Si usted se encuentra en una empresa tecnológica no está en una posición envidiable. Ahora, está sometido a más presión que nunca para reducir costes y gastos, mientras que, al mismo tiempo, tiene que atender las necesidades de CEOs y ejecutivos, quienes demandan rapidez y agilidad en la implementación de nuevos servicios y aplicaciones. En este sentido, no es de extrañar que estemos viendo el aumento que está experimentando el Cloud Computing: gracias a la nube, las empresas ahora son capaces de lograr los objetivos aparentemente contradictorios de ahorro y agilidad. Quizá en un mundo perfecto, el Cloud Computing sería el final feliz que todas las empresas están buscando. Pero sin seguridad específicamente diseñada para la infraestructura cloud, la historia está incompleta.
Los cibercriminales están al acecho en este entorno informático tan relativamente nuevo. La Cloud Pública y, particularmente, la “Infraestructura como Servicio” (IaaS) son especialmente vulnerables. La razón está en la letra pequeña – mientras otras plataformas Cloud Públicas como el “Software as a Service” (SaaS) o el “Platfom as a Service” (PaaS) proporcionan algunas garantías en términos de servicio, el modelo de “Infrastructure as a Service” potencia la responsabilidad de la seguridad del grueso de los datos en la empresa. Basta con echar un vistazo a los términos de servicio de un proveedor para que se haga evidente que está por encima de la empresa asegurar y desplegar seguridad para sus aplicaciones IaaS.
Entonces, ¿cómo se puede en una empresa de TI empezar a dar este paso crucial para asegurar las aplicaciones IaaS?. Lo primero que debemos hacer es saber que es necesario entender que la seguridad para una aplicación cloud tiene varias facetas, pero los elementos fundamentales son securizar y garantizar el entorno de la aplicación y el mantenimiento del control de los datos. Cualquier tipo de solución a estos problemas necesita encajar en las arquitecturas existentes con seguridad con el fin de proteger todos los niveles de la infraestructura.
Pero esto no termina aquí. Con el fin de obtener los beneficios de desplegar aplicaciones “in the cloud” sin comprometer la seguridad de los datos, el equipo de TI necesita considerar lo siguiente:
• Tener en cuenta que su perímetro se ha reducido hasta quedar al límite de su máquina virtual “in-the-cloud” y que es necesario asegurar ese servidor host virtual. Esa seguridad puede incluir firewall, IDS/IPS, monitorización de la integridad de los archivos e inspección de registros.
• Tener garantías que sus soluciones de seguridad permiten avanzar desde el mundo físico a través de la virtualización a las clouds públicas y privadas. Es importante buscar soluciones con un enfoque holístico diseñadas o preparadas para la virtualización y que aprovechen tecnologías como las APIs VMsafe de VMware. Evite soluciones que bloqueen o cierren una alternativa, por ejemplo: sólo físico, sólo hypervisor, o únicamente appliances virtuales para un hypervisor, etc.
• Encontrar soluciones que permitan controlar la seguridad de tus datos y aplicaciones independientemente de si están dentro del perímetro de la empresa o en la cloud pública. Una consola podría permitir gestionar soluciones físicas, virtuales y clouds privadas y públicas.
• Hacer frente a la realidad de que todas las cosas buenas tienen un final. Cuando un fabricante cloud deja de aportar valor añadido y es necesario finalizar la relación, ¿cómo se puede confirmar que los datos son destruidos y no han sido copiados de forma ilícita?.
• Evitar el depender de un solo fabricante cloud y asegurarse de que tiene portabilidad entre proveedores cloud para maximizar el poder de negociación y evitar el error de que un único fabricante le lleve a la bancarrota.
La “Infraestructura como Servicio” proporciona beneficios incomparables en cuanto a reducción de costes al mismo tiempo que aumenta la velocidad de despliegue de aplicaciones, y su solución de seguridad facilita esos beneficios. Teniendo esto en cuenta, las empresas deberían plantearse meticulosamente la seguridad del entorno ahora en lugar de esperar a más tarde, pues sólo de este modo se puede permitir que la compañía aproveche correctamente la nube.
