07
mayo
2019

Seguridad en la Nube

La nube, también conocida como servicios en la nube, informática en la nube o computación en la nube (cloud computing), es un nuevo paradigma que permite ofrecer servicios a través de Internet.

La nube no es un producto en sí, sino más bien un modo de transmisión y almacenamiento de datos. Básicamente es un término que se utiliza para describir una red mundial de servidores remotos, que están conectados para funcionar como un único ecosistema, diseñado para almacenar y administrar datos, ejecutar aplicaciones, y entregar contenido o servicios.

A pesar de que el término “nube” puede sugerir un espacio intangible, la realidad es que detrás de este existe una gigantesca infraestructura, la cual consta de recursos físicos (redes de comunicaciones, servidores, sistemas de almacenamiento, aplicaciones y servicios, entre otros), para que multitud de usuarios puedan gestionar todos sus archivos en cualquier instante y en cualquier lugar, conectados a Internet.

Tipos de Nube

No todas las nubes son iguales y un mismo tipo de no es apto para todo el mundo. Varios modelos distintos de computación en la nube han evolucionado para ayudar a ofrecer la solución correcta para satisfacer necesidades diversas:

  • Nube Pública (public cloud): son propiedad de un proveedor externo de servicios en la nube, que las administra y ofrece sus recursos informáticos, como servidores y almacenamiento, a través de Internet. Todo el hardware, software y demás componentes de la infraestructura son propiedad de este proveedor, que también los administra. El usurario obtiene acceso a estos servicios y administra su cuenta a través de un explorador web.
  • Nube Privada (private cloud): recursos informáticos en la nube que utiliza exclusivamente una empresa u organización, y que generalmente radican en el centro de datos local de la propia compañía, que la administra y decide quién puede utilizar la infraestructura.
  • Nube Híbrida (hybrid cloud): combinan nubes públicas y privadas, enlazadas mediante tecnología que permite compartir datos y aplicaciones entre ellas. Un usuario es propietario de una parte y comparte otras, aunque de manera controlada.

Servicios en la Nube

Los servicios en la nube se agrupan fundamentalmente en tres niveles generales:

  • Software como Servicio (SaaS: Software as a Service): el usuario utiliza un software como un servicio a través de Internet empleando un navegador web desde un dispositivo conectado; por ejemplo: al acceder a un servidor de correo electrónico, al redactar documentos en línea empleando un paquete ofimático, o al compartir archivos.
  • Plataforma como Servicio (PaaS: Platform as a Service): el usuario disfruta de una plataforma completa y funcional orientada a un servicio, sin tener que adquirir equipamiento, ni programas, ni realizar mantenimiento; por ejemplo: al contratar servicios de alojamiento para sitios web, bases de datos, correo electrónico, entre otros.
  • Infraestructura como servicio (IaaS, Infraestructure as a Service): se ofrece toda una infraestructura completa al usuario; por ejemplo: se ofrece una máquina virtual completa con memoria, procesador y disco duro, junto con el ancho de banda necesario, para instalar aplicaciones propias y servicios, sin prestar atención al servidor físico, ni a la infraestructura de comunicaciones, ni de almacenamiento, ni al mantenimiento de dicha infraestructura.

Ventajas de la Nube

  • Es posible acceder a los archivos e incluso modificarlos en cualquier momento y lugar y desde cualquier dispositivo conectado a Internet.
  • Flexibilidad en cuanto a la capacidad almacenamiento y procesamiento.
  • Posibilidad de hacer copias de seguridad en la nube.
  • Precios asequibles.
  • Favorece el trabajo en equipo.

Desventajas de la Nube

  • Si la conexión a Internet falla, o si lo hace el servicio suministrado por el proveedor, no será posible acceder a los archivos en la nube.
  • Dado que la infraestructura de la nube es propiedad del proveedor del servicio, quien la gestionada y monitorizada, el cliente tiene un control mínimo sobre ella, incluso, hasta después de eliminada de la nube.
  • Aunque los proveedores de servicios implementan los mejores estándares de seguridad, pueden sufrir un ciberataque que comprometa los datos almacenados en la nube.
  • Además de la seguridad ante ataques externos, también existen riesgos en la privacidad de la información, por una acción interna del propio proveedor de servicios.

Seguridad en la Nube

La computación en la nube provee numerosas capacidades de almacenamiento y procesamiento de información en centros de datos de terceros; de este modo, cuando un usuario decide utilizar la nube, pierde la habilidad de tener acceso físico a sus datos; y como resultado, confía en que su proveedor de servicios prestará especial atención a la seguridad de su información.

La seguridad en la nube se refiere a una amplia gama de políticas, tecnologías y formas de control, destinadas a proteger los datos, las aplicaciones y la infraestructura asociada a la computación en la nube.

Existen varios problemas de seguridad asociados con la computación en la nube, sin embargo, es posible agruparlos en dos grandes categorías: aquellos a los que se enfrentan los proveedores (organizaciones que proveen software, plataformas o infraestructura como servicio a través de la nube) y problemas de seguridad enfrentados por los clientes (entidades y usuarios que utilizan la aplicación o almacenan información en la nube).

La responsabilidad es compartida, pues el proveedor debe asegurar que la infraestructura que ofrece sea segura y que la información de sus clientes estará a salvo, mientras que los usuarios, por su parte, deben tomar medidas para fortalecer su acceso, empleando eficientes métodos de autenticación.

La arquitectura de seguridad en la nube es efectiva solo si se implementan defensas en los lugares correctos, reconociendo donde pueden aparecer determinados problemas, y estableciendo controles para resguardar cualquier debilidad y reducir el efecto de los ataques.

A pesar de hay muchos tipos de controles detrás de una arquitectura en la nube, usualmente se pueden encontrar en una de las siguientes categorías: ​

  • Controles disuasivos: están destinados a reducir los ataques en un sistema en la nube. Cumplen el propósito de alertar a los posibles atacantes que habrá consecuencias adversas hacia ellos si continúan con el ataque.
  • Controles preventivos: refuerzan el sistema contra incidentes, generalmente reduciendo o eliminando vulnerabilidades. Suministran autenticaciones fuertes de los usuarios de la nube, reduciendo la posibilidad de que usuarios no autorizados tengan acceso al sistema, y mejorando su identificación.
  • Controles de detección: están destinados a detector y reaccionar adecuadamente a cualquier incidente que ocurra. El monitoreo de la seguridad de red y del sistema, incluyen detección de intrusos y alistamientos de prevención, y son típicamente utilizados para detectar ataques en el sistema de la nube, y dar soporte a la infraestructura de comunicación.
  • Controles correctivos: reducen las consecuencias de un incidente, normalmente limitando el daño. Su efecto ocurre durante o después de un ataque. Por lo general están diseñados para reconstruir un sistema comprometido después de un ataque mediante copias de respaldo.

Generalmente se recomienda que los controles de seguridad en la nube sean seleccionados e implementados de acuerdo y en proporción a los riesgos, típicamente evaluando las amenazas, vulnerabilidades y sus impactos. Además, los proveedores de servicios y sus usuarios deben negociar términos acerca de responsabilidades, estipulando cómo deben resolverse los incidentes que involucren pérdida de datos o que comprometan los mismos.

Cifrado de Datos en la Nube
La seguridad de la computación en la nube se ha convertido en corto tiempo en asunto fundamental para los usuarios que emplean estas tecnologías, por la importancia que reviste la información que almacenan en Internet.

La sincronización de archivos entre diferentes dispositivos y la nube, constituye un proceso crítico vulnerable desde el punto de vista de la seguridad de la información, en donde el cifrado de datos parece ser una opción no despreciable para garantizar un alto nivel de protección.

La mayoría de proveedores de almacenamiento en la nube emplean algún nivel de encriptación de archivos sea del lado del servidor (para almacenar la información), o del cliente.

El cifrado del lado del servidor es el método que utilizan la mayoría de servicios de almacenamiento de archivos en la nube. Se refiere a que la información llega al servidor sin cifrar, y allí es cifrada (normalmente con la contraseña del usuario). La transferencia de los archivos se realiza a través de una conexión segura (HTTPS/SSL). No obstante, existe la posibilidad de que, aunque la seguridad de los datos está garantizada, ante ataque externos, no así su privacidad, pues el administrador del servidor u otro atacante interno puede acceder a los datos y/o a las claves de cifrado.

El cifrado del lado del cliente, aunque menos empleando, consiste en encriptar los archivos antes de que salgan del dispositivo que se conecta a un servicio en la nube. Lo ideal, aunque no todas las aplicaciones lo cumplen, es que la contraseña nunca salga del cliente, es decir, que los responsables del servicio en la nube solo almacenen y sincronicen datos, cuyo contenido no pueden descifrar. Su empleo trae aparejado como ventajas que la información del usuario es mucho más privada, pues solo en su dispositivo permanece descifrada, y ante cualquier alteración en el servidor o en la transferencia de archivos, solo se obtendrán datos encriptados, y nunca la información original. Como inconvenientes, tiene la particularidad de que, ante un olvido de su contraseña de seguridad, el usuario nunca tendrá acceso a la misma, además de verse afectada la interacción vía web con los archivos, por encontrarse cifrados en el servidor, y solo serán modificables desde el cliente.

La realidad es que la administración y el monitoreo de la seguridad en la nube es una tarea continua, y tanto clientes como proveedores de servicios necesitan trabajar, bajo la premisa de comprender que la protección de la información que intercambian es una tarea compartida.