DOCUMENTO TÉCNICO

Protección de la nube

Updated March 23, 2010
  • Share via AddThis

La informática en la nube es un estilo de informática en el que los recursos dinámicamente escalables y a menudo virtualizados se proporcionan como servicio. Los usuarios no necesitan disponer de conocimientos, experiencia o control sobre la infraestructura tecnológica de la «nube» que les da soporte. Además, la informática en la nube emplea un modelo para permitir el acceso a la red disponible, práctico y a la carta a un conjunto compartido de recursos informáticos configurables (por ejemplo, redes, servidores, almacenamiento, aplicaciones y servicios) que pueden aprovisionarse y liberarse rápidamente con un mínimo esfuerzo de gestión o interacción del proveedor de servicios.

Encuesta sobre la nube de F5 Networks, agosto de 2009

Introducción

Aunque, ciertamente, las empresas ven un beneficio comercial en el modelo de pago por uso de los recursos informáticos, parece que las preocupaciones de seguridad siempre están por encima en las encuestas sobre la informática en la nube. Estas preocupaciones incluyen los servicios de autenticación, autorización y contabilidad (AAA); el cifrado; el almacenamiento; las infracciones de seguridad; el cumplimiento de la normativa; la ubicación de los datos y los usuarios; y otros riesgos asociados con el aislamiento de los datos corporativos confidenciales. Si a esta serie de preocupaciones se añade la posible pérdida de control sobre los datos, el modelo de la nube empieza a dar un poco de miedo. No importa dónde residan sus aplicaciones en la nube o cómo se distribuyan, hay un tema constante: está alojando y entregando sus datos críticos en una ubicación de terceros, no dentro de sus cuatro paredes, y mantener seguros esos datos es una prioridad absoluta.

Pasar a la nube con precaución

La mayoría de los primeros que la adoptaron empezaron por probar el alojamiento en la nube con datos no críticos. El rendimiento, la escalabilidad y los recursos compartidos eran el objetivo principal de lo que ofrecía en un principio la nube. Aunque todo esto sigue siendo un gran atractivo, la informática en la nube se ha ido consolidando y se ha establecido como una opción más para la TI: cada vez más datos (incluidos los datos confidenciales) llegan a la nube. El problema es que no se sabe realmente en qué parte de la nube se encuentran los datos en un momento dado. Ya es una preocupación para los departamentos la confidencialidad e integridad de los datos sensibles; el alojamiento de estos datos en la nube pone de manifiesto no solo la preocupación por la protección de los datos críticos en una ubicación de terceros, sino también el control del acceso a esos datos basado en roles para las habituales funciones empresariales.

Las organizaciones están empezando a darse cuenta de que la nube no se presta a controles de seguridad estáticos. Como todos los demás elementos de la arquitectura de la nube, la seguridad debe integrarse en un plano de control centralizado y dinámico. En la nube, las soluciones de seguridad deben poder ser capaces de interceptar todo el tráfico de datos, interpretar su contexto y, a continuación, tomar las decisiones correspondientes acerca de ese tráfico, incluyendo las instrucciones que se deben dar a otros elementos de la nube sobre cómo gestionarlos. La nube requiere disponer de la capacidad para aplicar políticas y herramientas globales que puedan migrarse con las aplicaciones y los datos, además de controlar su acceso, a medida que se mueven del centro de datos a la nube, y cuando se trasladan a otros puntos de la nube.

El papel de la entrega de aplicaciones

En general, todas las soluciones de F5 se centran en la entrega de aplicaciones. Dado que el objetivo final de cualquier nube, independientemente del modelo o la ubicación, es entregar aplicaciones de la forma más eficiente, ágil y segura posible, las soluciones de F5 representan un papel importante cuando se trata de crear una infraestructura de nube. En concreto, esto es así porque la entrega de aplicaciones requiere los mismos puntos estratégicos de control que necesita el plano de control dinámico de la arquitectura de la nube, y debe proporcionar la misma capacidad para interceptar, interpretar e instruir.

Aunque es cierto que una nube requiere una variedad de componentes (muchos de los cuales no se encuentran dentro de la especialidad de F5) para crear un entorno capaz de proporcionar escalabilidad, las soluciones de infraestructura pertenecientes a la entrega de aplicaciones están relacionadas con el área de experiencia de F5. Estas soluciones de infraestructura proporcionan la escalabilidad, la extensibilidad, la adaptabilidad, la capacidad de gestión, la seguridad, la movilidad y el rendimiento en tiempo real necesarios en el plano de control dinámico.

El enfoque de F5 de proporcionar puntos de control inteligentes y estratégicos utilizando proxies (interceptación), políticas (interpretación/instrucción) y servicios (interpretación/instrucción) en una infraestructura de entrega única y modularizada resulta muy adecuado para gestionar tráfico de gran volumen relacionado con a la informática en la nube. Las soluciones de F5 pueden implementarse en una amplia gama de plataformas de hardware, ofreciendo flexibilidad en la capacidad y el rendimiento generales que permite a las organizaciones de tamaño medio y grande, así como a los proveedores de servicios, elegir una solución de entrega de aplicaciones o de datos que se adapte a las necesidades particulares de su organización.

La nube segura de F5

Aunque se podría equiparar el controlador de entrega de aplicaciones F5 BIG-IP Local Traffic Manager (LTM) con el equilibrio de carga avanzado, este también inspecciona todo el contenido entrante y saliente de las aplicaciones. Además, BIG-IP LTM es una potente herramienta de seguridad que neutraliza los ataques de protocolo basados en la red y en las aplicaciones. BIG-IP LTM protege tanto las aplicaciones entrega como la red a la que está conectado. Además, BIG-IP LTM ofrece un enfoque unificado de soluciones de seguridad, que incluyen, entre otras, el filtrado de paquetes, el bloqueo de puertos, la protección contra ataques de denegación de servicio (DoS), el aislamiento de la red/administración, la validación de protocolos, la conformación de la velocidad, la terminación de SSL, etc.

Aunque se trata de una lista impresionante de ventajas de seguridad, hay ataques que no se pueden detectar ni mediante los dispositivos de red ni mediante la propia aplicación y, cada vez con más frecuencia, los ladrones tienen en el punto de mira los datos de las aplicaciones que intentan conseguir utilizando ataques basados en la web. Dado que los ataques DoS de capa 7, XSS, inyecciones de SQL y los ataques de fuerza bruta pueden comprometer fácilmente una aplicación web, es necesario contar con medidas de seguridad adicionales.

F5 BIG-IP Application Security Manager (ASM), un cortafuegos de aplicaciones web, no solo protege contra las vulnerabilidades más comunes, como las enumeradas en los 10 ataques principales de OWASP, sino que también refuerza el control de los datos con políticas detalladas. Las plantillas de seguridad de aplicaciones de BIG-IP ASM para muchas aplicaciones conocidas le permiten implementar la seguridad de las aplicaciones de forma rápida con la configuración óptima. Con BIG-IP ASM, la capacidad para controlar quién tiene acceso a los datos, el tipo de datos disponibles y si los datos pueden intercambiarse, así como la capacidad de obtener registros e informes detallados, le ayuda a adherirse a los mandatos de cumplimiento normativo, incluso en la nube. BIG-IP ASM ofrece protecciones adicionales, como la depuración de números de la seguridad social, números de tarjetas de crédito y el contenido de otros campos personalizados, así como el enmascaramiento de datos confidenciales, el cifrado selectivo de las cookies del servidor y los campos de contraseña, las restricciones a nivel de directorio o de tipo de archivo, y la ocultación de recursos para proteger la información de la versión de su servidor IIS.

Una de las mayores preocupaciones, tanto para los proveedores como para los clientes de la nube, es la autenticación, la autorización y la encriptación de los datos hacia y desde la nube.

Tanto los usuarios como los administradores deben ser autentificados (con una autentificación fuerte o de dos factores) para garantizar que únicamente el personal autorizado pueda acceder a los datos. Además, los propios datos deben estar segmentados para asegurar que no haya fugas a otros usuarios o sistemas. La mayoría de los expertos coinciden en que los servicios AAA, junto con los túneles protegidos y encriptados para gestionar la infraestructura de la nube, deben ser los primeros servicios básicos de la nube que ofrezcan los proveedores. Dado que los datos pueden alojarse en una ubicación lejana donde se tiene menos control físico, el control lógico se convierte en un factor primordial, y la aplicación de un acceso estricto a los datos en bruto y la protección de los datos en tránsito (como la carga de datos nuevos) vienen a considerarse fundamentales para la empresa. La pérdida, la filtración o la manipulación de datos puede tener consecuencias devastadoras.

Aquí también, F5 puede ayudar tanto al proveedor como al cliente con soluciones como BIG-IP Edge Gateway y BIG-IP Access Policy Manager (APM). BIG-IP Edge Gateway utiliza la tecnología SSL para aunar la seguridad de acceso, la aceleración y los servicios de disponibilidad de aplicaciones para permitir un acceso a las aplicaciones que es consciente del contexto, controlado por políticas, seguro y optimizado. BIG-IP APM es una plataforma de acceso y seguridad flexible y de alto rendimiento; con ella, se puede gestionar el acceso a las redes y a las aplicaciones implementando sólidas políticas de seguridad. Al reunir estos servicios y facilitar la identidad de usuarios y grupos en la red, se pueden establecer políticas y niveles de servicio basados en la identidad y la ubicación. El acceso basado en el contexto convierte a Internet, y a la nube, en una red más rápida, predecible y segura para la empresa, lo que resulta especialmente beneficioso para los usuarios móviles y los administradores de TI.

diagrama
Figura 1: La nube protegida de F5 ofrece una protección integral desde el cliente hasta la nube.

Los usuarios móviles que están dispersos por todo el mundo necesitan un acceso rápido y seguro a las aplicaciones; los administradores de TI necesitan gestionar la arquitectura y las aplicaciones en la nube. BIG-IP Edge Gateway y BIG-IP APM vienen repletos de funciones de seguridad para satisfacer las necesidades tanto de los usuarios móviles como de los administradores de TI.

Los servicios seguros basados en SSL VPN proporcionan seguridad en los puntos finales, aportando a los administradores de TI la capacidad para ver quién accede a la organización y cuál es la postura del dispositivo del punto final para validarse según la política de acceso corporativa. Los sólidos servicios AAA, las listas de control de acceso de usuarios de nivel L4 y L7, y la seguridad integrada de las aplicaciones ayudan a proteger los activos corporativos y a mantener el cumplimiento de la normativa. Los servicios de disponibilidad ofrecen a los administradores capacidades de gestión del tráfico global para dirigir a los usuarios al mejor sitio en función de su ubicación, conmutación L2-L4, enrutamiento integrado y una puerta de enlace IPv6 (IPv6 Gateway). Los servicios de aceleración ofrecen una aceleración asimétrica y simétrica de la red y de las aplicaciones, junto con el almacenamiento en caché, la compresión y la desduplicación para una experiencia de usuario superior.

Los usuarios que se conecten a través de BIG-IP Edge Gateway recibirán sus aplicaciones rápidamente sin importar dónde se encuentren, con un rendimiento de encriptación SSL de varios gigabits por segundo con HTTP y HTTPS a velocidades de BIG-IP LTM. Los servicios del lado del cliente permiten a los usuarios acceder a la red y a las aplicaciones de la empresa de forma dinámica cuando se encuentran en movimiento gracias al sistema de acceso a la conexión inteligente. El acceso a la conexión inteligente, que se incluye con BIG-IP Edge Gateway, ofrece a los usuarios itinerantes un acceso seguro e instantáneo que les avisa cuando no se encuentran conectados al dominio corporativo. El acceso a la conexión inteligente también ofrece una aceleración de las aplicaciones mediante el conformado del tráfico para una compresión dinámica y adaptable. Con el conformado del tráfico en el lado del cliente, los administradores pueden priorizar determinados protocolos, como Server Message Block (SMB), garantizando que tanto las transferencias de archivos como el tráfico de VoIP puedan pasar.

Con las iSessions integradas que permite el módulo de optimización WAN de BIG-IP, los departamentos de TI pueden conectarse con su entorno de nube mediante un túnel optimizado y encriptado. Puesto que mantener el control sobre los datos de la nube es primordial, a algunas organizaciones les gusta «alojar» sus datos en el centro de datos de la empresa y hacer que la nube acceda a ellos cuando se solicite. Este proceso puede tener ciertas repercusiones en el rendimiento pero, también en este caso, el túnel seguro y optimizado de iSessions proporciona el camino de los datos hacia la nube. La compresión simétrica y adaptativa permite al túnel utilizar la mejor relación de compresión según el ancho de banda disponible, y ajusta el flujo de datos para aprovechar más el ancho de banda, la CPU y las tasas de compresión. La sucursal también se beneficia de los servicios de aceleración. Ya sea en situaciones de copia de seguridad o simplemente para mantener la información actualizada, la desduplicación simétrica de datos actualiza únicamente los cambios en los datos (en lugar de transferir todo el archivo), ahorrando así en ancho de banda. También es compatible con la aceleración CIFS y MAPI, y con la configuración de la velocidad acelerada por hardware (SSL y compresión) y de L7, incluido el modo QoS.

La gestión de la nube siempre ha sido un reto para los departamentos de TI. Un punto de control central del acceso tanto para la gestión del acceso web como para el SSO hace que el control de acceso basado en políticas sobre los recursos para una red consciente del contexto sea rápido de implementar y fácil de gestionar. Las políticas de BIG-IP Edge Gateway se pueden importar y exportar, las aplicaciones web están protegidas y aceleradas, y ofrece modos para el acceso remoto, el control de la LAN interna y la conexión inalámbrica pública y privada.

Conclusión

La informática en la nube, aunque evoluciona rápidamente, puede ofrecer a los departamentos de TI una potente alternativa para la entrega de aplicaciones. La informática en la nube promete recursos escalables y a la carta; una implantación flexible y de autoservicio; un menor coste total de la propiedad; un tiempo de comercialización más rápido; y una multitud de opciones de servicio que pueden alojar toda su infraestructura, ser parte de ella o simplemente ofrecer una sola aplicación.

No importa lo lejos que esté la nube, o si se trata de una nube pública, privada o híbrida, las soluciones de F5 pueden ayudar a que su infraestructura o implementación en la nube sea más segura, fiable y resistente. La tecnología de acceso remoto seguro proporciona un acceso contextual y protegido a las aplicaciones basadas en la nube; los cortafuegos de aplicaciones web ofrecen los medios necesarios para centralizar la seguridad de las aplicaciones; las secuencias de comandos del lado de la red proporcionan un método ágil e inmediato para abordar las vulnerabilidades de seguridad bajo demanda; todo esto ayuda a mantener la nube dinámica, fluida y segura. Los administradores de TI pueden aislar la configuración y la gestión para disponer de un control preciso del acceso a la infraestructura informática en la nube y pueden aislar el tráfico de las aplicaciones para mejorar la seguridad de los datos de las aplicaciones que utilizan recursos compartidos.

La seguridad de la nube con F5 incluye un conjunto de soluciones flexibles y unificadas, cada una con su propia especialización para abordar necesidades específicas de entrega de aplicaciones en la nube.