Por Álvaro Cuadros
En Bolivia tenemos ya múltiples iniciativas de crear o migrar sistemas a la nube (Cloud), sea esta híbrida o privada. Esta tendencia imparable ocasiona que nazcan, naturalmente, dudas sobre cómo encarar las responsabilidades de seguridad derivadas de la misma.
Si estás en este proceso te aconsejo leer estos tips y si necesitas más información ahí te dejo unos links que espero sean muy útiles.
Existen múltiples artículos y papers sobre cómo debe funcionar la relación y distribución de responsabilidades de seguridad entre proveedores de servicios en la nube (cloud service providers (CSPs) y los clientes de este servicio, sin embargo, también existen varias y simultaneas interpretaciones sobre su correcta implementación.
La guía para gestionar efectivamente la seguridad en la nube “Guideline on Effectively Managing Security Services in the Cloud” Brinda una ruta sencilla y fácil de entender para los clientes de la nube y cubre en detalle el cómo diseñar, publicar y operar un servicio seguro en la nube en modelos IaaS, PaaS, y SaaS. Los clientes de cualquier Nube pueden usar esta guía para ayudarse a lograr que sus servicios corran de manera segura en la nube.
En la guía, la primera figura sobre la responsabilidad ilustra el alcance de responsabilidad en los modelos IaaS, PaaS, y SaaS de la siguiente manera:
Staying Secure in the Cloud Is a Shared Responsibility, Gartner, https://www.gartner.com/doc/3277620/staying-secure-cloud-shared-responsibility
División de responsabilidad de seguridad entre clientes de la nube y proveedores de Servicio en la Nube (CSP) en los diferentes servicios.
Si bien existen diferencias en las responsabilidades de seguridad entre modelos, existen también responsabilidades comunes a todos los modelos.
Responsabilidades del proveedor:
Seguridad física de la infraestructura, incluyendo pero no limitada a: entrega de energía eléctrica, enfriamiento, protección ante incendios, agua y también hurto.
Seguridad del hardware de computo, almacenamiento y de red.
Seguridad de las redes básicas, tales como firewalls.
Seguridad del almacenamiento de sistemas virtualizados a nivel de respaldo y recuperación de respaldos.
Seguridad de la infraestructura de virtualización, tales como la isolación o separación lógica de los recursos propios de virtualización y separación lógica adecuada entre tenants.
Identificación y control de acceso de los tenants.
Acceso seguro a los recursos virtualizados de cada cliente.
Gestión de seguridad, monitoreo de operaciones, y respuesta ante incidentes en la infraestructura.
Formular y realizar pruebas adecuadas de los planes de continuidad y recuperación ante desastres para la infraestructura.
Tus responsabilidades como cliente de una nube
Gestión de identidad y control de acceso a tus sistemas.
Seguridad de los datos, los clientes controlan los datos en sus sistemas y por tanto son responsables por ellos, el proveedor únicamente los procesa. Este es un punto crítico que incluso se encuentra respaldado usualmente a niveles legales muy estrictos.
Gestión de seguridad y control de las terminales por las cuales se acceden a los servicios virtualizados incluyendo: Hardware, Software, Aplicaciones y Dispositivos y sus privilegios.
La guía proporciona en varios capítulos la descripción técnica de las medidas de seguridad para sistemas en la nube y provee además una ruta de implementación basada en tecnologías, productos y servicios vigentes. También ilustra que tecnologías, productos y servicios deberían ser implementados tanto por proveedores como clientes, de acuerdo con el modelo en el que se encuentren trabajando (IaaS, PaaS o SaaS).
Responsabilidades de seguridad
Este artículo se basa en varios otros escritos por el CSSM Working group.