una Cloud Privada propia, pese al inconveniente de que todo es CAPEX. Entre los dos extremos existen soluciones intermedias como las Cloud Comunitarias (donde el CAPEX se comparte con otros socios) y las Cloud Híbridas (donde hay parte de CAPEX y parte de OPEX). Pero también surgen nuevos servicios como las “Cloud Privadas Alquiladas” donde empresa como TISSAT ofrecen una cloud dedicada al cliente con infraestructuras nuestras (con tecnología OpenStack).