¿Realmente Cloud Computing significará una revolución tecnológica como la que supuso en su momento Internet? No parece que vaya a llegar a esos extremos, pero sí que va a suponer cambios en los modos de trabajar de las compañías y sobre todo en los cambios que se van a producir en los nuevos productos y soluciones que aparecerán en los próximos años. Hace muy pocos años, la tecnología llamada “computación en nube” o “cloud computing” emergía incipientemente y era mirada con recelo por parte de las empresas. Hoy en día y más en los tiempos que corren, este tipo de tecnología comienza a ser aceptada entre las empresas debido al importante ahorro de costes que supone. Sin embargo, todavía existe un profundo desconocimiento y reparo a la hora de adoptar el “cloud computing” entre las compañías. Desde consultoras tecnológicas como por ejemplo BCN Binary se alerta del avance y mejora que supone para las empresas dar el “salto a la nube”. La principal ventaja que hay que tener en cuenta con respecto a ofrecer los servicios y aplicaciones mediante la “computación en nube” es la reducción de costes. Reducción tanto de instalación como del mantenimiento de las aplicaciones, así como ahorro de energía. Así, según un estudio publicado por un grupo de investigadores de las universidades Berkeley y Stanford, financiado por Microsoft e Intel, el costo de la electricidad (incluyendo refrigeración, alimentación de reserva y distribución de energía) representa un 50% del costo anual de la manutención de un Data Center. Asimismo el ahorro es inmediato, ya que se reducen la necesidad de disponer de personal especializado y continuamente formado con los costes que conlleva. En el caso de aplicaciones el ahorro en tiempo de despliegue de aplicaciones, actualizaciones y mantenimiento se aprecia desde el primer instante.
Pese a lo que pueda parecer, las capacidades a la hora de adoptar el “cloud computing” son las mismas o incluso mejores que al integrar los servicios de un modo tradicional. Como se está acostumbrado a lo material, existe la idea que lo “tangible” es lo que se puede controlar y lo que podemos ver siempre estará más seguro. Sin embargo, al integrar la “computación en nube” en una empresa puede accederse a todo desde cualquier lugar o dispositivo, siempre que se disponga de conexión a Internet. Además, los datos almacenados estarán más seguros y supervisados por un administrador central. Por último, este tipo de tecnología puede emplearse por todo tipo de empresas, desde pequeñas a PYMES y grandes empresas.
Qué aporta
Pero, ¿realmente qué es lo novedoso de esta era en la nube? Según Raúl Izquierdo Chicote, Business Development Manager de Alhambra-Eidos, “los servicios en la nube irán cambiando progresivamente el plan estratégico TI de las compañías, pasando a tener esta un datacenter más simplificado y con menos sistemas críticos. Esto llevará varios años pero yo creo que pasaremos de un escenario dónde hay servicios quizás menos críticos en la nube a otro dónde precisamente los servicios más críticos estarán en la nube. Hoy en día a veces esto no se da simplemente por una cierta inseguridad o por temas de legalidad sobre la ubicación de los datos”. Por su parte, Ricardo Usaola, director de soluciones de gestión del rendimiento de las aplicaciones, gestión del servicio y gestión de la infraestructura de CA Iberia cree que ,“Cloud computing permite optimizar el uso de los recursos reduciendo de manera espectacular el tiempo necesario para implantar nuevos servicios o nuevas funcionalidades en producción. Además, los servicios cloud dan acceso a una capacidad externa que permite absorber tanto los picos de demanda interna como los crecimientos inesperados de algunas áreas de negocio. Otras ventajas de cloud computing son la posibilidad del pago por uso y la conversión de los gastos de capital en gastos operativos” y desde la multinacional EMC se considera que la información crece a un ritmo vertiginoso y en este escenario el cloud computing abre importantes expectativas al ayudar a resolver el acuciante reto de cómo gestionar esta cantidad de información con unos recursos limitados.
En principio son varias las bondades que ofrece Cloud Computing. Fundamentalmente son dos: transparencia y dinamismo. El usuario al tener mayor transparencia puede acceder a un servicio de mayor calidad sin tener que estar familiarizado con los aspectos tecnológicos que hay detrás y todo ello de forma directa a través de la red sin que sea necesaria la interacción con un tercero. Al proveedor del servicio cloud le ofrece dinamismo (porque podrá atender de manera automática servicios que requieren fuertes cambios en la demanda) y eficiencia. Además, el modelo nube proporciona mejoras en la comunicación de datos, calidad, velocidad y fiabilidad. Pero la que más llama la atención, sobre todo en los tiempos que corren, y que representa su principal ventaja, es la reducción de costes. Reducción tanto de instalación como del mantenimiento de las aplicaciones, así como ahorro de energía. De esta forma lo podemos constatar en el mismo estudio del que hablábamos al principio en el que se asegura que el costo de la electricidad (incluyendo refrigeración, alimentación de reserva y distribución de energía) representa un 50% del costo anual de la manutención de un Data Center. Además, Cloud Computing es una alternativa válida para que la información y los servicios estén siempre disponibles y se pueda hacer uso de ellos según las necesidades de los clientes. Según Félix Fleck, Responsable Plataforma Tecnológica de SAP Iberia, “la principal ventaja es, sin duda, el ahorro de costes al no tener que realizar el desembolso necesario para adquirir infraestructura y soluciones en propiedad y la facilidad de despliegue. A ello se une a los cambios de la forma de comunicarse, que introduce importantes modificaciones en las empresas, ya que dispone de una nueva generación de aplicaciones sociales para compañías que fomentarán la colaboración dentro de la organización, así como con sus proveedores y clientes”. Por su parte, Jesús Alonso, Responsable de Explotación de Infraestructuras de Informática El Corte Inglés considera que “el Cloud Computing ofrece un modelo de negocio basado en el pago por uso de aplicaciones, plataformas de desarrollo o infraestructuras de TI, entre cuyas principales características también destacan la computación elástica y el autoservicio. Hablamos de este modo de flexibilidad, de facilidad de uso y de la capacidad de que una empresa gestione su propio servicio, dentro de un modelo cuya clave es utilizar lo que verdaderamente se necesita, frente a la adquisición e implantación de tecnologías en propiedad”. A todas estas bondades hay que añadirle otras como las que apunta Fernando Goñi Director de Desarrollo de Negocio de HP Enterprise Services: “Otra de las ventajas es que el concepto cloud no se circunscribe a un determinado sector o a una determinada actividad, podemos ver desde servicios de correo o servicios de ofimática aplicables a cualquier sector, a servicios específicos como geolocalización más indicados para actividades basadas en movilidad”.
No todas las nubes son iguales
Igual que ocurre en la naturaleza, las nubes tecnológicas también son diferentes. Existen varios modelos de entre las que destacan las clouds públicas y las privadas. Esto permite que los fabricantes de soluciones tengan dónde escoger a la hora de desarrollar sus soluciones. Luz Martín, responsable de Netsourcing de Nextel Engineering afirma que enrealidad, “estamos hablando de una forma de acceder a servicios de TI que utiliza la red como canal de distribución; la “nube” será pública o privada según lo sea la red que soporta la distribución de estos servicios. Cuando una organización -del tamaño que sea- accede a servicios de ambos tipos de nubes se dice que utiliza una “nube híbrida”. Como hemos dicho la diferencia está en la forma y no en el fondo. Quizás en un primer momento las privadas tengan más éxito en grandes organizaciones -se sienten más seguras-. Para las más pequeñas, la oportunidad será la nube pública”.
En realidad, Las nubes públicas son aquellas que son propiedad y están operadas por terceros. Es el caso de los servicios Infrastucture as a Services (IaaS) Plataform as a Services (PaaS) o Software as a Services (SaaS). En el caso de las nubes privadas, éstas son propiedad de una empresa y puede estar gestionada tanto por el departamento de TI como de un tercero. Muchas de estas nubes además se parecen mucho a las nubes que ofrecen servicios de IaaS. La nube Híbrida es una combinación de dos o más nubes de diferente tipo, por ejemplo una nube privada con otra pública. Este tipo de nube es el que más se suele emplear cuando una empresa tiene su nube privada y utiliza recursos adicionales de una nube pública. Es la más apropiada para la segunda generación de centros de datos virtuales. Según afirma Eitan Bremler, responsable de marketing de producto de Radware, “desde nuestra visión, creemos que el mayor crecimiento vendrá de las nubes públicas, porque son más beneficiosas para las empresas, que una nube privada que beneficia sólo a las empresas que están utilizando centros de datos virtuales”. En esta línea coincide Eduardo Martínez, Director General de Staff&Line: “Creo que el mayor crecimiento irá enfocado a las nubes públicas, ya que las empresas se liberan de la gestión de infraestructuras. Las empresas pueden estar tranquilas ya que se garantiza la seguridad, confidencialidad de los datos y la disponibilidad tanto del suministro energético como de red”. No obstante, no todo el mundo opina igual. Para el portavoz de IECISA, “A corto plazo, es posible que las que mayor crecimiento alcancen sean las redes Cloud Computing privadas y las federadas. Se trata de un mercado que, en la actualidad, se impulsa más desde las organizaciones privadas. El acceso a diferentes redes federadas es una buena opción para que estas compañías complementen sus propias inversiones, ampliando sus capacidades. Las inversiones en redes Cloud Computing por parte de la Administración, por otro lado, hoy van por detrás de las privadas, también debido al actual entorno económico”.
Obstáculos
Como toda tecnología emergente Cloud Computing se enfrenta a una serie de obstáculos. Para Salvador Ferrer, Director Técnico de Enterasys, “Las resistencias a la adopción de cloud computing son básicamente las mismas que en cualquier proceso de externalización. Principalmente hay una preocupación en cómo la adopción de ese modelo puede afectar a la disponibilidad de los servicios de TI para la empresa y a la seguridad de la información. En definitiva, hay un miedo a que la continuidad del negocio se vea comprometida. Desde nuestra perspectiva, como fabricantes de soluciones de red, nos parece razonable que las empresas se planteen si sus infraestructuras están preparadas para soportar esto, y si las infraestructuras del proveedor también lo están, tanto desde el punto de vista de la capacidad como de la seguridad”.
Parece que una de las principales trabas para la consolidación del Cloud Computing sigue siendo la seguridad o el temor de las empresas, cuyos datos ya no están alojados en local. Se trata, sin embargo, de un miedo infundado, dado que la creciente madurez en la oferta de estas tecnologías ya ha hecho que la seguridad quede garantizada desde el punto de vista tecnológico, siempre y cuando se recurra al proveedor adecuado. Para superar esta traba, por tanto, se necesita un cambio cultural. De hecho, en los modelos de virtualización, por ejemplo, ya no se sabe exactamente dónde están los datos, aunque los mismos sigan ubicados dentro de la organización. Las ventajas del Cloud Computing para el acceso a los datos en cualquier momento y lugar, como un paso más en esta desubicación de la información empresarial, son por otro lado incuestionables.
Para la portavoz de IBM, existen tres obstáculos principales en el desarrollo de la nube: “El uso erróneo del término, puede hacer que este nuevo modelo se banalice o se quede vacío de contenido. En el caso de cloud público, la reticencia a alojar los datos en un entorno controlado por un tercero, que además comparten también otras empresas. Los temores surgen porque las empresas creen que pierden control sobre la información y que además, al compartir infraestructura, aumentan los posibles riesgos a la seguridad, por accesos no autorizados. Otra de las dudas para apostar por un modelo de cloud computing es la rentabilidad económica. Es importante que, antes de mover cargas de trabajo a estos entornos, se haga un estudio de viabilidad técnica y de rentabilidad económica, para que la empresa vea si le sale a cuenta la inversión”. Por su parte, Fernendo Goñi de HP considera que “el principal freno es cultural y legislativo. En el plano cultural, muchos clientes perciben que ubicar la información de la empresa fuera de ella significa perder control o depender de un tercero, pero la respuesta es la misma que aplicaría a la externalización de los servicios informáticos a un hoster. Lo importante es quién y con qué garantías ofrece los servicios cloud. En la dimensión legislativa hay que entender cómo afecta en relación a dónde estén ubicados los datos, por ello la regulación digital puede ser freno o catalizador en ciertos aspectos. Y además hay que tener en cuenta las restricciones legales locales que en ocasiones hacen más restrictiva la implementación del cloud”. Por último el portavoz de SAP apunta que “las empresas adoptarán ampliamente cloud computing cuando pueda asegurar el cumplimiento de normativas relativas a seguridad (protección de datos) a través de toda la compañía, la integración de la información crítica para el negocio y los procesos empresariales o la gestión completa del ciclo de vida de la aplicación, independientemente del mecanismo de descarga. Todo ello unido a unas garantías de calidad de servicio, alta fiabilidad, seguridad y alta disponibilidad”
La seguridad
Así que en lo que todos los fabricantes consultados para la elaboración de este reportaje parecen coincidir es en señalar a la seguridad como uno de los factores determinantes para que el Cloud Computing explosione definitivamente. Nada nuevo bajo el horizonte ya que ha sucedido siempre con cualquier innovación tecnológica, como ocurrió con el desarrollo del e-business o el e-commerce. Así que las empresas de seguridad han dado su opinión sobre qué hacer ante una eventual caída de la nube. Para Acacio Martín, director general de Fortinet Iberia, “La popularidad de las operaciones in-the-cloud (como SaaS – Software as a Service) han ampliado el significado de «red» y muchos cibercriminales han encontrado muchas más grietas en el blindaje de la red, lo que les hace posible entrar y salir de la red. Como resultado, las empresas tienen una mayor necesidad de emplear firewalls en aplicaciones Web y mecanismos para prevenir fugas de información, además de evitar que los empleados introduzcan datos contaminados a la red corporativa y la distribución involuntaria de dicha información. Podríamos hablar de tres tendencias claves: la convergencia de tipos de contenido incluyendo datos, voz, vídeo y contenido móvil en una única red; la proliferación de amenazas móviles; y la creciente popularidad del modelo de negocio de seguridad como servicio (security-as-a-service). Los retos son fundamentalmente tres, el primero es disponer de una solución que proporcione de forma integrada todas las funcionalidades para proporcionar seguridad integral con un excelente nivel de calidad en cada una de estas funcionalidades; el segundo es disponer de una plataforma de alta disponibilidad capaz de proporcionar el rendimiento necesario, ya que cuando hablamos de seguridad en la red estamos planteando que todo el tráfico agregado de muchos clientes sea escaneado en un punto de agregación antes de acceder a Internet. Por último, el tercero es la necesidad de distinguir, dentro de este tráfico agregado, el tráfico de cada cliente individual de forma que se le pueda proporcionar exactamente el servicio que desee contratar”. Por su parte, Josu Franco, Director de Desarrollo Corporativo de Panda Security, si se produce un fallo en la nube, las consecuencias dependerán “de la gravedad del fallo, del servicio que sea, de la infraestructura del proveedor, etc. La respuesta puede ser desde “nada” hasta “se deja sin servicio a los clientes”. En nuestro caso, si se produce un fallo en una infraestructura de PCEP, probablemente los clientes ni se enteren, porque hay otro nodo de backup. Quizás el administrador de la empresa no podría entrar en la consola durante un tiempo corto. Si se produce un fallo en la infraestructura PCOP, los antivirus en los clientes seguirán funcionando, aunque el administrador no pueda acceder a la consola durante un tiempo, etc. Los proveedores de servicios desde la nube debemos contar con infraestructuras que sean, precisamente, a prueba de fallos, con componentes y líneas replicadas. Bajo el modelo SaaS, se tiene mucho más control de la seguridad corporativa, ya que todo el parque se puede gestionar de forma centralizada. Imaginemos una compañía con 20 oficinas dispersas geográficamente… con un sistema tradicional, para mantener y gestionar la seguridad, el administrador tiene que estar in situ desplazado o bien contar con personal especializado en cada delegación o ubicación. Con un sistema SaaS, el mismo administrador tiene visibilidad de todo lo que pasa en su parque y puede gestionarlo desde un único punto y de forma rápida”. Para María Ramírez, Ingeniero Preventa de Trend Micro, los más peligroso en la actualidad se encuentra que que se produzca una infección en entornos Cloud ya que “supone infección de todos los clientes que hagan uso de esta. Por eso, el punto principal sobre el que tendríamos que trabajar sería en conseguir dotar de seguridad a estos entornos”.
Según un estudio de IDG entre 100 directores de seguridad del mundo, más del 30% de las grandes empresas tienen en la nube alguna aplicación empresarial. Más de un tercio de las empresas han aumentando el uso del Cloud Computing en los últimos dos años. Sin embargo, es interesante ver cómo dos tercios de los encuestados no han establecido una estrategia de seguridad para Cloud Computing. Y es que de las distintas áreas de riesgo, la mayor es que, en la nube, la organización no tiene control de dónde residen sus datos, cómo se procesan, se destruyen o quién accede a ellos.
Según Jorge Manzanares, Director de Servicios y Soluciones de Dimension Data “existen maneras de mitigar estos riesgos, la primera y más importante es trabajar con un integrador de sistemas que pueda gestionar los sistemas de terceros y de los proveedores. Pero la responsabilidad de la mitigación de riesgos recae fundamentalmente en el cliente. No resulta probable que los proveedores Cloud cambien su entorno de seguridad a petición del cliente, por lo que éste debe de entender sus propios requisitos en materia de seguridad para seleccionar el proveedor cuyo entorno se adapte mejor a sus necesidades”. Para Javier Sánchez Rojas, Enterprise Senior SE Brocade España, “se deben disponer alternativas para proporcionar el servicio por otro medio, en otra ubicación y en el menor tiempo posible. Un fallo en cualquier punto de la cloud no debe ser impedimento para seguir ofreciendo esos servicios críticos en cualquier parte del mundo”.
CLOUD COMPUTING ¿ES LA MEJOR OPCIÓN PARA MI?
Guía para sacar el máximo partido a cloud computing
Cloud computing da respuesta a algunos de los nuevos retos que plantea nuestro mundo, pero no a todos. En este momento, en el sector de las Tecnologías de la Información «todo» es cloud y «todos» los proveedores son cloud. Pero el uso erróneo del término, puede hacer que este nuevo modelo se banalice o se quede vacío de contenido. En este artículo se analizan los primeros pasos que hay que dar para determinar si cloud es la mejor opción y, si lo es, sacarle el máximo partido.
El futuro tiene una palabra clave: inteligencia. A medida que nuestro planeta está más instrumentalizado e interconectado, el modelo de computación para abordar este reto ha ido evolucionando. El resultado es cloud computing, un nuevo modelo de prestación de servicios que resulta especialmente interesante para aquellas empresas que necesitan atender una demanda no previsible o fluctuante, prestar servicios que son consumidos de forma instantánea sin que haya un intermediario y ofrecer servicios estandarizados que no ofrezcan margen a la personalización.
Es importante aclarar que la informática en la nube va a convivir con los modelos con los que operamos hoy en día. Cloud, no es una revolución, sino una evolución de la tecnología ya existente. Por ejemplo, cloud computing comparte aspectos comunes con el outsourcing pero es incorrecto equiparar ambos conceptos ya que el primero de estos modelos se caracteriza por su alto grado de estandarización, frente a la personalización que ofrece el outsourcing. Cloud tampoco es una nube indefinida o Internet en la que no se saben dónde están los servidores o que requiera operar en un entorno muy distribuido geográficamente. La red es el canal, pero las cargas de trabajo siguen siendo ejecutadas en servidores a los que se accede a través de una red. Además, en el caso de IBM, el cliente conoce la localización de la infraestructura cloud. Virtualización y cloud son conceptos diferentes. La virtualización es una condición necesaria para cloud computing, pero si queremos que un tercero acceda a un recurso virtualizado existente en un catálogo, bajo un modelo de pago por consumo y que éste se le asigne de forma dinámica, la respuesta está en cloud.
Es importante aclarar estos conceptos porque el abuso que se está haciendo del término, puede hacer que este nuevo modelo se banalice o se quede vacío de contenido. Y esto sería un error puesto que cloud computing ofrece muchas ventajas. El consumidor puede acceder a un servicio sin tener que estar familiarizado con los aspectos tecnológicos que hay detrás y todo ello de forma directa a través de la red sin que sea necesaria la interacción con un tercero. Al proveedor del servicio, cloud le ofrece dinamismo para prestar de manera automática servicios que requieren fuertes cambios en la demanda.
Pero, ¿por dónde empezar?
El primer paso está en analizar las cargas de trabajo. Es decir analizar la naturaleza del servicio que queremos prestar o al que queremos acceder. Y en función de este primer análisis tomar las decisiones posteriores como puede ser el tipo de cloud a utilizar. Al cliente hay que preguntarle ¿qué es lo que tú quieres hacer? Y en función de esa respuesta construir todo lo demás.
Si un servicio está totalmente estandarizado (no ofrece margen a la personalización) y además cuenta con una demanda no previsible y requiere ser suministrado de forma inmediata, bajo un modelo de pago por consumo, cloud será la mejor opción. Obligatoriamente, no se tienen que dar todas esas características a la vez, pero estos son los cuatro parámetros que barajamos a la hora de determinar si cloud es un entorno adecuado para ejecutar una carga de trabajo.
Una vez confirmado que cloud encaja en esta carga de trabajo, habría que determinar qué tipo de cloud utilizar. En el caso del cloud público o compartido, es propiedad y está controlado por un proveedor externo que proporciona acceso al mismo bajo suscripción a diferentes clientes. Este tipo de cloud está especialmente diseñado para tareas de trabajo entre las que figura puesto de trabajo virtual, el acceso a herramientas de colaboración y mensajería o tener acceso a capacidad de cómputo o almacenamiento. Por ejemplo, los más de 300.000 empleados de Panasonic trabajan con IBM Lotus Live, una solución de acceso a software de colaboración en «modo cloud» (Software as a Service) que les permite tener una comunicación y colaboración más eficiente con su red global de clientes, socios y proveedores en todo el mundo. Otro ejemplo, es el centro cloud que IBM ha construido para el gobierno municipal de Wuxi, China. En este caso el cloud se utiliza como vía de acceso a la plataforma tecnológica (Plaftform as a Service) que necesitan las empresas dedicadas al desarrollo de software. Antes tenían que comprar la infraestructura necesaria para probar el funcionamiento de las aplicaciones nuevas. Ahora a través de un portal en Internet seleccionan los recursos que necesitan y de forma automática tienen acceso a ellos.
Sin embargo, si lo que quiero es utilizar cloud para realizar tareas relacionadas con análisis de datos, la mejor opción será en cloud privado por cuestiones relacionadas con mayores niveles de privacidad, conformidad con la normativa específica del sector de actividad de la empresa o un alto nivel de control interno. Por ejemplo, las Fuerzas Aéreas de Estados Unidos utilizan un entorno cloud (Infrastructure as a Service) para gestionar y proteger la información confidencial que circula por su red (desde la que se gestionan las actividades de 100 bases en todo el mundo y 700.000 militares en activo).
Nuestra recomendación es que las empresas comiencen desplegando cloud computing para servicios sencillos, con información de negocio de baja sensibilidad, como un primer paso, para en un futuro evolucionar hacia servicios más complejos que operen con información más crítica para el negocio.
En definitiva, cloud es una opción muy interesante a considerar, pero no es la respuesta a todas las necesidades. Hay servicios en los que este modelo encaja muy bien y otros que no. Es fundamental hacer una selección adecuada de las cargas de trabajo que se pueden trasladar a estos entornos. Y es que cloud computing, a pesar de que parezca algo etéreo, requiere una aproximación muy rigurosa e integrada basada en ideas, metodologías y soluciones que necesitan ser extraordinariamente sólidas.
Elisa Martín Garijo, Directora de Tecnología e Innovación de IBM España
Nublado con un 100% de probabilidad de amenazas
Si hay algo que produce mareos y temblores entre los directores de TI ése es el término Cloud Computing. Como expertos en seguridad somos testigos de la incertidumbre y la preocupación que afecta a estos profesionales a la hora de migrar sus sistemas a la nube.
En una primera instancia la adopción de servicios basados in the cloud conlleva grandes beneficios para la empresa: servicios on-demand, acceso a red de banda ancha, compartición de recursos, más flexibilidad, y un nuevo modelo de ingresos basado en servicios. No obstante, también expone a las organizaciones a riesgos y vulnerabilidades al producirse un traslado de información de una red protegida a una pública. Por ello podemos afirmar que operar en un entorno de red basado en la nube ofrece más posibilidades de sufrir ataques o el robo de datos que con una red tradicional.
Asegurar la nube es uno de los principales retos a los que los administradores de red se enfrentan. Cada día, más y más compañías, adoptan servicios como alquiler de espacio de almacenamiento, software as a service, hosting de aplicaciones y TI virtuales. El concepto de protección de datos estáticos frente a datos en movimiento obliga a las organizaciones a analizar distintos mecanismos de seguridad que les permitan securizar sus datos mientras se encuentran almacenados o circulan por la nube así como cuando regresan a la red. Entre estos se encuentran el control de la aplicación, cifrado, inspección SSL, protección frente a la pérdida de datos y antivirus. Mientras los datos se encuentran albergados en la nube pueden ser protegidos bajo clave para evitar el acceso no autorizado, pero los datos infectados no se “limpian” necesariamente en la nube y pueden volver infectados a la red.
Por ello cabe destacar las tres principales consideraciones a tener en cuenta en materia de seguridad en un entorno de cloud computing:
– Datos albergados en la nube
* Pérdida de datos de proyectos confidenciales – es vital asegurarse que el proveedor cuenta con una política de seguridad de accesos y que los datos no pueden ser filtrados al exterior.
* Cumplimiento de normativas – las consideraciones relativas a la regulación del cumplimiento de normativa deben ser un criterio básico a la hora de seleccionar un proveedor de cloud computing.
– Datos en movimiento: debemos asegurarnos que nuestra solución de seguridad de red puede inspeccionar el contenido de una aplicación para detectar malware encriptado y buscar/detectar las amenazas en el momento de entrada y salida de los datos de la red.
– Datos en uso
* En la nube – no olvidemos comprobar que el proveedor nos ofrece una protección completa de tal manera que los datos son “liberados” del malware y que su contenido no se ve afectado por este software malicioso
* En el cliente – asegurarse que los controles de seguridad del cliente son los apropiados y que si los datos son descargados desde los servicios basados en la nube, éstos no van a verse infectados cuando vuelvan a la nube.
Acacio Martín, Director General de Fortinet Iberia
Maximice la inversión de la infrestructura de
cloud pública sin correr riesgos
Si usted se encuentra en una empresa tecnológica no está en una posición envidiable. Ahora, está sometido a más presión que nunca para reducir costes y gastos, mientras que, al mismo tiempo, tiene que atender las necesidades de CEOs y ejecutivos, quienes demandan rapidez y agilidad en la implementación de nuevos servicios y aplicaciones. En este sentido, no es de extrañar que estemos viendo el aumento que está experimentando el Cloud Computing: gracias a la nube, las empresas ahora son capaces de lograr los objetivos aparentemente contradictorios de ahorro y agilidad. Quizá en un mundo perfecto, el Cloud Computing sería el final feliz que todas las empresas están buscando. Pero sin seguridad específicamente diseñada para la infraestructura cloud, la historia está incompleta.
Los cibercriminales están al acecho en este entorno informático tan relativamente nuevo. La Cloud Pública y, particularmente, la “Infraestructura como Servicio” (IaaS) son especialmente vulnerables. La razón está en la letra pequeña – mientras otras plataformas Cloud Públicas como el “Software as a Service” (SaaS) o el “Platfom as a Service” (PaaS) proporcionan algunas garantías en términos de servicio, el modelo de “Infrastructure as a Service” potencia la responsabilidad de la seguridad del grueso de los datos en la empresa. Basta con echar un vistazo a los términos de servicio de un proveedor para que se haga evidente que está por encima de la empresa asegurar y desplegar seguridad para sus aplicaciones IaaS.
Entonces, ¿cómo se puede en una empresa de TI empezar a dar este paso crucial para asegurar las aplicaciones IaaS?. Lo primero que debemos hacer es saber que es necesario entender que la seguridad para una aplicación cloud tiene varias facetas, pero los elementos fundamentales son securizar y garantizar el entorno de la aplicación y el mantenimiento del control de los datos. Cualquier tipo de solución a estos problemas necesita encajar en las arquitecturas existentes con seguridad con el fin de proteger todos los niveles de la infraestructura.
Pero esto no termina aquí. Con el fin de obtener los beneficios de desplegar aplicaciones “in the cloud” sin comprometer la seguridad de los datos, el equipo de TI necesita considerar lo siguiente:
– Tener en cuenta que su perímetro se ha reducido hasta quedar al límite de su máquina virtual “in-the-cloud” y que es necesario asegurar ese servidor host virtual. Esa seguridad puede incluir firewall, IDS/IPS, monitorización de la integridad de los archivos e inspección de registros.
– Tener garantías que sus soluciones de seguridad permiten avanzar desde el mundo físico a través de la virtualización a las clouds públicas y privadas. Es importante buscar soluciones con un enfoque holístico diseñadas o preparadas para la virtualización y que aprovechen tecnologías como las APIs VMsafe de VMware. Evite soluciones que bloqueen o cierren una alternativa, por ejemplo: sólo físico, sólo hypervisor, o únicamente appliances virtuales para un hypervisor, etc.
– Encontrar soluciones que permitan controlar la seguridad de tus datos y aplicaciones independientemente de si están dentro del perímetro de la empresa o en la cloud pública. Una consola podría permitir gestionar soluciones físicas, virtuales y clouds privadas y públicas.
– Hacer frente a la realidad de que todas las cosas buenas tienen un final. Cuando un fabricante cloud deja de aportar valor añadido y es necesario finalizar la relación, ¿cómo se puede confirmar que los datos son destruidos y no han sido copiados de forma ilícita?.
– Evitar el depender de un solo fabricante cloud y asegurarse de que tiene portabilidad entre proveedores cloud para maximizar el poder de negociación y evitar el error de que un único fabricante le lleve a la bancarrota.
La “Infraestructura como Servicio” proporciona beneficios incomparables en cuanto a reducción de costes al mismo tiempo que aumenta la velocidad de despliegue de aplicaciones, y su solución de seguridad facilita esos beneficios. Teniendo esto en cuenta, las empresas deberían plantearse meticulosamente la seguridad del entorno ahora en lugar de esperar a más tarde, pues sólo de este modo se puede permitir que la compañía aproveche correctamente la nube.
Todd Thiemann, Director Senior de Marketing para Centros de Datos de Trend Micro