¿Qué servicios cloud suponen al cliente mayor seguridad?

En los últimos tiempos, la seguridad informática ha adquirido unas cuotas de complejidad nunca vistas. En los años 90, cualquiera con un poco de habilidad podría llevar a cabo un ciberataque. Así, en la mayoría de los casos bastaba con ejecutar un software que lanzase peticiones a un site HTTP para tumbar una web. Así de «fácil» era. Ataques más complejos podían ser llevados a cabo por personas con conocimientos más avanzados, pero al final, un par de genios con buenos conocimientos podían causar un desastre a otras empresas o usuarios alojados en la otra punta del mundo.

Con el paso del tiempo y la tremenda evolución informática, las incursiones en otros sistemas se han ido haciendo cada vez más complejas. Remarquemos las diferencias en la dificultad que se encontraron las personas que se propusieron piratear la ya legendaria «Play Station» de Sony y las dificultades que se encontraron los atacantes de la PS4.

Ahora todo es mucho más difícil. Si queremos extraer datos de un Hardware físico podemos encontrarnos CPU’s con instrucciones dedicadas a seguridad, discos encriptados, accesos a recursos remotos a través de canales seguros, las propias conexiones protegidas bajo protocolos de autenticación complejos y con medios encriptados y, en ocasiones, con los buses de datos de las placas encriptados. Nos tocará saber mucha informática, muchas matemáticas y algo de electrónica; realmente no al alcance de cualquiera.

Los seguridad informática en la actualidad

Lo mismo pasa con los sitios web modernos. Ya no vamos a encontrar una página web con un Apache expuesto a Internet por el puerto 80. Nos encontraremos con Firewalls de última generación, con sistemas de detección (IDS) o acción (IPS), balanceadores de carga, sistemas de cacheo, sistemas de almacenamiento modernos y enormes infraestructuras detrás de ese puerto 80 o 443… Eso hace que los ataques ya no sean de dos adolescentes con mentes privilegiadas en el garaje de su casa.

Los ataques se llevan a cabo hoy en día por grupos de personas, a veces jerarquizadas, como podría ser cualquier empresa legítima y con un set de aplicaciones de Hacking igual de avanzadas, o más, que las propias medidas de seguridad de los grandes publicadores. En general, si una organización así pone el ojo sobre ti -como si del ojo de Sauron se tratase-, estás en claro riesgo.

Y ahí estás tú, administrador, frente a esos grupos enormes con grandes conocimientos en sistemas, programación, redes, electrónica, matemáticas, etc… Desde el punto de vista de la seguridad, es una locura. No le voy a contar a estas alturas a nadie lo que supone mantener una plataforma actualizada en todos sus componentes. Desde que el bit entra por tu router hasta que llega al servicio concreto que atiende la petición.

Además, estas situaciones son desagradables cuando fabricantes como AMD o Intel tienen problemas graves de seguridad en sus Chips y estos errores van siendo descubiertos cada vez con mayor frecuencia.

Servicios de seguridad Iass, Pass y Saas

Con la llegada de los servicios online o en la nube, tenemos una ligera esperanza para quitarnos de encima todas las tareas de mantenimiento de nuestra infraestructura. Como ya sabréis, se han encapsulado los diferentes tipos de servicio online en varios amasijos de siglas algo confusas al principio: Iaas, Paas, Saas.

Si nuestra idea es quitarnos de encima los complejos problemas que conlleva tener nuestra infraestructura actualizada, podemos plantearnos una de estas 3 opciones:

(IaaS) Infraestructura como Servicio

Con esta elección, la seguridad de la infraestructura y la seguridad perimetral recaerá sobre tu proveedor de manera integral. También la seguridad de algunos de sus componentes de servicio.

Eso sí, dentro de esa infraestructura, montarás máquinas virtuales o servicios que sí deberás mantener actualizados, por lo tanto, no estarás 100% libre de mantener un nivel de seguridad adecuado para tu entorno productivo.

Imagina que ese proveedor de la infraestructura que necesitas para alojar un WordPress. Publicas WordPress pero ese es tan antiguo que tiene un montón de problemas de seguridad en él y en los plugins que carga. En ese caso, el proveedor contratado no tendrá ninguna responsabilidad.

(PaaS) Plataforma como Servicio

Puede ser tu opción si quieres llevar tu abstracción sobre la seguridad un nivel más allá. En esta modalidad, contratarás proveedores que te permiten ejecutar tus proyectos en un entorno totalmente cerrado.

Por ejemplo, con Azure Web Apps puedes publicar aplicaciones escritas en Java, Node, PHP o Python y hacer que corran en los servidores y sobre los servicios de Azure Web Apps. Utiliza la plataforma totalmente administrada para realizar tareas de aplicación de revisiones del SO, aprovisionamiento de capacidad, servidores y equilibrio de carga.

(SaaS) Software como Servicio

En este marco, el proveedor nos ofrece todo el Stack. Seguramente se encargará de la seguridad perimetral, de sus propios sistemas internos y, además, nos ofrecerá el software que deseamos utilizar como servicio, ya no deberemos desarrollar nada.

Usamos como ejemplo Microsoft, nos ofrece todo el paquete de Microsoft 365 para conectarnos a aplicaciones basadas en la nube a través de internet como el correo electrónico, los calendarios y las herramientas ofimáticas.

Solo alquilarás el uso de la aplicación y tus usuarios se conectarán a ella con su usuario. No tendrás que preocuparte del software, del consumo de datos, de las actualizaciones, sino que será Microsoft quien se ocupe de esto.

Hay muchos más ejemplos, Azure, Aws, WordPress, Ovh y otros muchos ofrecen un gran catálogo de servicios SaaS.

Conclusión

En las 3 modalidades, tenemos montones de ejemplos y casos de uso en Internet. No olvidamos que este artículo está enfocado a conseguir abstraer a los administradores de hosting o, sencillamente, a los desarrolladores que están pensando como deployar su aplicación.

Si no eres un experto en seguridad y no tienes ni idea de cómo configurar adecuadamente redes, Hardware de Red, etc, deberías focalizar todos tus esfuerzos en desarrollar un buen producto y dejar que la seguridad y todo lo que envuelve a tu proyecto esté gestionado por gente que sí pueda focalizarse en eso.

Recuerda, según el método que elijas, estarás solo frente a empresas gigantes llenas de expertos informáticos como posible rival. Una batalla así es difícil de ganar (tirando a imposible), así que, no es mala decisión empezar a plantearse alternativas a los modos tradicionales de deploy de nuestras aplicaciones o nuestras infraestructuras.