Transición seguraa la nube privadaInforme técnicoLa computación en la nube está captando atención como el próximo paso enl...
Entre los modelos de implementación se incluyen los siguientes:•	 Nube comunitaria: Una nube comunitaria comparte su infra...
Acceso a datos y a aplicaciones•	 Identidad y autorización: En un mundo regido por un aumento constante de la movilidad, d...
Consideraciones relacionadas con la arquitectura de una nube privada                    Desde el punto de vista de la arqu...
Upcoming SlideShare
Loading in...5
×

Transición segura a la nube privada

1,392

Published on

La computación en la nube está captando atención como el próximo paso en
la evolución de TI. Si bien la computación en nube tiene muchos beneficios
como mayor agilidad comercial, escalabilidad, eficiencia y rentabilidad, también
incorporar nuevos riesgos e inquietudes de seguridad

Published in: Technology
0 Comments
2 Likes
Statistics
Notes
  • Be the first to comment

No Downloads
Views
Total Views
1,392
On Slideshare
0
From Embeds
0
Number of Embeds
1
Actions
Shares
0
Downloads
14
Comments
0
Likes
2
Embeds 0
No embeds

No notes for slide

Transcript of "Transición segura a la nube privada"

  1. 1. Transición seguraa la nube privadaInforme técnicoLa computación en la nube está captando atención como el próximo paso enla evolución de TI. Si bien la computación en nube tiene muchos beneficioscomo mayor agilidad comercial, escalabilidad, eficiencia y rentabilidad, tambiénincorporar nuevos riesgos e inquietudes de seguridad. Estos desafíos soncomplejos porque implican no solo asuntos tecnológicos sino también cambiosde procesos sustanciales que se originan a partir de los nuevos modelos decomputación empresarial involucrados.En lugar de rechazar la nube totalmente, muchas empresas están adoptando los modelos de nubes privadas delos que pueden obtener beneficios a partir de la computación en la nube y, a la vez, mantener el control de laspolíticas, la dirección y el cumplimiento. Las empresas líderes están asumiendo un enfoque estratégico y basadoen arquitecturas para adoptar la nube privada con el objetivo de cumplir con sus requisitos comerciales, ademásde implementar controles de cumplimiento de políticas uniformes en los límites de los centros de datos. En esteinforme técnico, ofrecemos una descripción general de los modelos en la nube y explicamos los beneficios de lasnubes privadas, los obstáculos que dificultan la implementación de la computación en nube y las consideracionescríticas para minimizar el riesgo en el despliegue de una nube privada.Características y modelos de nubesDe acuerdo con el Instituto Nacional de Estándares y Tecnología (National Institute of Standards andTechnology, NIST), hay cinco características de las nubes y cuatro modelos de implementación.Entre las características de las nubes se incluyen las siguientes:• Autoservicio según la demanda: Un consumidor puede aprovisionarse unilateralmente funcionalidades de computación, como tiempo de servidores y almacenamiento en red, según lo necesite y en forma automática, sin tener que recurrir a la interacción humana con cada uno de los proveedores de servicios.• Agrupamiento de recursos: Los recursos informáticos del proveedor están agrupados para prestar servicios a varios consumidores con un modelo de varios clientes con distintos recursos físicos y virtuales que se asignan y reasignan dinámicamente de acuerdo con la demanda de los clientes. Existe cierta noción de independencia con respecto a la ubicación: el cliente generalmente no tiene control ni conocimiento respecto de la ubicación exacta de los recursos provistos pero puede especificar la ubicación en un nivel de abstracción más elevado. Entre algunos de los ejemplos de recursos que se pueden agrupar podemos mencionar: almacenamiento, procesamiento, memoria y ancho de banda de red.• Elasticidad rápida: Las funcionalidades se pueden aprovisionar y prestar con elasticidad (en algunos casos automáticamente), de modo que se amplíen o reduzcan rápidamente acorde con la demanda. Para el consumidor, las funcionalidades disponibles para aprovisionarse suelen parecer ilimitadas y se puede apropiar de ellas en cualquier cantidad y en cualquier momento.• Servicio medido: Los sistemas de computación en la nube controlan y optimizan automáticamente el uso de recursos por medio de la capacidad de medición en un determinado nivel de abstracción apropiado para el tipo de servicio (por ejemplo: almacenamiento, procesamiento, ancho de banda y cuentas de usuarios activos). El uso de recursos se puede monitorear, controlar e informar, lo que proporciona transparencia tanto al proveedor como al consumidor del servicio utilizado.• Amplio acceso en redes: Las funcionalidades se encuentran disponibles en toda la red y se accede a ellas por medio de mecanismos estándar que promueven el uso por parte de plataformas heterogéneas de clientes livianos o pesados (por ejemplo: teléfonos móviles, tablets, computadoras portátiles y estaciones de trabajo).© 2012 Cisco y/o sus filiales. Todos los derechos reservados. Este documento es información pública de Cisco.
  2. 2. Entre los modelos de implementación se incluyen los siguientes:• Nube comunitaria: Una nube comunitaria comparte su infraestructura entre varias organizaciones a partir de una comunidad específica con inquietudes comunes (por ejemplo: seguridad, cumplimiento o jurisdicción). Una nube comunitaria puede ser administrada internamente o por un tercero; además, se puede alojar interna o externamente.• Nube pública: En una nube pública, la infraestructura de la nube es suministrada por el proveedor de la nube para el uso sin restricciones de cualquier tipo de usuario. La infraestructura puede ser propiedad de una organización comercial, académica o gubernamental que la administra y opera, o de cualquier combinación de estas clases de entidades.• Nube privada: En una nube privada, la infraestructura es suministrada exclusivamente para una sola organización, y puede ser administrada internamente o por un tercero y alojarse externamente (como una nube privada virtual). Además, en una nube privada, se pueden dividir varias unidades comerciales con multitenants. El proveedor conoce al detalle las ubicaciones de los recursos porque es el propietario de la infraestructura.• Nube híbrida: Una nube híbrida está compuesta por al menos dos nubes (privada, comunitaria o pública). Estas redes no dejan de ser entidades únicas pero están vinculadas entre sí, lo que ofrece los beneficios de varios modelos de implementación. Una nube híbrida también puede estar compuesta por varios sistemas en la nube conectados de un modo que permite que los programas y datos sean trasladados fácilmente de un sistema de implementación al otro.Beneficios comerciales de migrar a la red privadaA diferencia de los centros de datos tradicionales físicos y desplegados en las instalaciones en los que las aplicacionesestán atadas a un servidor estático, los modelos de nubes privadas ofrecen un menor costo y mejores niveles de agilidad,eficiencia y escalabilidad comercial. De las empresas que pueden elegir entre modelos de nubes públicas, híbridas oprivadas, muchas están adoptando la nube privada porque este modelo puede responder a sus inquietudes relacionadascon la seguridad, el cumplimiento y las políticas. De acuerdo con la encuesta sobre computación en la nube de 2012 adirectores de sustentabilidad (Chief Sustainability Officers, CSO), el 23% de los encuestados declaró que su organizacióntiene información que reside en una nube privada. Este resultado convierte a las nubes privadas en el modelo decomputación en la nube más popular; el modelo híbrido queda en segundo lugar, con el 11 por ciento1.Las nubes privadas ofrecen muchos beneficios a las empresas. Estos beneficios incluyen aprovisionamiento porautoservicio que equipara o supera al ofrecido por proveedores externos, aplicaciones y servicios personalizados segúnnecesidades comerciales específicas, funciones confiables de seguridad y cumplimiento no ofrecidas actualmente porlos proveedores de nubes públicas y la capacidad para escalar recursos con aprovisionamiento automático para permitirrapidez de uso y altos niveles de agilidad. Las nubes privadas también pueden reducir los costos mediante la consolidaciónde cargas de trabajo para optimizar el uso de los servidores y, a la vez, mantener el rendimiento y la agilidad. Al calcular lasventajas relacionadas con los costos que ofrecen las nubes privadas, las comparaciones de costos entre nubes privadasy públicas demuestran que, en el caso de empresas con recursos significativos implementados, la migración a las nubesprivadas puede ser hasta un 40 por ciento menos costoso que el paso a la nube pública2.Obstáculos para emprender la transición a la nubeActualmente, la seguridad es el principal obstáculo para la migración a la nube. De acuerdo a la encuesta paraCSO, el 68 por ciento de las empresas no confía plenamente en la seguridad de los datos que vuelca en la nube.A continuación, mencionamos algunas inquietudes de seguridad comunes acerca del paso a la nube.Seguridad de la información• Varios huéspedes (Multitenancy): Si bien los centros de datos pequeños y distribuidos alojan una pequeña cantidad de aplicaciones o sirven de respaldo a una sola organización, los centros de datos consolidados y las nubes actuales tienen grupos de usuarios dispares que requieren una completa separación del tráfico de red y estrictas políticas de control de acceso, pese a que comparten los mismos servidores físicos y la misma infraestructura de red. Esto también es así en los centros de datos virtuales privados y las nubes privadas, donde los huéspedes internos requieren separación física o virtual.• Datos en reposo y datos en movimiento: La movilidad de aplicaciones entre servidores, centros de datos remotos y nubes incorpora un nuevo nivel de complejidad a la capa de seguridad de las redes, que típicamente dependía de ubicaciones de recursos fijos y redes privadas estáticas para hacer cumplir las políticas de seguridad. El movimiento flexible de políticas de seguridad junto con cargas de trabajo virtuales ha sido un desafío.1 Bragdon, Bob, 2012 CSO Cloud Computing Study (Encuesta sobre computación en la nube 2012 a CSO), 19 de junio de 2012, página 6.2 Andi Mann, Kurt Milne y Jeanne Morain: “Calculating the Cost Advantages of Private Cloud” (“Cálculo de las ventajas relacionadas con los costos que ofrece la nube privada”) http://searchcloudcomputing.techtarget.com/feature/Calculating-the-cost-advantages-of-private-cloud. © 2012 Cisco y/o sus filiales. Todos los derechos reservados. Este documento es información pública de Cisco.
  3. 3. Acceso a datos y a aplicaciones• Identidad y autorización: En un mundo regido por un aumento constante de la movilidad, dispositivos no asegurados y amenazas cada día más sofisticadas, la red debe asumir gran cantidad de responsabilidades relacionadas con el cumplimiento de las políticas de seguridad de las aplicaciones. En consecuencia, la infraestructura de una red ahora ejecuta más procesos de autenticación de usuarios y cumplimiento de autorizaciones de las políticas de acceso. Asume estas funciones desde los terminales de las aplicaciones a medida que las redes se vuelven más sensibles al contexto y a las aplicaciones. La infraestructura de seguridad de la red cada vez se ve más obligada a hacer cumplir políticas basadas en identidades y en roles, además de tener que tomar otras decisiones contextuales. La capacidad de bloquear el tráfico a una aplicación o a un servidor del centro de datos o la nube ya no puede basarse en las direcciones de origen o destino típicas de los hosts. Ahora se debe basar en la identidad o en el rol del usuario, el proceso o la aplicación involucrados en la transacción.• Acceso local y remoto: El acceso también puede depender de atributos específicos del contexto además de la identidad; entre ellos se incluyen los siguientes: el tipo de dispositivo que accede a la aplicación, la ubicación del usuario y el momento en el que se realiza la solicitud. Actualmente, estas políticas sensibles al contexto están pasando a ser responsabilidad del firewall del centro de datos y del sistema de prevención de intrusiones (Intrusion Prevention System, IPS), que deben ampliar sus funciones para detectar dispositivos y controlar el acceso basado en estas políticas, además de monitorear la presencia de malware, intentos de acceso no autorizado y ataques sofisticados. Las empresas modernas ejecutan una amplia variedad de aplicaciones altamente personalizadas y fundamentales para su misión. Los datos que residen en esas aplicaciones son un objetivo de gran valor para los atacantes; sin embargo, el acceso a esos datos es lo que impulsa la productividad y el éxito de las empresas.Pérdida de control y visibilidad• Complejidad del sistema y varios equipos: Muchas compañías sienten que se pierde visibilidad al pasar a la nube. Los firewalls y los sistemas de prevención de intrusiones tradicionales que no pertenecen a las zonas virtuales no ven el tráfico entre máquinas virtuales. En muchas situaciones de despliegue en la nube, los clientes no tienen ningún conocimiento de los productos de seguridad subyacentes porque estos son administrados por una fuente externa.• Cumplimiento: La infraestructura de la nube debe cumplir estándares de la industria, estándares de los clientes y estándares regulatorios. Deben admitir capacidades de visibilidad y auditoría. En las industrias con regulaciones de cumplimiento muy significativas como la atención médica, en el sector financiero y el gubernamental, debe existir un registro continuo de auditoría.Como están preocupadas por la pérdida de control y visibilidad, muchas empresas creen que la nube privada es lamejor opción. Dicho esto, los asuntos relacionados con la seguridad (incluido el acceso a los datos y la seguridadde las aplicaciones) siguen siendo preocupaciones legítimas en los despliegues de nubes privadas. En la Figura 1 seresumen los beneficios de un enfoque basado en arquitecturas.Figura 1. Beneficios de un enfoque basado en arquitecturas con respecto al despliegue de las nubes privadas Un enfoque basado en arquitecturas puede unificar centros de datos físicos, virtuales y en la nube Identificar y Protección contra Protección y Seguridad de controlar amenazas de alto segmentación usuario a nube extremos rendimiento de VM a VM© 2012 Cisco y/o sus filiales. Todos los derechos reservados. Este documento es información pública de Cisco.
  4. 4. Consideraciones relacionadas con la arquitectura de una nube privada Desde el punto de vista de la arquitectura, los componentes principales de las nubes privadas son la infraestructura subyacente, los diversos componentes de servicio y determinadas funciones transversales como la seguridad y la flexibilidad. Es más, la seguridad de la nube tiene su propia estructura de arquitectura. Algunas de las consideraciones más importantes son las siguientes: • Separación lógica: Un beneficio importante de la computación en nube son las funcionalidades “elásticas” de computación; eso quiere decir que la potencia informática puede ampliarse o reducirse rápidamente en función de la demanda. Para respaldar esa clase de modelo dinámico de computación empresarial, la seguridad debe ser provista de una manera similar. Las configuraciones de seguridad estática y orientada físicamente, como en el caso de la seguridad basada en VLAN, requieren gran cantidad de mano de obra y es difícil que se mantengan a la par de la velocidad de los cambios. Se necesitan nuevos enfoques para lograr la separación lógica de modo que se puedan asegurar entornos dinámicos y compartidos con varios huéspedes. • Uniformidad de políticas: Contar con un marco de políticas uniforme y global es fundamental para lograr una implementación exitosa de la seguridad en la nube. Por ejemplo, un diseño excelente para lograr una separación lógica confiable y dinámica consiste en exigir el cumplimiento de la seguridad según la zona y las políticas. Una zona es un grupo de atributos que puede incluir parámetros de red tradicionales, como direcciones IP, protocolos de red y números de puerto. La zona también puede contener información como atributos de máquina virtual (VM) y personalizados. Un enfoque de este estilo ayuda a garantizar la uniformidad de las políticas en un entorno de nube dinámico en el que las máquinas virtuales se mueven de un lado a otro entre servidores físicos. • Automatización: Un principio central del modelo comercial con computación en la nube es que permite realizar tareas rápidas, eficientes y repetibles. Permite que los usuarios finales asuman tareas que, anteriormente, el personal de TI ejecutaba transfiriéndolas a un modelo de autoservicio. Un marco centralizado de políticas de seguridad con mecanismos automatizados de desplazamiento puede mejorar enormemente los niveles de eficiencia comercial al asignar una política de seguridad a una implementación técnica. • Escalabilidad y rendimiento: Vinculados estrechamente a la automatización, la escalabilidad y el rendimiento son requisitos para la seguridad en la nube debido a las posibles cargas de trabajo masivas y a los estrictos requerimientos de seguridad involucrados. Contar con tecnologías innovadoras que puedan mejorar el rendimiento y, a la vez, mantener un elevado estándar de seguridad es fundamental para la implementación de la seguridad en una nube. • Autenticación y control de acceso: Como ya se mencionó anteriormente, el control de acceso a la nube privada depende de atributos sensibles al contexto y a la identidad, al dispositivo y a la ubicación del usuario. Para autenticar y ofrecer un acceso seguro al entorno de la red privada desde varios dispositivos y ubicaciones, es fundamental implementar la seguridad desde el interior de la red y contar con varios puntos de verificación del cumplimiento de las políticas (como el firewall, el IPS y una VPN). Resumen La computación en la nube ha inundado el mercado. Las organizaciones con importantes inquietudes relacionadas con las políticas y el cumplimiento están adoptando gradualmente las nubes privadas como un modo de aprovechar los beneficios de la computación en la nube sin los posibles riesgos de seguridad. Pese a que el modelo de nube privada elude los problemas de seguridad que surgen en un entorno de nube pública, sigue precisando enfoques de seguridad para superar los riesgos asociados con recursos compartidos y para hacer cumplir las políticas de control de acceso y confidencialidad de los datos. Los enfoques que proporcionan un marco de políticas uniformes y automatización, que tienen capacidad de escalabilidad y que son aptos para la virtualización permitirán que las organizaciones logren completar esta transición satisfactoriamente. Más información Para obtener más información sobre las soluciones de Seguridad para centros de datos de Cisco visite www.cisco.com/go/securedatacenter.Sede central en las Américas Sede Central en Asia-Pacífico Sede Central en EuropaCisco Systems, Inc. Cisco Systems (EE. UU.) Pte. Ltd. Cisco Systems International BV Amsterdam,San José, CA Singapur Países BajosCisco cuenta con más de 200 oficinas en todo el mundo. Las direcciones y los números de teléfono y de fax están disponibles en el sitio web de Cisco: www.cisco.com/go/offices.Cisco y el logotipo de Cisco son marcas comerciales de Cisco Systems, Inc. o de sus filiales en los Estados Unidos y en otros países. Para obtener una lista de las marcascomerciales de Cisco, visite www.cisco.com/go/trademarks. Las marcas registradas de terceros que se mencionan aquí son de propiedad exclusiva de sus respectivos titulares.El uso de la palabra partner no implica la existencia de una asociación entre Cisco y cualquier otra compañía. (1005R) C11-714844-01 11/12 © 2012 Cisco y/o sus filiales. Todos los derechos reservados. Este documento es información pública de Cisco.

×