El desafío de la seguridad de la nube

30 de Noviembre de 2020
Escribe Carlos Abril, CEO de Atos para la Región Austral Andina

La migración de los componentes y procesos de la Empresa hacia los servicios en la nube aportan importantes beneficios en cuanto a rentabilidad y eficiencia en organizaciones de distinto tamaño. La nube permite a las empresas reinventar sus modelos de negocio, forjar mejores relaciones con los clientes, eliminar costos significativos de sus operaciones y conseguir innovar exitosamente en el mercado antes que la competencia. Pero, a la vez que se multiplican las oportunidades, la nube también puede multiplicar los riesgos. Su auge ha dado lugar a un nuevo tipo de vulnerabilidades de seguridad a la vez que ha amplificado las ya existentes.

Debido a la migración a la nube, el trabajo a distancia y la conexión remota de dispositivos inteligentes, la definición de perímetro de la red desaparece. Los datos fluyen entre los dispositivos edge, los dispositivos de los colaboradores y la nube pública y privada de la Empresa.

De esta manera, lo que define el perímetro se traduce en las identidades de los empleados. La protección de estos datos se basa en los derechos de acceso que la empresa ha proporcionado a sus identidades digitales: usuarios, aplicaciones, dispositivos, proyectos, equipos. En efecto, mientras que los usuarios necesitan acceder a las aplicaciones para utilizar los datos, las aplicaciones de la organización también necesitan acceder a otras aplicaciones externas o internas para aumentar el valor de los datos, y cubrir las necesidades de los dispositivos para actualizar y/o consumir los datos.

Como consecuencia, cuando se almacenan en un entorno de nube pública (IaaS, PaaS o SaaS) los datos se encuentran solo a un permiso y a una autenticación de distancia de sus usuarios y sistemas, así como de cualquier persona, aplicación, dispositivo, aparato, o máquina en cualquier lugar del mundo. Un solo error de permiso o fuga de las credenciales puede proporcionar acceso directo a ellos.

Paralelamente, también existen datos que se almacenan en un entorno compartido con muchos otros datos de terceros y a los que un proveedor de servicios en la nube tiene plena autoridad y capacidad de acceso.

Por todas esas razones, encriptar los datos es una buena idea. De hecho, si por cualquier razón se eluden los permisos de acceso a los datos, las Empresas deben asegurarse que sólo los usuarios autorizados puedan descifrarlos y leer su contenido en texto claro. Este es el principal desafío que impulsa la necesidad de garantizar la propiedad y uso de los datos cuando se utilizan los servicios en la nube.

Los proveedores de servicios en la nube hemos invertido en tecnologías que permiten el cifrado de los datos, aplicaciones y sistemas para los clientes. Esto requiere una comprensión adecuada de todas las diversas posibilidades ofrecidas y el nivel de confianza que permiten.

En resumen, hay 3 categorías principales de encriptación en la nube:

  1. Encriptación completa en la nube: el cliente confía en la solución de encriptación del proveedor de servicios en la nube y en la generación, almacenamiento y gestión de las claves de encriptación. Existen algunas variantes, como las claves gestionadas por el cliente, que permiten a éste gestionar las claves de cifrado generadas y almacenadas por el proveedor de servicios en la nube.
  2. Tener su propia clave: aún confiando en la solución de cifrado del proveedor de servicios en la nube, el cliente tiene el control de la generación, almacenamiento y gestión de las claves de cifrado. Es importante distinguir claramente las claves de cifrado de datos y las claves de cifrado de claves.
    • Las claves de encriptación de claves se utilizan para envolver (acto de encriptar una clave de encriptación)
    • Las claves de encriptación de datos son las que encriptan los datos.
    Es importante ser claro con el proveedor de servicios de la nube, sobre cuál de esas claves está bajo el control total del cliente.
  3. Su propia encriptación: el cliente elige no usar la solución de encriptación del proveedor de servicios en la nube. Cifrará los datos por sí mismo con una herramienta de su elección y también tendrá el control total (generación, almacenamiento, gestión) de todas las claves de cifrado (claves de cifrado de datos y/o claves de cifrado de claves). Se trata de la solución más avanzada para el cliente, pero requiere la implantación de un sistema de cifrado en la parte superior de su entorno de nubes públicas o la implantación de un "Cifrado del lado del cliente" o una "Pasarela de cifrado".

Esta tercera categoría todavía viene con algunas limitaciones como el descifrado de los datos en uso cuando la aplicación se despliega en un IaaS, pero también la pérdida de compatibilidad con algunos de los servicios de los proveedores de servicios en la nube. Algunos de estos problemas están siendo encarados por los proveedores de servicios en la nube, para que puedan abordar casos de uso más sensibles. Por ejemplo, la computación confidencial promete una protección adicional para los datos en uso, mientras que, en una perspectiva a mediano y largo plazo, la encriptación funcional y la encriptación totalmente homomórfica permitirán que las aplicaciones y los sistemas realicen operaciones con datos encriptados sin desencriptarlos.

Es por ello fundamental para las organizaciones analizar todas las herramientas y las mejores prácticas de encriptación en la nube, y llegar a un entendimiento con el proveedor de servicios de que tipo de encriptación utilizar para cada aspecto de negocio de manera de garantizar la accesibilidad, confiabilidad y reserva en el uso de los datos.

(*) Carlos Abril: CEO de Atos para Argentina, Colombia y Uruguay