_ Mariano Lázaro
Actualmente, gran parte de las grandes organizaciones de nuestro ecosistema empresarial han comenzado, incluso algunas culminado, uno de los mayores desafíos tecnológicos y organizacionales de los últimos años: la migración de sus sistemas y aplicaciones Legacy desde una modalidad On-Premises hacia la nube. Independientemente del proveedor elegido, aunque es cierto que actualmente sólo hay unos pocos realmente de confianza, el paradigma seleccionado puede variar entre los siguientes: IaaS, PaaS y SaaS.
La diferencia entre ellos es sustancial y dependiendo de cuál sea el escogido, los modelos de gestión serán muy diferentes. En concreto, en cuanto a la responsabilidad de gestión, irá decreciendo en la compañía y creciendo hacia el proveedor Cloud, por este orden: On-Premises, IaaS, PaaS y SaaS, de tal modo que componentes como las aplicaciones, los datos, el sistema operativo, las máquinas (virtuales), servidores, almacenamiento e infraestructura de red estarán completamente gestionados por la compañía en el modelos On-Premises y administrado en su totalidad por el proveedor Cloud en el modelo SaaS. No es mi intención describir académicamente qué significa e implica cada una de estas siglas, mi idea es transmitir mis inquietudes dentro del aseguramiento de plataformas que están desplegadas en la nube. Tampoco voy a entrar en si es mejor o peor tal o cual proveedor, eso lo dejo a criterio de cada cual, en función de su experiencia con unos y con otros.
Me voy a focalizar en las diferencias en la seguridad en entornos IaaS y PaaS. Las diferencias más notables entre ambos modelos son que en IaaS (Infrastructure as a Service) tú eres el encargado de gestionar la ejecución y el sistema operativo de las máquinas, así como el Middleware, mientras que en PaaS (Platform as a Service) no, únicamente gestionas las aplicaciones y los datos, delegando de este modo en el proveedor de Cloud todo lo demás.
Para comenzar, el modelo tradicional de monitorización de seguridad cambia notablemente a la hora de securizar una plataforma desplegada en la nube. Las principales marcas de Ciberseguridad han creado versiones Cloud de sus productos estrella como SIEM’s, Gateways, IDS’s, IPS’s, WAF’s, NGF’s, etc. Pues bien, ahí empiezan las sorpresas, al darte cuenta de que muchas de las funcionalidades más interesantes de los mencionados productos, aparecen restringidas o eliminadas en las versiones para Cloud. Las marcas no tienen culpa de esto, ni mucho menos, sino que esta circunstancia es producto de ciertas restricciones que los proveedores de la nube tienen en sus entregas de funcionalidades. Se podría decir que la tecnología aún no está madura del todo. En favor de los proveedores de Cloud hay que decir que continuamente están cubriendo los huecos dejados a lo largo de su roadmap de entrega de servicio.
Si lo anterior empieza a complicarnos un poco la existencia, problemática que vamos abordando con ingenio y controles compensatorios, ¿qué decir cuando nos encontramos con una plataforma que ha sido desplegada siguiendo los estándares de PaaS? Todavía en IaaS, puedes acceder a tu máquina virtual, examinar los logs, administrarlos y explotarlos pero, ¿en PaaS? ¿Qué puedes hacer?
La respuesta parece clara: has de confiar en las capacidades nativas de las plataformas Cloud, en cuanto a seguridad se refiere… Aquí es cuando tienes que centrar tus atenciones en Centros de Seguridad, Analíticas de logs, etc…
A los que nos dedicamos a la Seguridad de la Información, en general, nos gusta muy poco tener que depender de un solo control para todo, es decir, de un punto crítico de fallo… La pregunta que nos viene a la cabeza es: ¿qué pasa si el proveedor en Cloud falla o interrumpe su servicio?
Es lógico pensar que si delegas la seguridad de una plataforma en la infraestructura y capacidades del proveedor de Cloud; si éste falla o es atacado, no solo la seguridad se verá comprometida, sino que la propia plataforma caerá y en ese momento ya no habrá nada que proteger. Sin embargo, es bastante importante poder diversificar los entornos tecnológicos y las medidas de seguridad tomadas para proteger cualquier infraestructura ya que éstas serán más específicas y alternativas, reduciendo considerablemente los riesgos a los que están sometidos nuestros valiosos activos.
Y más aún… en caso de un incidente de seguridad, a la hora de hacer un análisis forense, tendremos que solicitar logs y todo tipo de artefactos a nuestro querido proveedor, teniendo en cuenta el kilométrico contrato de prestación de servicios que la compañía ha firmado con ello. Hay quien habla incluso hasta de órdenes judiciales para poder obtener la información que necesitamos para poder realizar una correcta gestión del problema… y todo esto, sin tener en cuenta los plazos estrictos que nos trae nuestro nuevo Reglamente Europeo de Protección de Datos, pero de Compliance hablaremos en otra ocasión.
A lo mejor nos estamos volviendo locos y la tendencia a tenerlo absolutamente todo en la nube y confiar en ella, nos va a traer plataformas y entornos cada vez más seguros… pero algo me dice que esto no va a ser así. Precisamente una de las principales bondades del Cloud Computing es que el perímetro está difuso; esto aporta mucha flexibilidad y dinamismo a los desarrollos, permitiendo integrarlos con suma facilidad en metodologías Agile y DevOPs, aunque por otra parte dificulta muchísimo la protección y aseguramiento.
En los próximos años nos enfrentaremos a desafíos continuos en este sentido. También es cierto que tendremos que confiar en que el nivel de madurez de estos entornos irá creciendo y tanto proveedores, como fabricantes y profesionales de la Ciberseguridad iremos encontrando algunas soluciones a estos problemas.
Mariano Lázaro
CISA, ISO 27001 LI, CHFI, CAPM (@PMI)