A estas alturas, todo el mundo sabe lo que es cloud. Probablemente, muchos de nuestros lectores tengan servicios alojados en la nube o proyectos en marcha para migrar a ella. Y es que, aunque ha cambiado significativamente desde que Salesforce comenzó en 1999 con su SaaS, es un modelo que, tal y como lo conocemos hoy en día, lleva entre nosotros bastante más de una década.
Es cierto que el número de actores ha crecido de manera importante, los procesos se han consolidado y el número de servicios se ha incrementado (y lo sigue haciendo), y nuevos estándares, organizaciones y certificaciones han ido apareciendo (y lo siguen haciendo) ligados a este nuevo paradigma, pero con mayor o menor nivel de detalle, ya vamos entendiendo de qué va esto de la “nube”.
Y quizá el problema sea ese “vamos entendiendo” o “con mayor o menor nivel de detalle”, porque a nadie se le escapa que, siempre generalizando, aún falta mucho camino en la adopción e integración de prácticas puramente cloud, y por supuesto, en la implementación del cloud seguro. Y esa es precisamente la idea de esta serie: partir de ese “mayor o menor nivel de detalle” para ir ampliando, poco a poco, el grado de profundidad.
Como muchas cosas en la vida, todo comienza con una primera pregunta, la más obvia, la que todos nos debemos plantear, sino lo hemos hecho ya: ¿es el cloud seguro? La respuesta, más obvia todavía: “depende de a quién le preguntes”. Si le preguntas a un proveedor cloud, su respuesta es clara: “por supuesto”. Si me preguntas a mí, es tan seguro como tú quieras… o tu CFO te deje.
Porque al final, como dice el archiconocido eslogan, la nube no es más que el ordenador de otro, y es importante no perder eso de vista en ningún momento. Por lo tanto, su seguridad depende de quién sea ese otro y cómo se plantee la seguridad de ese otro ordenador.
Esa misma pregunta se puede hacer sobre cualquier equipo o infraestructura TI de una organización, y la respuesta será exactamente la misma. ¿Es un firewall seguro? El fabricante te dirá que sí, pero la realidad es que depende de cómo esté configurado, actualizado, auditado, etc. La nube no deja de ser una extensión de tu dominio a proteger, y de ti depende como protegerlo (incluyendo el acceso de ese otro, que en muchos casos se asume como un mal menor o simplemente se mira para otro lado). Integrar servicios en la nube, o migrar alguna aplicación a un entorno de nube pública, no deja de ser más que una ampliación de nuestra superficie de ataque y por tanto requiere medidas para protegerla.
De igual manera que cuando planteamos una nueva aplicación o sistema para ofrecer servicios internos o externos debemos definir una estrategia de seguridad para proteger dichos entornos, cuando planteamos trabajar en cloud, debemos tener en cuenta al menos las mismas consideraciones de seguridad… más otras que veremos en futuros posts.
Bajo esta premisa, el primer factor a tener en cuenta es el famoso “Modelo de responsabilidad compartida”, o como yo lo llamo: yo te vendo un servicio y como lo configuras es tu problema. En esto se ha de basar nuestra estrategia. Esto tampoco es nuevo; usando el ejemplo del firewall, si adquiero uno de estos dispositivos ya actualizado, y no abro ningún puerto al mundo, podría afirmar que tengo cierta seguridad garantizada por el fabricante, asociada al diseño e implementación del dispositivo (si, lo sabemos: “The only system which is truly secure is one which is switched off and unplugged locked in a titanium lined safe, buried in a concrete bunker, and is surrounded by nerve gas and very highly paid armed guards. Even then, I wouldn’t stake my life on it” – Gene Spafford).
Ahora bien, a partir de ese momento, la responsabilidad de la correcta parametrización, de mantener actualizado el equipo, por lo tanto de su seguridad, es del comprador (de nosotros, vaya). Lo que significa que, aunque lo plantearemos en entradas futuras, ante un posible incidente de ciberseguridad, las responsabilidades serán nuestras, y será complicado reclamar compensaciones o responsabilidades a estos proveedores y a sus aparatos legales. Del mismo modo que a nadie se le ocurriría demandar a Checkpoint porque una red protegida por un firewall cuya primera regla es ANY:ANY ha sido vulnerada.
El segundo factor importante a tener en cuenta es nuestro modelo de aproximación al cloud. Esto lo vamos a dividir en dos ámbitos: por un lado, debemos considerar el tipo de servicio que vamos a necesitar o que vamos a implementar. Es decir, si vamos a contratar servicios de infraestructura (IaaS), servicios de plataforma (PaaS), o servicios de aplicaciones (SaaS). Esto es importante, no porque unos u otros sean mejores o peores desde el punto de vista de la seguridad, sino porque según esta decisión tendremos que adaptar nuestras soluciones de seguridad.
El segundo ámbito es el referente al modelo global de nuestra infraestructura, y entiéndase infraestructura como cualquier elemento que provea servicios de TI a nuestra organización. Sin entrar en las posibles combinaciones, aquí podemos tener elementos en nuestras instalaciones (on-premise), en servicios cloud privados, en servicios cloud públicos o deslocalizados y móviles (edge computing). De la misma manera que en el caso de modelos de servicio, para cada aproximación tendremos que contemplar una u otra estrategia. De hecho, en este caso, la tendencia del mercado es ir hacia entornos híbridos multicloud, en los que los servicios están alojados en diferentes proveedores cloud, móviles o en nuestras dependencias, lo que complica más si cabe la estrategia de seguridad, que ha de contemplar cada caso particular para permitirnos dormir todo lo tranquilos que nuestra amada profesión nos permita.
A pesar de que en muchos casos, trabajar en cloud se percibe como una simple extensión de nuestra infraestructura hacia otros entornos, la realidad es que este movimiento va mucho más allá. Dejando de lado las nuevas soluciones de seguridad o escenarios de ataque, el concepto de cloud cambia el paradigma de la seguridad, del desarrollo, de las operaciones y de la gestión de costes en TI. Ahora no solo debemos controlar los aspectos clásicos de la seguridad, sino también movernos en entornos donde no todo está bajo nuestro control; pequeños cambios en la configuración de un entorno cloud puede tener implicaciones mucho mayores que antes no necesitábamos considerar, como la exposición de datos al exterior; no por nada los casos más sonados de incidentes de seguridad en cloud no han estado relacionados con nuevos vectores de ataque o ATP indetectables, sino que se han debido a configuraciones deficientes de, por ejemplo, buckets S3.
No cabe duda de que todo esto abre un mundo apasionante en materia de seguridad (y nuevos dolores de cabeza), en el que profundizaremos en futuras entradas, con permiso del coronavirus, el teletrabajo y lo que sea que nos depare el futuro.
