Muchas empresas se resisten a mover las aplicaciones críticas de nube fuera de sus propios centros de datos, y hacia la nube pública debido a las preocupaciones de seguridad. Sin embargo, el mismo aprovisionamiento automatizado y consistente que es esencial para la gestión de cualquiera de las nubes públicas o privadas (así como para el proceso de pensar a través de un despliegue en la nube) también puede ofrecer el beneficio adicional de mejorar la seguridad.
Por supuesto, no todas las herramientas de gestión de nube funcionan igual de bien con todos los proveedores de cloud computing; ni todos los clientes puedan gestionar sus nubes internas y externas como una sola unidad. Los proveedores de infraestructura como servicio (IaaS) como Amazon, por ejemplo, normalmente no permiten que los clientes ajusten la red y la infraestructura de almacenamiento por debajo del sistema operativo, obligando a que los clientes le confíen el nivel de seguridad al vendedor.
Y mientras que algunos clientes confían en las certificaciones externas, tales como el nivel 1 de cumplimiento de PCI DSS de Amazon Web Services, otros optarán por seguir con una nube privada dentro de sus propios firewalls, o crear entornos de nube en un sitio externo con sus propias redes y manteniendo el almacenamiento bajo su control.
Por otra parte, en comparación con las infraestructuras internas de TI, la nube pública requiere más atención hacia los componentes, tales como firewalls, balanceadores de carga de red y la traducción de direcciones de red para ocultar las direcciones IP públicas que la mayoría de los proveedores de nube le asignan a los servidores. Pero sea cual sea el modelo, los procesos automatizados y consistentes necesarios para el despliegue de nubes a gran escala no solo aumenta la eficiencia, la confiabilidad y el rendimiento de estos ambientes, sino también mejora la seguridad.
Beneficios de pensarlo bien
Con los servidores físicos, la puesta en escena y la configuración es un proceso manual; sin embargo, con las máquinas virtuales (VM), la creación de plantillas o políticas para los distintos tipos de servidores obligan a que las organizaciones “piensen más en ello y lo planeen”, señala Matt Conway, CTO del proveedor en línea de backup, Backupify. “Si necesita volver a crear un tipo de servidor rápidamente, debe escribirlo y automatizarlo”.
Y mientras que los servidores convencionales suelen ejecutar varios tipos de software para proporcionar diferentes servicios, las organizaciones suelen darles personalidades mucho más especializadas a las VM de entornos de nube para realizar tareas específicas, agrega Patrick Kerpan, presidente y CTO del proveedor de gestión en nube, CohesiveFT.
La estandarización de estas plantillas, añade, “es un bono de seguridad, ya que, para la empresa promedio, todo lo que cause un cambio es un riesgo de seguridad”.
Pasar por el proceso de decidir si ser anfitrión de una aplicación o servicio en la nube y, en caso de serlo, en qué tipo de nube, obliga a que las organizaciones evalúen el valor de una aplicación o servicio. Las decisiones de despliegue resultantes pueden mejorar los sistemas de fiabilidad, disponibilidad y eficiencia, así como su seguridad, señala Lila Schoenbeck, una alta directiva en la comercialización de la computación en nube del proveedor de gestión de software, http://www.bmc.com/ BMC.
Sin embargo, “la seguridad del personal a menudo no está invitada al debate de a la arquitectura de nubes”, agrega Schoenbeck, por temor a que su cautela bloquee la adopción de la nube.
Las organizaciones que utilizan los catálogos de servicios internos o los sistemas de gestión de identidades para controlar qué usuarios pueden acceder a las aplicaciones, pueden reutilizar gran parte de ese trabajo para asegurar la nube, señala Andi Mann, vicepresidente de estrategia de proveedor de software, CA. La habilitación de un usuario final para que acceda a los servicios en la nube, agrega, requiere un cierto nivel de comprensión de quiénes son y lo que se les permite hacer. Sin un catálogo de servicios, “se está haciendo una gran cantidad de procesamiento manual” para entender qué aplicaciones de nube están utilizando los empleados.
Aprovisionamiento automatizado
Debido a que para muchos las vulnerabilidades de seguridad son causadas por errores humanos, la automatización de la configuración adecuada del servidor automáticamente mejora la seguridad. Con entornos de nubes que contienen docenas, cientos o incluso miles de máquinas virtuales, la configuración manual sería extremadamente cara y requeriría mucho tiempo. Las herramientas automatizadas de aprovisionamiento de servidores reducen costos, incrementan la agilidad del negocio, y ayudan a prevenir las variaciones que pudieran crear vulnerabilidades.
Aunque no todas las herramientas automatizadas de aprovisionamiento de servidores se integran bien con todos los proveedores de nube, estas herramientas pueden ayudar a que las organizaciones se estandaricen en el sistema operativo correcto, el nivel de parches adecuado, y la configuración correcta de middleware, bases de datos, balanceadores de carga y agentes de administración, señala Mann.
También permiten que los administradores controlen fácilmente las configuraciones comunes y sensibles de seguridad, tales como qué puertos están abiertos y qué servicios se están ejecutando.
El dispositivo de gestión virtual de HyTrust, por ejemplo, proporciona plantillas de configuración del servidor, evalúa la configuración de seguridad de los hosts VMware vSphere en comparación con los marcos de la industria, y replica automáticamente las políticas y las plantillas a través de múltiples dispositivos.
Del mismo modo, CohesiveFT vende el firewall y router virtual VPN-Cubed, así como herramientas de gestión para la creación de plantillas de VM y para la automatización de tareas comunes de administración.
Las necesidades particulares de la nube han llevado a que algunos proveedores de servicios desarrollen sus propias herramientas. Internap, un proveedor de IaaS, ofrece software que automatiza la configuración y las auditorías de los switches de red en su móvil para crear redes LAN virtuales. Esto permite que las empresas vinculen de forma más segura sus servidores virtuales basados en nube con los servidores físicos dedicados dentro de la nube de Internap que ejecutan las aplicaciones más exigentes, tales como bases de datos, señala Paul Carmody, vicepresidente senior de gestión de producto y desarrollo empresarial.
Los administradores de seguridad también deben pasar estrictas auditorías para el cumplimiento de las normas de seguridad tanto internas como en toda la industria. Algunas herramientas de aprovisionamiento de nube producen automáticamente una pista de auditoría, a veces como un subproducto de la creación automatizada de servidores impulsada por la política, que ayuda a que los clientes se adapten más rápidamente a las necesidades empresariales o a las averías de los equipos. Muchas de las herramientas automatizadas de aprovisionamiento proporcionan informes sobre qué servidores han sido creados y configurados por determinados usuarios o administradores.
Seguridad incrustada
La estructura misma de una máquina virtual también puede ayudar a mejorar la seguridad, ya que sus archivos de disco incluyen no solo el sistema operativo necesario, middleware y aplicaciones, sino también los ajustes de configuración que ayudan a garantizar su seguridad, señala Michael Crandell, CEO del proveedor de gestión de nube, RightScale.
Cuando Jason Axne, administrador de sistemas en la empresa fabricante de cintas transportadoras, Wirebelt Company of America, respalda archivos de las máquinas virtuales, sabe que “todas las medidas de seguridad que tienen en el nivel de servidor virtual se repiten, porque es una copia de ese servidor virtual”.
A medida que las organizaciones amplían el uso de la nube, a menudo desarrollan muchas imágenes de máquinas diferentes para diferentes cargas de trabajo, añade Crandell. Si las imágenes se gestionan correctamente, esta información de seguridad encapsulada puede ayudar a asegurar que los ajustes adecuados se apliquen automáticamente a las máquinas virtuales que se vayan creando. Si se hace mal, puede crear una caótica expansión de imágenes del servidor, especialmente cuando las nuevas imágenes con nombres nuevos se crean, al tiempo que se aplican parches y actualizaciones a las imágenes originales, añade.
RightScale trabaja para evitar esto mediante la creación de un pequeño número de plantillas de imágenes que mantienen el mismo nombre en el tiempo, y se complementan con las definiciones que se requieren para proporcionar servicios específicos.
Otra fuente de configuración y seguridad incrustada de la información que puede ser reutilizado en la nube es Microsoft Active Directory, que muchos clientes ya utilizan para su repositorio interno de información sobre las características de los usuarios y los componentes de TI.
Con el uso de Active Directory, los clientes pueden establecer políticas para configurar automáticamente los servidores, dependiendo en qué unidad Active Directory Organizational Unit (OU) se encuentran, señala Shahin Pirooz, vicepresidente ejecutivo, CSO y CTO en el proveedor de servicios en nube, CenterBeam.
Con CenterBeam, añade, un usuario puede arrastrar y colocar una máquina virtual en la OU correcta dentro de la nube CenterBeam para asegurarse de que está configurada correctamente. Otros proveedores de nube que permiten funciones similares para reutilizar la configuración de Active Directory y de la seguridad mediante el uso de API para establecer control de acceso federado.
Genomic Health, una compañía de diagnóstico molecular, tuvo que probar varios proveedores de gestión de acceso antes de encontrar el servicio de identidad -y de gestión de acceso – Okta. La capacidad de Okta para soportar el estándar del lenguaje de afirmación de la seguridad permitió que Genomic Health utilice su Active Directory interno para dar servicios únicos de inicio de sesión a más de 20 aplicaciones de software como servicio, añade Ken Stineman, director senior de informática y TI.
PAN Manager, de Egenera, utiliza la virtualización para facilitar las tareas de administración y ayudar a garantizar las arquitecturas multiusuario, donde diferentes clientes comparten el mismo hardware. PAN Manager virtualiza la red que conecta las máquinas virtuales en la nube, almacena toda la información específica del servidor y la aplicación en un área de almacenamiento de la red en lugar de hacerlo en servidores individuales. Debido a que no hay información específica de la aplicación en el servidor, los clientes pueden compartir plataformas únicas o múltiples garantizando al mismo tiempo que sus aplicaciones, datos y tráfico de red no serán tocados, y por lo tanto, no representan un riesgo para la seguridad, señala Scott Geng, vicepresidente senior de ingeniería.
La virtualización también hace que los servidores de prueba sean más fáciles de configurar antes de la implementación, lo que a su vez hace que sea más fácil probar la seguridad y el rendimiento antes de poner los servidores en producción, agrega Conway, de Backupify. Las herramientas (a menudo de código abierto) que se utilizan para controlar las cargas en los sistemas también puede descubrir los ataques, añade.
Si, por ejemplo, la herramienta detecta una pérdida de recursos en todo el clúster causada por un usuario, puede ser señal de un ataque distribuido de denegación de servicio o algún otro intento de violación.
Limitaciones
Por desgracia no hay una píldora mágica -no hay una técnica de gestión de la nube que cubra todas las necesidades de seguridad de una organización. Por un lado, mientas más seguridad de grano fino necesita una organización, se puede transportar menos en las herramientas de gestión de nube. Esto se debe debido a que determinar qué aplicaciones se pueden ejecutar en un servidor -o incluso qué usuarios pueden acceder a ese servidor – no controla a las acciones específicas que un usuario puede o no puede tomar en ese servidor. Ese nivel de control basado en la función a menudo es necesario para garantizar la seguridad o el cumplimiento de la normativa de protección de datos.
Herramientas como Aveksa pueden controlar este tipo de autorizaciones de grano más fino en base a la información de los repositorios de identidad, tales como Active Directory, señala Vick Viren Vaishnavi, presidente y CEO de Aveksa.
El costo de las herramientas de gestión convencionales es otro obstáculo, añade Nand Mulchandani, co-fundador y CEO del proveedor de gestión en nube, ScaleXtreme. Mientras que una máquina virtual puede costar nueve centavos la hora, por ejemplo, un sistema para gestionarlo -como la suite de gestión BMC Blade Logic, “cuesta mil 500 dólares por servidor”, añade.
Estos altos costos obligan a que las organizaciones que tienen miles de servidores no utilicen parches automatizados o gestión de configuración o de auditoría, agrega, confiando en cambio en las secuencias de comandos o procesos manuales. Schoenbeck cuenta con que las herramientas de BMC “le permitan hacerse con el control de los servidores en nube, particularmente en un mundo donde son tan fáciles de conseguir” para asegurarse de que están siendo utilizados adecuadamente, de forma segura y rentable.
Incluso las herramientas de gestión de aprovisionamiento, ahora disponibles para la nube, no son compatibles con todos los proveedores de nube, señala Ken Owens, vicepresidente de tecnologías de seguridad y virtualización en el proveedor de IaaS, Savvis. Esto puede provocar el aumento de costos y la complejidad que requiere el uso de múltiples sistemas para administrar los servidores de nubes públicas y privadas. Owens espera que la integración sea más fácil en los próximos años a medida que evolucionen las interfases estándar.
Muchas de las herramientas de gestión de infraestructuras caen en la forma en que separan la gestión de la nube, o incluso la gestión de virtualización, desde el resto de la administración de TI, anota Mann. “Una buena pila de gestión de la infraestructura se encargará de la nube a través de los mismos procesos y capacidades con que administra las TI internas”.
Mulchandani también advierte que algunos productos de gestión de servidor interno no fueron construidos para funcionar en la nube pública. La mayoría de las herramientas de gestión de parches diseñados para entornos corporativos internos, señala, requiere un puerto abierto de entrada para aceptar actualizaciones de parches, algo que “nunca sería lo suficientemente loco” para permitir en un servidor de nube pública con una dirección IP pública. ScaleXtreme ofrece una herramienta de gestión de parches que utiliza un puerto de salida HTTPS de una vía.
Beneficios complementarios
Las buenas prácticas de administración de la nube con el fin de reducir el gasto también pueden mejorar la seguridad. Tomemos, por ejemplo, las herramientas de descubrimiento de activos, que descubren qué cantidad de aplicaciones y otros sistemas están en uso en una organización y comparan los resultados con la lista de aplicaciones que están oficialmente en los libros. Estas prácticas -a menudo utilizadas para estimar la cantidad de capacidad que una organización va a necesitar en la nube- permiten que una empresa reduzca costos mediante la eliminación de aplicaciones innecesarias o duplicadas, y agrupando lo que fueron licencias de una sola vez en volúmenes de acuerdos de compra. Estas mismas herramientas también ofrecen a los administradores de seguridad una lista más completa de las aplicaciones en la nube y los servicios que deben proteger.
A veces, los beneficios secundarios afloran de otra manera -desde herramientas de seguridad hasta otros procesos de negocio. Mientras que el principal beneficio del inicio de sesión único para Genomic Health, por ejemplo, ha mejorado la seguridad, también ha hecho que sea más fácil rastrear a los empleados que han tomado su necesaria capacitación online, comenta Stineman.
Curva de aprendizaje
A medida que más organizaciones muevan más aplicaciones a la nube, muchos observadores predicen que los proveedores proporcionarán una mejor integración entre las herramientas de administración en la nube y en las instalaciones de la empresa, y con servicios de primera calidad que ofrecen a los clientes optimizar el control y la visibilidad de sus entornos de nube.
El uso de herramientas de gestión para mejorar la seguridad también puede impulsar la carrera de un director de TI, señala Mann, ayudándolo a que dejen de ser vistos como algo más que proveedores internos de servicios, y empiecen a ser tratados como “asesores de confianza con la experiencia necesaria para traer estos servicios en la nube a la empresa”, llevándolo a la nube la probada experiencia de TI en el manejo de entornos internos seguros.
– IDG News