En resumen, la nube suele ser más segura que en los sistemas internos, pero la siguiente explicación, particularmente en lo que respecta a la mentalidad, el interés propio y la filosofía, es importante.
No existen datos perfectamente seguros, el objetivo de la infraestructura de seguridad es ser tan seguro como sea razonablemente posible, es decir, el costo de comprometer un sistema es mayor que el costo resultante para los clientes, clientes y el negocio. Por ejemplo, una computadora cuántica puede descifrar una clave RSA, pero dado que el costo de las computadoras cuánticas actualmente es bastante alto, las claves RSA son medios adecuados de protección.
Ahora se debe aplicar la misma filosofía para proteger los datos en todos los contextos. La filosofía actualmente empleada por muchos departamentos de seguridad, especialmente las grandes corporaciones arcaicas y las instituciones gubernamentales, es que quieren que su sistema sea completamente impenetrable. El resultado es que sus sistemas son generalmente menos seguros ya que creen que un sistema dentro de una red interna debe ser impenetrable. La realidad es que el uso de la infraestructura en la nube es generalmente más seguro, y explicaré por qué …
- ¿Las aplicaciones que se ejecutan en un entorno multiinquilino son conscientes de que no son las únicas aplicaciones que se ejecutan en el servidor?
- ¿Cuánto costaría ejecutar un sitio web viral en la nube?
- ¿Cuánto cuesta una solución de almacenamiento de 5 petabytes?
- ¿Debo aprender AWS o Red Hat OpenStack?
- ¿YouTube alguna vez se quedará sin espacio de almacenamiento?
Un error en la seguridad es que los piratas informáticos comprometen los datos al usar algoritmos locos para descifrar el cifrado, la realidad suele ser la ingeniería social, el error humano, las contraseñas malas y las vulnerabilidades del protocolo. Por lo tanto, siempre que sus datos estén encriptados correctamente, realmente no importa dónde estén físicamente, solo importa cuáles son las contraseñas / frases de contraseña / claves que lo desbloquean, y quién y cómo se distribuyen y almacenan.
Aquí es donde un sistema simple y elegante puede significar una seguridad mucho mejor que los sistemas arcaicos a menudo complicados que se ven en las empresas antiguas. En tales instituciones, los procedimientos locos, inventados por, para ser francos, idiotas, juegan directamente en manos de los hackers que intentan ingresar a un sistema mediante ingeniería social. En primer lugar, dichas instituciones piden a sus empleados que recuerden docenas de contraseñas, todas las cuales deben seguir reglas tontas con respecto al uso de caracteres, y tienen que cambiarlas cada dos meses. El resultado es que los empleados las escriben en lugares accesibles mediante programación (es decir, en una computadora, no en papel), o eligen contraseñas malas (de baja complejidad, fáciles de recordar), contraseñas cortas, y luego, cuando se les pide que las cambien, como era de esperar simplemente incremente un número final.
Además, los empleados no reciben capacitación adecuada sobre cómo se deben pasar las credenciales; se envían por correo electrónico, se envían mensajes de texto claros a archivos de configuración o variables de entorno, etc., etc.
El alcance para un empleado malicioso o ingeniería social es enorme.
Ahora compare con un servicio en la nube. Con Google Cloud, se puede usar una cuenta de Google para ingresar a un cuadro, consultar su correo electrónico, consultar su calendario, compartir documentos, chat, videoconferencia, etc., la cantidad de aplicaciones que admiten “Iniciar sesión con Google” es enorme, y el resto de las aplicaciones, si las hay, se pueden vincular a algunos AD y bang tiene todo con una contraseña Agregue autenticación de 2 pasos y algo de capacitación básica sobre cómo elegir una buena contraseña (ninguna de estas tonterías acerca de que debe usar cada símbolo en el teclado) y prácticamente ha eliminado la posibilidad de ingeniería social o error humano. Con AWS, uno usa el viejo ssh-keygen y la posibilidad de error es igualmente pequeña.
Pasando a las vulnerabilidades de protocolo. Estos son problemas que surgen debido al ritmo increíblemente rápido en el que la tecnología mejora, cambia y crece. Los equipos de seguridad interna no tienen ninguna esperanza de mantenerse al día con el juego. Además, lo siento, pero los equipos de seguridad interna básicamente recibirán un glorioso soporte de TI en comparación con los equipos de seguridad de Google y AWS. Incluso si los equipos internos pudieran mantener su comprensión, los procedimientos burocráticos que deben seguir para actualizar los sistemas (irónicamente para proteger la seguridad) prohíben el ritmo necesario de cambio. Incluso si un proveedor de software lanza un parche que dice “Actualiza ahora, corrección urgente de errores de seguridad” Apuesto a que hay compañías que responderían con “hmm, espera ahora, ¿nuestro parche de seguridad ha aprobado este parche?”
Entonces, la realidad es bastante contraria a lo que muchos quisieran hacer creer, además, realmente no se necesita mucha investigación para determinar que las tecnologías de código abierto y en la nube son muy superiores. Me resulta difícil creer que las personas puedan ser tan estúpidas, por lo que a veces sospecho que el interés personal es jugar, posiblemente seguridad en el trabajo o algo aún más siniestro.