Existe un aumento significativo de empresas que están trasladando cada vez más recursos y cargas de trabajo a la nube. Asumir que en el Cloud Computing la seguridad es intrínseca a este tipo de servicio es un error que puede complicar las cosas a muchas empresas en un futuro próximo. Porque si bien es cierto que hay que invertir en planes de ciberseguridad on-premise, también debemos hacerlo para nuestros despliegues en el Cloud.
Existen organizaciones como “Cloud Securitty Alliance” que se dedican a promover el uso de buenas prácticas para garantizar la seguridad en ‘Cloud’, porque La computación en la nube se está volviendo cada vez más popular, partiendo de sencillos repositorios de almacenamiento como OneDrive, Google Drive, Dropbox, etc. a los servicios ‘SaaS‘ de Google asociados a las cuentas de Gmail y terminando en el hosting tradicional o los más especializados servicios de ‘PaaS‘ e ‘IaaS’.
Es conveniente conocer a grandes rasgos los distintos tipos de arquitectura y servicios que ofrece el Cloud Computing para comprender mejor las medidas de seguridad que han de adoptarse en este tipo de entornos.
Existen cuatro implementaciones de servicios de Cloud Computing en función de su tipología.
Private Cloud: La nube Privada fue precursora de este tipo de soluciones, aquí los recursos suelen estar alojados en una red privada a nivel local, en la propia infraestructura o a través de un proveedor de servicios externo especializado, que es generalmente exclusivo de la empresa u organización. Las características principales de este tipo de Cloud serian:
- Los servidores e infraestructura física son de nuestra propiedad.
- Existe un alto grado de seguridad, ya que nuestros datos no son gestionados por terceros.
- El Hardware es dedicado y adaptado a nuestras necesidades.
- La inversión inicial, los costes de mantenimiento y actualización son superiores
Este tipo de soluciones privadas son utilizadas mayoritariamente por entidades gubernamentales, organismos oficiales y entidades bancarias.
Virtual Private Cloud VPC: Esta variante del Private Cloud no es realmente un subtipo especifico, pero debido a su creciente implantación podríamos empezar considerarlo como tal. Se basa en la disposición de una serie de recursos computacionales configurables bajo demanda dentro de un ambiente de cloud público, el cual provee de un cierto grado de aislamiento entre diferentes organizaciones.
Public Cloud: La nube publica es el tipo más extendido, aquí los recursos inherentes a este tipo de servicio se encuentran alojados externamente en el proveedor de servicios. Este tipo de servicio Cloud tiene algunas implicaciones como, por ejemplo:
- Los recursos computacionales y de almacenamiento se comparten entre todos los clientes del proveedor, es decir, nuestros datos y los de otras empresas podrían estar alojados en el mismo equipo.
- Nuestra información se almacena en servidores de terceros, de los que no somos propietarios.
- No requiere de una inversión inicial en infraestructura, ni posteriormente en mantenimiento o actualización ya que esta corre a cargo al proveedor.
Este tipo de servicios son los ofrecidas por empresas como Amazon, Google, Microsoft etc. que se encargan a nivel global de su gestión y mantenimiento.
Hybrid Cloud: El Cloud hibrido supone Una combinación de los casos anteriores, donde coexisten recursos locales y externos que configuran la arquitectura final del entorno. Podemos disponer de una arquitectura de sistemas on-premise y paralelamente utilizar la nube pública para funcionalidades específicas o conexiones con herramientas externas.
Modalidades del tipo de servicio: A la hora de contratar los servicios en ‘Cloud’, también hay que tener en cuenta otras consideraciones en relación a las modalidades del tipo de servicio. Éstas se clasifican en tres:
- Software como Servicio (‘SaaS’): De las siglas en inglés Software as a Service, suele ser el más utilizado y consiste en que el ‘software’ permanece alojado en el servidor del proveedor y el cliente accede al mismo a través de un navegador web. El mantenimiento, soporte y disponibilidad es gestionada por el proveedor. Un ejemplo de este tipo de servicio podría ser las herramientas de correo electrónico tipo Gmail. En este caso no controlaremos aspectos propios del servidor de Cloud Computing como el sistema operativo o la infraestructura.
- Plataforma como servicio(‘PaaS’): En este tipo de servicio, Platform as a Service, el proveedor ofrece acceso a un entorno basado en la nube en el cual los usuarios pueden crear y distribuir sus propias aplicaciones. El proveedor proporciona la infraestructura subyacente que nos permitirá interactuar con algunos servicios básicos ya preinstalados, como bases de datos, teniendo cierto grado de libertad a la hora de instalar software.
- Infraestructura como Servicio (‘IaaS’): Con la Infraestructure as a Service tendremos control prácticamente total del servidor, aunque existen algunas variantes, podremos administrar recursos asignados al mismo, así como aspectos fundamentales como la instalación del sistema operativo.
Amenazas relativas a servicios Cloud
El factor humano ocupa la parte más amplia en la pirámide de riesgo, es la más importante en cuanto a volumen, pues la amenaza que suponen los usuarios es con diferencia el factor de riesgo más importante. Definir los mecanismos de seguridad correctos asociados a la gestión de usuarios es de vital importancia.
Otra de las grandes amenazas actuales son los secuestros de sesión. Este tipo de ataques permiten que se puedan obtener las credenciales de acceso en los trascursos de inicio de sesión, con lo que se aconseja aplicar técnicas de autenticación de doble factor siempre que sea posible y monitorizar las sesiones en búsqueda de actividades maliciosas o inusuales.
Respecto al ‘hardware’ compartido empleado por los proveedores de servicios de Cloud, es también un vector a tener en cuenta pues se emplean los mismos servidores físicos para prestar servicio a múltiples clientes a través de la virtualización. El hecho de compartir la misma máquina implica que el acceso a la misma o a uno de los servidores virtuales podría facilitar la entrada a todos los recursos presentes. Es por este motivo que debemos tener garantías suficientes que las plataformas de virtualización están debidamente protegidas en este respecto.
En cuanto a los repositorios de información y sistemas de copias de seguridad, aparte de una especifica gestión de amenazas y la auditoria de acceso a los recursos a de establecerse con el proveedor una correcta estrategia de salvaguarda de la información, porque los problemas físicos también suponen amenazas. En este caso, es importante que el proveedor ofrezca las garantías suficientes frente ante cualquier tipo de contingencia como incendio, robo, e inundación, ya que al fin y al cabo se trata de una infraestructura física la que está soportando la plataforma virtual y por tanto el servicio ofrecido.
Sobre los problemas de cumplimiento y de cara a poder estar alineados con el Reglamento General de Protección de Datos (RGPD) europeo, al tratarse de un servicio en el cual puede estar alojada todo tipo de información sensible, información de carácter personal, etc, debemos asegurarnos de que el proveedor cumple con todos los requisitos exigidos por la normativa solicitándole un certificado de cumplimiento, que garantice que el lugar donde se alojan los datos se encuentren en país con que forme parte de un marco seguro como la Unión Europea o Estados Unidos.
Sistemas de videograbación Local VS Cloud
Actualmente y aunque puede variar en función de la tipología de cliente y del uso especifico que se requiera, la grabación local sigue siendo imbatible sobre todo en tres aspectos fundamentales:
- Permite almacenamiento a la máxima calidad, independiente de la calidad y garantía de servicio de la conexión a Internet.
- El número de cámaras que se pueden gestionar es ilimitado.
- Una vez adquirido el videograbador no hay coste de servicio.
Pero como hemos visto, también existen fórmulas de mantener información segura, en el Cloud, cuando no se dispone por ejemplo de mecanismos de seguridad ante eventos delictivos que puedan inutilizar el sistema de grabación.
La grabación de backup en Cloud de cámaras críticas, es una opción acertada en este aspecto siempre y cuando se disponga de una conexión a internet con garantías ante contingencias y estemos completamente seguros que nuestro proveedor de servicios cumple con todos los estándares en materia de seguridad que nos permita ofrecer a nuestros clientes las máximas garantías de integridad ,disponibilidad, confidencialidad de la información que gestionamos.
Lanaccess está especializada en grandes corporaciones e infraestructuras críticas, estos sectores están asesorados y dirigidos por reconocidas empresas especializadas e importantes equipos de IT que actualmente confían en los sistemas de videograbación local mapeados a la propia nube (private cloud) y su elección a favor de estas opciones se cimenta fundamentalmente en:
- Disponer de mayor control sobre todo el proceso.
- No es una solución rígida, es muy flexible y se adapta a las necesidades de cada cliente.
- Poder unificar todos los procesos empresariales en una misma nube, homogeneiza su gestión.
- Se acotan riesgos al no compartir la nube con terceros, no se pierde el control, no se cede “soberanía” como ocurre en la nube púbica, disponer de una nube en exclusividad otorga mayor seguridad.
- En el balance entre seguridad y precio, optan por la seguridad.
- Ante una caída o ataque al servicio de private cloud siempre estarán disponibles las grabaciones locales, aportando una doble seguridad.
- Hay sectores donde la normativa impide no disponer de grabaciones en on-premise.