¿Es segura la Nube?
Cada semana leemos acerca de violaciones a la privacidad ocurridas ‘en la nube’. En algunas ocasiones se trata de una revista especializada la que nos cuenta acerca del robo de historias clínicas al sistema de salud norteamericano o sobre el secuestro de una base de datos conteniendo números de tarjetas de crédito a un negocio on-line; y en otras, es una revista de chimentos la que describe las peripecias de una modelo a la que le sustrajeron fotos íntimas que había almacenado ‘en la nube’.
Tanto cuando interactuamos con nubes públicas como usuarios particulares como cuando como empresas montamos carga de trabajo de cómputo en nubes administradas por proveedores de servicios; ¿qué debemos exigir en términos de seguridad?
La seguridad tradicional, basada en la protección perimetral ha demostrado no ser efectiva a la hora de proteger la propiedad digital; y esto se debe a que con ataques cada vez más sofisticados, más temprano que tarde esa pared perimetral va a ser eludida, y no existiendo controles adicionales entre los distintos componentes internos en el centro de datos (nuestra ‘nube’), una vez que la amenaza entró, el daño a ocasionar podría ser mayúsculo. Es por esto que cobra sentido la idea de ‘micro-segmentar’ la red, dentro del centro de datos, creando un entorno que llamamos de Confianza Cero, en el cual cada computador no solo se protege del mundo exterior, sino además de los computadores que tiene al lado. Las tecnologías tradicionales son insuficientes para implementar esta micro-segmentación de manera operativamente viable. Un firewall al lado de cada servidor no parece una solución barata ni fácil de mantener. Sin embargo, con la virtualización de redes, VMware propone esquemas de seguridad antes impensados.
Al mover funcionalidad de red al software, incluyendo reglas de seguridad, cada ‘computador’ -en el caso de ambientes virtualizados cada ‘máquina virtual’- pasa a contar con su propio firewall (distribuido). Esta protección con reglas de acceso y tráfico acompaña a la máquina virtual durante toda su vida productiva, vaya al servidor físico que vaya, y las reglas desaparecen cuando la máquina es retirada de servicio. De esto modo, cada máquina virtual cuenta con su propia protección, y al mismo tiempo evitamos que queden reglas obsoletas en un firewall tradicional cuando la máquina (o mejor dicho la aplicación que corre sobre ella) sale de servicio, reduciendo así la exposición de superficies de ataque.
La micro-segmentación, posible a partir de la virtualización de redes, brinda entonces un esquema de seguridad avanzado. ¿Pero qué sucede cuando a esta nube, se le permite ser accedida desde múltiples dispositivos, incluyendo laptops, tabletas y teléfonos inteligentes? En tales casos, nuevamente la plataforma de VMware proporciona dos herramientas clave para garantizar la seguridad: Air-Watch para la gestión y administración de estas flotas de dispositivos móviles, y nuevamente la micro-segmentación con NSX para restringir el acceso a lo que cada aplicación en cada dispositivo estrictamente necesita.
Luego de un simple proceso de registración del teléfono, la tableta o el laptop, Air-Watch, nuestra herramienta para la gestión de dispositivos móviles (MDM por sus siglas en inglés: Mobile Device Management) le permiten a las organizaciones gestionar extensas flotas de dispositivos, sean estos corporativos o particulares en esquemas BYOD (use su propio dispositivo en el trabajo). A partir de dicho registro, es posible monitorear el uso de los dispositivos, asegurar adherencia a las políticas de seguridad corporativas, permitir la instalación de aplicativos corporativos de manera segura, separar contenido y aplicaciones personales del contenido y aplicaciones empresariales que requieren otros estándares de seguridad. Es posible definir sub-flotas, con distintos privilegios de datos, roaming y accesos, por ejemplo. Podemos gestionar el dispositivo en sí (definiendo parámetros propios del móvil, borrando contenido en caso de robo o exigiendo claves apropiadas) o profundizar en la gestión de las sub-disciplinas de MDM, asegurando un uso adecuado de cada una de las posibilidades de los dispositivos, por ejemplo:
– Mobile Mail Management: Para garantizar el uso del cliente de mail corporativo y sus estándares de seguridad en el acceso a mails empresariales.
– Mobile Content Management: Para permitir el acceso seguro y confiable a documentos corporativos con visualizadores adecuados.
– Mobile Browsing Management: Para asegurar una navegación segura desde el entorno corporativo del smartphone.
– Mobile Application Management: Para brindar aplicaciones seguras a los miembros de la organización.
La combinación de MDM con tecnologías de virtualización de redes y micro-segmentación permite hoy en día establecer túneles seguros ya no entre el dispositivo y la red corporativa (la ‘Nube’), sino entre el dispositivo y la máquina virtual puntual en la que corre la aplicación a la que se conecta el móvil en busca de un servicio. Esta arquitectura lleva la seguridad a esquemas antes imposibles y permite implementar nubes (privadas o administradas) realmente seguras.