Con tantas compañías subiéndose al carro, debe haber algún beneficio. De hecho, Cloud puede ser muy poderoso y ofrece muchos beneficios. La nube aprovecha la escala masiva, la homogeneidad, la virtualización, el software de bajo costo, la orientación al servicio y las tecnologías de seguridad avanzadas, lo que genera muchos beneficios para los clientes, algunos de los cuales incluyen:
Costo reducido : este es quizás el mayor beneficio desde el punto de vista de los clientes. Las economías de escala permiten a los vendedores reducir el costo dramáticamente. Actualmente, los servidores se utilizan con solo el 15% de su capacidad en muchas empresas y el 80% del gasto en software empresarial se destina a la instalación y el mantenimiento del software. El uso de aplicaciones en la nube puede reducir los costos del 50% al 90%
Más movilidad : por definición, se puede acceder a la nube desde cualquier lugar, lo que permite la movilidad en el uso de la información.
- ¿Cuáles serían las consecuencias de la destrucción de todos los servidores de Amazon Web Service?
- ¿Cómo puede un simple 'usuario de la nube' ayudar a lograr la eficiencia energética en la capa de aplicación?
- ¿Cómo maneja Dropbox los cambios de nombre de archivo y contenido?
- ¿Cuál tiene más alcance: AngularJS o la nube de Microsoft Azure?
- ¿Cuáles son mis perspectivas de trabajo si tengo una certificación de Amazon Cloud Architecture?
Flexibilidad para ajustar : la flexibilidad o la elasticidad para usar el servicio en función de sus necesidades y ampliar según sea necesario es una gran ventaja.
Mayor almacenamiento : el almacenamiento en la nube es barato y solo está utilizando lo que necesita.
Aproveche la experiencia del proveedor : suponiendo que elija el proveedor adecuado, puede aprovechar la experiencia del proveedor y hacer que su TI se centre en otros problemas críticos.
Barrera de seguridad
En la mayoría de las encuestas para servicios en la nube, los principales problemas continúan siendo la seguridad, el rendimiento y la disponibilidad. Estas son todas buenas preocupaciones y deben abordarse. El rendimiento y la disponibilidad son grandes problemas porque tan pronto como mueva sus servicios de su entorno donde puede tocar y sentir las cosas literalmente en la nube, podría haber algún impacto. Asegúrese de que sus Acuerdos de nivel de servicio (SLA) de los proveedores de Cloud sean muy claros en estos temas.
La seguridad sigue siendo el problema número 1. Los problemas de seguridad clave desde el punto de vista de los clientes parecen estar relacionados con defectos de seguridad en la tecnología en sí, acceso no autorizado a la información del cliente, cifrado, seguridad de la aplicación, gestión de identidad, seguridad de virtualización, etc.
La responsabilidad por los problemas de seguridad depende del nivel de oferta en la nube que esté utilizando. Entonces, para IaaS, la responsabilidad del proveedor se centra en la seguridad física, ambiental y de virtualización. Todos los demás aspectos de la seguridad en las aplicaciones, el sistema operativo, etc., aún deben ser manejados por el cliente. Por otro lado, si está utilizando una oferta SaaS, el proveedor es responsable de todos los elementos de seguridad. Estos son los temas clave a tener en cuenta con algunas recomendaciones:
• Seguridad física : desea asegurarse de que la seguridad física alrededor de la infraestructura sea muy estricta, incluso más estricta que en su entorno porque ya no son sus empleados.
Qué hacer – Solicite a su proveedor las políticas de seguridad física. Cada proveedor de la nube debe tener una arquitectura clara relacionada con su seguridad física. ¿Qué tipo de diseño tienen? ¿Quién puede acceder a qué? ¿Se le permite hacer visitas periódicas para ver su estructura física? ¿Qué sucede en caso de un desastre como terremoto, huracán, etc.?
• Abuso interno: cuando “nubla” su entorno, pierde el control sobre quién administra esa infraestructura con su información confidencial. El abuso interno es un problema común en el que la información puede ser robada y transmitida a personas ajenas o pueden coludir con hackers.
Qué hacer : pregunte a su proveedor de la nube cuál es su política para la verificación de antecedentes de todos sus empleados. ¿Quién tiene acceso a información sensible? Si muchos empleados tienen acceso a información confidencial, su riesgo de abuso interno es mucho mayor. ¿Tienen antecedentes de piratería o delitos pasados?
• Cifrado de datos : los entornos en la nube se comparten y sus datos se encuentran en el mismo entorno junto con los datos de otros clientes. Las infracciones pueden ocurrir fácilmente de una base de datos a otra.
Qué hacer : descubra cómo los proveedores de la nube protegen los datos confidenciales en la infraestructura de almacenamiento. ¿Qué tipos de registros hay disponibles? ¿Cómo se encriptan los datos? Aunque el cifrado no es una panacea y otros problemas como el control de acceso son muy importantes, es un elemento extremadamente importante de la protección de datos. Los datos deben cifrarse en reposo, en transición y para su disposición. ¿Cómo se maneja la gestión de claves?
• Relaciones con terceros : eres tan fuerte como tu eslabón más débil. Y, en entornos corporativos, su eslabón más débil podría ser su integración con sus socios. En el caso de los proveedores de la nube, esto es aún más importante debido a la integración de varios terceros y aplicaciones en el entorno de la nube.
Qué hacer : descubra cómo los proveedores de la nube hacen cumplir los procesos de seguridad para sus integraciones con terceros. ¿Existe un proceso de certificación para garantizar que las aplicaciones de terceros sean seguras y no permitan que los piratas informáticos ingresen al entorno del proveedor de la nube a través de uno de estos socios?
• Seguridad de red : en los últimos meses, el marketing agresivo de varios proveedores de Cloud ha facilitado que los piratas informáticos obtengan cuentas y planten botnets. La nube también es susceptible a muchos más ataques de denegación de servicio. Los proveedores de la nube deben asegurarse de que su perímetro sea seguro y que la barrera contra los ataques sea alta.
Qué hacer : averiguar qué dispositivos utilizan los proveedores de la nube para evitar que los malos entren por el perímetro. ¿Tienen fuertes firewalls de red? ¿Cómo se mantienen actualizados? ¿Cuentan con buenos sistemas IDS / IPS? ¿Cómo monitorean los eventos? ¿Cuentan con un software SIEM o Log Management?
• Seguridad de virtualización : casi todos los proveedores de la nube usan la virtualización para proporcionar economías de escala y una arquitectura distribuida óptima. La virtualización tiene su propio conjunto de problemas de seguridad.
Qué hacer : descubra qué proceso de seguridad tienen para su entorno de virtualización. ¿Cómo están probando vulnerabilidades y reparándolas?
• Controles de acceso : algunos de los grandes problemas para los servicios en la nube son el control de acceso, la autenticación, la administración de usuarios, el aprovisionamiento, etc.
Qué hacer : descubra cómo qué tipo de estándares sigue el proveedor de la nube. ¿Cómo se realiza el aprovisionamiento de usuarios? ¿Quién gestiona el proceso de gestión de credenciales? ¿Cuánto control tienes? ¿Hay una VPN dedicada? ¿Existe un proceso de identidad federado y cómo se gestiona? ¿Se pueden usar OpenID para el registro y la autenticación?
• Seguridad de la aplicación : con más del 75% de los ataques que ocurren a través de aplicaciones web, esto se convierte en una pieza crítica en el proceso general de toma de decisiones en la nube. Aunque la exposición es similar a la que tendría en su propio entorno, es a gran escala y es posible que no tenga ningún control sobre ella.
Qué hacer – Preguntas para hacer y considerar: ¿Se transfiere la propiedad de seguridad al proveedor de infraestructura? ¿Cuál es el impacto en la seguridad en el SDLC? ¿Cómo se garantiza la protección contra vulnerabilidades clave como XSS, inyección de SQL, CSRF, gestión de sesiones, etc.? ¿Qué sucede en caso de incumplimiento? Quien es responsable ¿Cuáles son los problemas de seguridad en torno a las API (la integración es muy importante cuando se cambia a la nube) y qué tipo de claves de cifrado se utilizan para estas integraciones? ¿El proveedor de la nube utiliza herramientas y servicios de escaneo de vulnerabilidades para encontrar vulnerabilidades en las aplicaciones? ¿Cuál es el proceso de remediar o bloquear esas vulnerabilidades? ¿Le permitiría el proveedor de Cloud ejecutar sus propias herramientas de evaluación de vulnerabilidad?
Cloud Computing ofrece muchos beneficios. Aunque la seguridad es un gran problema, no debería asustarlo de usar Cloud que puede ahorrarle mucho dinero y recursos. La clave es hacer la debida diligencia adecuada con sus proveedores de la nube y realmente entender sus acuerdos de nivel de servicio (SLA). Haga las preguntas correctas y tómese su tiempo para seleccionar el proveedor adecuado para usted según sus requisitos y su apetito de riesgo. Definitivamente deberías saltar en este emocionante viaje en auto. Solo asegúrate de estar seguro con el cinturón de seguridad puesto.
Avani es un proveedor líder de almacenamiento en la nube con estándares de seguridad excepcionalmente impresionantes.