redseguridad 077

seguridad en cloud

monográfico

opinión

Seguridad en ‘cloud’: una aproximación

Manuel Gabaldón Director técnico en Zona Centro de Nextel

C omo ingenieros de integración de soluciones de seguridad en arqui- tecturas cloud , y como usuarios directos de aplicaciones en la nube, hemos podido ver distintas aproxi- maciones de arquitectura y de dise- ño en función de las necesidades de cada situación. A continuación tra- tamos de dar unas ideas de implan- tación y las soluciones conocidas y fácilmente desplegables en cada caso. No pretende ser un análisis exhaustivo de toda la oferta de solu- ciones cloud actuales, sino ser un punto de partida con las suficientes notas como para aclarar las dudas y marcar el camino de un responsable de arquitectura IT o un responsable de seguridad con intención de abor- dar dicho entorno. El CPD de otro La cloud se debe entender como un servicio o conjunto de los mismos en los que existen un proveedor de aplicaciones, plataformas o infraes- tructuras, y un consumidor de dichos recursos, típicamente en modalidad de pago por uso y de forma escala- ble. El proveedor debe encargarse de la disponibilidad del servicio entrega- do al cliente, ya sea una aplicación ofimática, un servidor web o una máquina virtual; pero la seguridad

aplicada sobre dicho servicio puede estar incluida, ofrecerse como ser- vicio o delegarse en su totalidad al consumidor. Esta distinción nos servirá aquí para exponer tres mode- los distintos de seguridad adaptados a distintas aunque complementarias estrategias de cloud : la securización del acceso a aplicaciones cloud ; la seguridad como servicio cloud en sí mismo; y la securización de recursos y servidores en cloud , ya sea en nube privada, pública o híbrida. La desubicación Una aplicación cloud como Office 365 o Google Apps supone un reto adicional a la seguridad, por su ubi- cuidad y la naturaleza en la que se proporciona. ¿Qué le está permitido hacer a los usuarios? ¿Qué aplica- ciones se pueden conectar con estos servicios y desde dónde? ¿Cómo y dónde se registra el uso de estos ser- vicios? El uso de soluciones de tipo CASB ( Cloud Access Security Broker ) permite el control de todas estas variables y aprovechar las ventajas del entorno cloud , siempre disponible y escalable, junto con la granulari- dad de control y administración de políticas propias de los entornos de dominio tradicionales. Los productos de tipo CASB se

integran en la infraestructura como lo haría un proxy de aplicaciones, lo que ha suscitado el interés de los fabricantes de soluciones proxy tradicionales y su posterior adquisi- ción. Estos han incorporado CASB a su gama de seguridad, que se suele complementar con la protec- ción del endpoint y el despliegue de proxy en cloud . Dado que los usua- rios acceden a los recursos cloud desde redes públicas, la protección del endpoint se hace indispensable para garantizar la seguridad del mismo. Este software de endpoint se usa tradicionalmente para forzar una conexión VPN y la navegación web a través de un proxy corpora- tivo en las instalaciones del cliente, aunque en la actualidad ya es posi- ble desplegar instancias de proxy en cloud con las mismas políticas de seguridad que las empleadas en la red interna. Este enfoque de la seguridad desplegada en cloud y accesible mediante pago por uso es otro de los conceptos a abordar durante un proceso de adopción de la nube. Como servicio Uno de los puntos fuertes de los servicios cloud es su potencial para aumentar su capacidad de compu-

60 red seguridad segundo trimestre 2017