Seguridad en la nube, la gran prioridad

La computación en la nube ha revolucionado la forma en que el usuario final utiliza Internet, pero también el prestador de servicios y aplicaciones en línea se ha visto beneficiado de las ventajas de esta tecnología, tales como una implementación flexible que permite organizar de manera mucho más ajustada que con los medios tradicionales los costes de cualquier proyecto desde el inicio del mismo.

Sin embargo, a pesar del avance que ha supuesto este no tan nuevo modelo de almacenamiento y gestión de datos, las dudas acerca de su seguridad sobrevuelan el ambiente cada vez que el tema es noticia. ¿Es segura la nube? Como suele pasar con más frecuencia de la razonable, no se puede generalizar: dependerá de la nube en cuestión.

Así, a la hora de implementar una solución basada en Cloud, es crucial confiar plenamente en el buen hacer de nuestro proveedor, encargado de cimentar la seguridad del sistema y de ofrecer las herramientas adecuadas a tal efecto. Por este motivo es conveniente, al encarar un nuevo proyecto, atender a las características que ofrecen las grandes firmas del sector, aunque sea solo a modo de referencia.

Tomando como ejemplo Cloudbuilder de Arsys, empresa de alojamiento web líder en España, es ostensible que la seguridad comienza por el proveedor. El diagrama funcional de servidores Cloud que se muestra en la página del producto es muy simple y no ahonda en pormenores técnicos, pero sirve para comprender cómo está estructurada una plataforma de este tipo: IPS/IDS, cortafuegos, WAF, VPN… Procedamos a aclarar estos y otros términos.

IPS

Un IPS (Intrusion Prevention System) o sistema de prevención de intrusos establece unas políticas de seguridad para, como su nombre indica, prevenir un ataque. Lo hace utilizando diversos parámetros de detección:

Detección basada en firmas: Al igual que un antivirus, compara el tráfico que recibe con patrones de riesgo conocidos, sirviéndose para ello de una base de datos que debe estar siempre actualizada.

Detección basada en políticas: Aplicación de políticas concretas y estrictas que restringen el acceso, por ejemplo, determinando qué redes pueden interactuar entre sí y en qué grado.

Detección basada en anomalías: Este método es similar a la heurística de los antivirus, e igualmente por generar falsos positivos. Diverge en dos ramas:

1. Detección estadística de anormalidades: Análisis del tráfico de red durante un periodo de tiempo con el objetivo de crear una línea base de comparación. Cualquier comportamiento posterior que no sea el establecido generará una alarma.

2. Detección no estadística de anormalidades: Se prescinde del análisis y es el administrador del sistema quien define qué es un comportamiento normal de la red.

Honey Pot (jarra de miel): Un honey pot es, simplemente, un señuelo, una distracción. Se prepara un dispositivo que pueda resultar atractivo para los atacantes, para que éstos desvíen su atención de los sistemas reales en producción, y facilita de paso el estudio de ataques y así mejorar la protección.

IDS

A diferencia del IPS y como complemento de éste, un IDS (Intrusion Detection System) o sistema de detección de intrusos sirve para detectar ataques y accesos no autorizados. Existen dos clases de IDS:

HIDS (HostIDS): Consiste en buscar cualquier rastro que un intruso haya dejado en el servidor atacado, si ha modificado algún archivo o configuración, etc.
NIDS (NetworkIDS): A grandes rasgos, un gran filtro por el que pasa todo el tráfico de la red para ser analizado en busca irregularidades. Similar un cortafuegos, pero en la red interna.

Asimismo, los IDS pueden ser sistemas pasivos -anotan la incidencia y envían una alerta- o reactivos -ante una incidencia, se aplican reglas de seguridad determinadas, como bloqueos en el cortafuegos- y pueden implementarse tanto con hardware, software o en combinación.

“La primera barrera del entramado de seguridad” es, como puede verse, contundente, y sin embargo no es suficiente para lidiar con el cibercrimen. La siguiente capa de protección la brinda el cortafuegos o firewall, un sistema que opera con principios parecidos a los de las aplicaciones para PC, pero a gran escala.

Cortafuegos y WAF

El cortafuegos es en este caso un conjunto de dispositivos que permite gestionar las conexiones entrantes y salientes mediante la aplicación de reglas concretas de bloqueo o autorización, así como cifrar y descifrar el tráfico. En resumen, el firewall es el puesto de aduana, un vigía en la frontera entre la red interna y mas allá.

Como herramienta complementaria al cortafuegos está el WAF (Web Application Firewall), un dispositivo físico que analiza el tráfico entre el servidor y la red WAN (red de área amplia) con el fin de proteger frente a diversos ataques. Su funcionamiento está diseñado conforme a dos modelos:

Seguridad positiva: Bajo este modelo solo se aceptan las conexiones que respeten una serie de reglas predefinidas, denegando por defecto todas las demás.
Seguridad negativa: Al contrario que el anterior, el modelo de seguridad negativa aprueba todas las transacciones, siguiendo el mecanismo de detección basada en firmas de los IPS.

Para terminar y como herramienta de seguridad adicional, Cloudbuilder ofrece hasta cuatro tipos distintos de VPN (redes privadas virtuales), con las que extender de manera segura la red local sobre redes públicas o la misma Internet, por lo general, estableciendo conexiones virtuales fuertemente cifradas.

Hasta aquí el entramado de seguridad que deja entrever el diagrama funcional de servidores Cloud de Arsys. Y no hemos mencionado las copias de seguridad redundantes, típicas del almacenamiento Cloud. No obstante, si bien el término seguridad parece estar sujeto a lo que entendemos como “protegerse contra los malos”, la palabra abarca mucho más que éso.

Por agotar el ejemplo, la compañía española presume de instalaciones “a la última”, con acometida eléctrica redundada, protección ante cortes eléctricos, climatización y por supuesto protección contra incendios; así como de acreditaciones y certificados oficiales reconocidos internacionalmente en lo que respecta al seguimiento de normas, como el estándar de seguridad ISO/IEC 27001. En cuanto a la protección de datos, los servidores de Arsys están ubicados en suelo español. Todo cuenta, y redunda en la calidad del servicio.

Tampoco podemos olvidar que el mantenimiento y administración de semejante infraestructura debe recaer en manos expertas. De nada sirve disponer de las mejores herramientas y los mejores materiales, si los encargados de su puesta en marcha y gestión no cuentan con los conocimientos y experiencia precisos.

La conclusión final, pues, es que la nube no es segura, es muy segura. Aunque, como advertíamos al principio, dependerá de la nube, y, sobra decirlo, no hay tecnología infalible.

Sea como fuere, si tienes en ciernes un proyecto con base en la nube, lo que te hemos mostrado te puede servir para calibrar las diferentes ofertas que encuentres en el mercado. Al menos, en lo que a las características de seguridad indispensables se refiere.

Fuente: muyseguridad

- Todos los logos o imagenes mencionados en esta web son propiedad de sus empresas correspondientes -

Seguridad en la nube, la gran prioridad

IPS

IDS

Cortafuegos y WAF

Buscador

Redes Sociales

Laboratorio Linux