Nadie duda de las ventajas de IaaS –Infraestructure as a Service– escalabilidad, flexibilidad y velocidad son sus puntos fuertes. Por ello es uno de los mercados cloud de mayor crecimiento. Sin embargo, ¿qué hay de la seguridad? En este modelo, el mayor responsable de la protección de datos, servidores y aplicaciones es el mismo usuario. ¿Es posible para IaaS garantizar la misma seguridad que ofrece el clásico entorno de centro de datos privado?
La ciberdelincuencia no se duerme, vive de buscar vulnerabilidades y la tecnología en la nube muchas veces se lo pone en bandeja de plata. Los cibercriminales pueden convertir a los servidores alojados en nubes públicas en zombies para controlarlos remotamente y seguir expandiendo su malware, sin que el usuario tenga conocimiento de ello ni perciba nada extraño.
Las botnets consisten en miles de ordenadores y servidores zombies infectados de malware que llevan a cabo comandos en nombre del operador de la botnet.
Pues sí, ésto pasa en pleno boom cloud, más concretamente con las botnets. Se trata de redes de malware o software malicioso que se construyen a partir de una red de ordenadores y servidores zombies manejados remotamente por un bot-herder. Un individuo que se pasa la vida construyendo botnets para después alquilarlas o venderlas a otros ciberdelincuentes.
Una práctica que ha evolucionado hasta tal punto que ha pasado a denominarse Fraude como Servicio (FaaS, Fraud-as-a-Service), que también incluye el phishing, los rootkits, el password cracking o man-in-the-middle, entre otras amenazas.
Éstos son solo algunos de los peligros que acechan hoy en el ciberespacio. Una vez visto el panorama y observando cómo es actualmente la seguridad que ofrecen las soluciones IaaS con granjas de servidores en la nube pública, se plantea la cuestión de ¿cuáles son las vulnerabilidades de estos entornos virtualizados frente a amenazas tan sofisticadas?
- Los servidores cloud son el blanco perfecto para los ciberdelincuentes por tratarse de entornos de servidores «colectivos» aprovechando cualquier descuido, lo que ayuda enormemente a estos hackers para propagar y multiplicar su software malicioso, además de contar con una seguridad endeble que los hace más accesibles. Si un bot-heder consigue colocar su software de comando y control sobre una máquina virtual para después multiplicarse, la capacidad de la botnetcrecerá exponencialmente.
Los ciberestafadores exigen un flujo constante de los servidores infectados para mantener las botnets en funcionamiento.
- Los servidores en la nube están más expuestos que los servidores en el tradicional centro de datos por la falta de control sobre el hardware. Según el lugar donde tengáis alojados los servidores, puede que los entornos IaaS no ofrezcan el control necesario sobre la tecnología de red para implementar el perímetro de seguridad. En el clásico entorno del centro de datos privado existe la seguridad de zonas de demarcación de la red (DMZ), firewalls, sistemas de detección de intrusos (IDS) y dispositivos UTM. De esta manera se inspecciona, no solo el tráfico interno como en los entornos de alojamiento IaaS, sino también el tráfico externo. Así es posible controlar e inspeccionar todo el tráfico de red dentro y fuera de una organización. Estos dispositivos de control no están disponibles para las empresas con servidores alojados en IaaS porque en estos entornos los proveedores no ofrecen al usuario ningún control sobre el hardware y son ellos los que dictan el direccionamiento de red y el enrutamiento.
- La flexibilidad y velocidad, virtudes y problemas. La flexibilidad y velocidad de IaaS ofrece a las empresas la capacidad de ampliar el número de servidores y su capacidad computacional en pocos minutos. Sin embargo, estas virtudes suponen también un problema, y es que amplían notablemente el riesgo de convertirse en servidores zombies. Los servidores inactivos son servidores virtuales que se guardan para su reactivación posterior o como plantillas para nuevos servidores. Aunque es una capacidad útil, estos servidores sin conexión no reciben las actualizaciones pertinentes, haciéndolos más vulnerables. Cuando ese servidor latente se reactiva pueden aparecer privilegios de acceso y configuraciones obsoletas, además de vulnerabilidades de software que exponen más a estos servidores ante posibles amenazas.
En la nube, dónde las defensas de primera línea son muy limitadas, el nivel de protección del servidor es crítico.
- El desarrollo de aplicaciones sobre servidores alojados en IaaS pueden enmascarar intrusiones. Aunque por su naturaleza dinámica y de escasas limitaciones estos desarrollos aumentan la velocidad de comercialización, los datos utilizados en el desarrollo de aplicaciones en entornos IaaS pueden incluir código malicioso entre las funcionalidades del nuevo programa, haciendo vulnerable al servidor. Y si rootkits u otro tipo de malware entran en el servidor cloud, el malware podría llegar al centro de datos corporativo.
No se pueden negar las ventajas del modelo de alojamiento de servidores en entornos públicos IaaS. Sin embargo, es imprescindible proteger los servidores de alto riesgo en nubes públicas con hardware específico que puedes alojar como un housing si tu proveedor de servicios en la nube no dispone de esta seguridad. Éste es el factor clave para que muchas empresas se decidan finalmente por adoptar IaaS público. Una protección de hardware que se puede externalizar si no se tienen especialistas en seguridad. Con la opción de alta disponibilidad no es suficiente.
La brecha de seguridad entre los nuevos entornos Iaas en la nube pública y los clásicos entornos de centro de datos es todavía amplia. El desafío para los proveedores de IaaS público es el de ofrecer las ventajas que da el entorno cloud al mismo tiempo que garantiza una seguridad digna del mejor centro de datos privado, para que esta tecnología no tenga «peros» que valgan.