La seguridad en entornos cloud y virtualizados necesita una estrategia definida
La clave de la seguridad en entornos cloud y virtualizados, proceda tanto del proveedor como se base en la estrategia del cliente, es una buena planificación.
Las empresas son cada vez más conscientes de la necesidad de asegurar los entornos cloud y virtualizados, ya sea gracias a los servicios que ofrece el mismo proveedor cloud o a la estrategia que se forja a su alrededor desde la propia organización. El primer paso para aquellas organizaciones que quieren llevar sus servidores a la nube es tener claro cuál va a ser la estrategia cloud a seguir, siendo fundamental la seguridad que “o bien la pone la misma empresa o la ofrece el correspondiente cloud provider”, explicaba Nicasio de Tomás, Territory Account Manager de Dell Security, durante un desayuno informativo organizado por NetMediaEurope y moderado por Rosalía Arroyo, Redactora Jefe de ChannelBiz.es.
En España, la mayoría de los proveedores cloud posee una serie de servicios de seguridad, así “además de defender su propia infraestructura, son capaces de proteger a las empresas frente a ciberataques”, señalaba Marío García, Country Manager Iberia de Check Point Software Technologies.
Para los proveedores cloud ofrecer servicios de seguridad les otorga un valor añadido frente a sus competidores. Sin embargo, no todos ofrecen el mismo catálogo de servicios, ni todos los aplican adecuadamente. Por ejemplo, muchos proveedores no cuentan con un servicio WAF, por ello, estos expertos recomiendan contar con una estrategia de seguridad propia, de la misma manera que si estuvieran on premise.
En este sentido, la nube híbrida se está imponiendo como modelo de cloud. “Las empresas primero llevan a la nube un servidor y su correo electrónico y, de acuerdo con la SLA que tengan y la confianza que se vaya generando por los servicios prestados, se va traspasando otra serie de datos”, apuntaba Alberto Arbizu, Cloud and Networking Iberia Sales Manager en Citrix Systems.
¿Delegar nuestra autenticación a terceros?
A pesar de la estimación de que el mercado de gestión de identidades y accesos (IAM) crecerá en los próximos años, los tres expertos han coincidido en el error de delegar la autenticación a un proveedor cloud, como medida de seguridad. “En Check Point tenemos servicios cloud contratados a terceros a los que no se puede acceder desde fuera, sólo funciona si entro por la VPN de mi empresa, es decir, yo me autentico en mi empresa, tengo mi certificado, mi PC asegurado, pero nunca delego los servicios de autenticación a otra persona”, afirmaba Mario García.
De hecho, según apuntan estos expertos, las comunicaciones con la nube han de ser cifradas, como mínimo por VPN. “Si alguien quiere llegar a ese servicio primero tiene que acceder a mi red interna”, explicaba García.
De la misma manera, las comunicaciones entre delegaciones se deben hacer a través de un túnel cifrado. “Me muevo de un entorno seguro a otro seguro, tomando un camino seguro, sin tener que salirme a ningún sitio de terceros”, decía el directivo. Sin embargo, aunque las políticas de seguridad funcionen, a veces el problema son los usuarios. “Una de las formas más tontas de saltarse la seguridad de una empresa es conectarse al PC de casa con una comunicación cifrada, cosa que no se debería permitir”, añadía Mario García.
Para que esto no ocurra es importante que todos los usuarios sean conscientes de las políticas de seguridad de su empresa. Pero, ¿las conocemos? Según apuntan los expertos, no conocer las políticas de seguridad de la empresa supone un grave problema, no tanto desde el punto de vista de la privacidad sino desde el punto de vista de la seguridad, ya que el objetivo del ciberdelincuente es encontrar vulnerabilidades o huecos de información. “El tráfico SSL representa el 50% de la red, y sin embargo, muy pocas empresas lo inspeccionan”, apuntaba Nicasio de Tomás.
La importancia de las comunicaciones cifradas
Ya en la II Guerra Mundial, los ingleses se dieron cuenta de la importancia de las comunicaciones cifradas, y lo que empezó como un departamento, se convirtió en agencia diez años después, concretamente en 1955. Un año más tarde, los americanos crearían una agencia de búsqueda de datos, que posteriormente pasaría a convertirse de forma oficial en la NSA.
Desafortunadamente, con los últimos acontecimientos de ataques tanto físicos como virtuales, el panorama de inspección de la seguridad podría evolucionar, “quizá no tanto a nivel de las empresas pero sí a nivel de los gobiernos. Es un terreno complicado que podría hacerse a nivel europeo, país por país o con una normativa mundial de inspección”, opinaba Alberto Arbizu.
Sin embargo, aunque desde hace varias décadas somos conscientes de la importancia de las comunicaciones cifradas, al final todo lo que va a cifrado en algún momento se descifra, incluso utilizando tecnologías como la navegación segura. “No hay nada 100% seguro”, coincidían los tres protagonistas.
Sandboxing, ¿vuelve la moda?
Según apuntan los distintos ejecutivos, las empresas de seguridad llevan utilizando sandboxing muchos años, en cualquier dispositivo de seguridad. “Pero ahora parece que si no tienes sandboxing en tu firewall estás indefenso”, decía Nicasio de Tomás. Sin embargo, de acuerdo con los expertos, sólo algunos lo tienen implantado.
“Sandboxing no es una tecnología a tiempo real, por tanto que esto detecte una amenaza es algo malo”, apuntaba el responsable de Dell. “Una empresa no puede permitirse que alguien navegue libremente por su red ni cinco minutos”, añadía Mario García.
Un paso más allá
El auténtico cambio que ha supuesto la migración a la nube es el tiempo que invierten las empresas en poner un servicio en funcionamiento. Antes una empresa pensaba un servicio, le pasaba el proyecto al departamento de informática, y podía tardar de seis a nueve meses en tenerlo instalado ya que había que desarrollarlo, poner una infraestructura, comprar switches, hardware, etc. Ahora las empresas buscan la inmediatez, por ello contratan servicios cloud.
“El cloud ya está pasado, ya existen servicios de automatización al alcance de cualquier usuario de forma inmediata, incluso se tarda más en pagarlo que en tenerlo”, afirmaba Alberto Albizu.
Y este cambio ha dado lugar a que las empresas sean completamente digitales. “Ya no hablamos de transformación, para mi hablar de eso es pasado, el que no se haya dado cuenta de que su empresa es digital y esté pensando en transformarla, es que no ha mirado a su negocio”, apuntaba Mario García.
Ejemplo de ello es el caso de una constructora que rechazó instalar un proyecto de seguridad en su empresa porque, “aunque los hacker me ataquen, mis ladrillos se siguen poniendo”. Esta empresa tuvo la mala suerte de ser atacada y esos ladrillos se dejaron de poner porque no había albaranes, no sabían si tenían que comprar o no cemento, cuánto había comprar o a quién, porque toda esa información la tenían de forma digital.
“El cambio que todavía no se ha producido es que IT tiene que modificar su modo de funcionar, ya no tiene una infraestructura que maneja a largo plazo. Ahora tiene requisitos inmediatos de cada uno de sus clientes y tiene que ser capaz de reaccionar y aprovisionar esos servicios”, explicaba el ejecutivo de Check Point.
Según predecía este directivo, el departamento de IT cada vez se convertirá más en un ‘broker’ de servicios, entrando en juego el market place de las empresas. “Como broker de servicios, IT necesita servicios de cloud, además de tener flexibilidad para poder responder a las demandas de forma rápida y segura”, añadía.
Cómo asegurar los entornos cloud y virtualizados
Desde Check Point señalan que lo más importante es meterse dentro de la virtualización para poder proteger el tráfico tanto de “norte a sur” como de “este a oeste”. “Nunca se sale de la virtualización, ni si quiera se sale del servidor, por lo tanto es muy difícil filtrar una información. Nosotros tenemos una plataforma de seguridad tanto si montas una cloud pública, privada o híbrida”, explicaba Mario García.
Por su parte, Nicasio de Tomás recalcaba la importancia de proteger la infraestructura del cloud provider, “ya sea con un antimalware, un sandboxing o cualquier otra herramienta”. Mientras que en la parte de virtualización recomendaba túneles VPN, doble factor de autenticación, passwords, etc. Y en la parte del software, aconsejaba instalar herramientas como la gestión de identidades, monitorización, Cloud as a Manager o herramientas de migración. “Creo que la seguridad tiene que ser absolutamente lineal”, añadía el responsable de Dell Security.
Y por último, desde Citrix, Alberto Arbizu destacaba la experiencia del usuario es lo que manda como primer punto importante. “En segundo lugar, desde nuestro punto de vista, la seguridad empieza por la virtualización, de hecho la nueva normativa que trae el Banco Central Europeo para todos los bancos habla de que todas las partes de los elementos tradicionales de seguridad como pueden ser firewalls o IPS están bien pero lo primero es virtualizar todo”.
En último lugar, el ejecutivo recalcaba la relevancia de los accesos en el amplio sentido de la palabra, desde elementos de biometría, gestión de identidades, doble factor, etc., “nosotros lo metemos todo en uno”. Además, Arbizu concluía con la importancia de buscar alianzas con empresas para complementar los servicios que demandan los usuarios.