Consideraciones de seguridad en PaaS

enero 18, 2013

share

Archived

El modelo de servicio PaaS ofrece al consumidor la capacidad de ejecutar aplicaciones por éste desarrolladas o contratadas a terceros, a partir de los lenguajes de programación o interfaces (APIs) provistas por el proveedor. El usuario no tiene control ni sobre el sistema subyacente ni sobre los recursos de Infraestructura de nube.

Por esto podemos decir que el modelo PaaS provee al usuario de un Framework que puede incluir diversos lenguajes de programación, entornos de ejecución y debugging, y que permite a los consumidores desarrollar, implementar y administrar aplicaciones. Algunas de las implementaciones más ampliamente utilizadas son Google App Engine, Microsoft Azure, y force.com. En la Figura 1 puede apreciarse la pantalla de bienvenida de Google App Engine, la tecnología de Google que permite desarrollar y ejecutar una aplicación web utilizando la infraestructura de Google.

Cuestiones de Seguridad

A diferencia del modelo IaaS, los modelos de servicios PaaS están alejados del hardware y del sistema operativo pero más cerca del negocio. Es decir, se pone el foco en tecnologías de más alto nivel, pero cada vez más en Los Datos.

Al tener mayor cantidad de componentes que controlar, pero sin perder de vista el objetivo central que reside en la protección de Los Datos, los controles de seguridad se enfocan en varios aspectos diferentes. Estos controles son el acceso a la red, las interfaces de acceso, los controles criptográficos y controles específicos dependiendo de la tecnología entre otros. A continuación veremos algunas de estas consideraciones de seguridad que el NIST contempla para este modelo de servicios:

Acceso a la red: el acceso a la red por parte de los servicios PaaS es nativo al servicio, ya que sería inviable un modelo sin acceso a la red. Por esta razón, la protección mediante el uso de protocolos seguros, segmentación interna, por ejemplo mediante VLANs, etc.; se vuelven medidas indispensables.

Interfaces de acceso (API): la elección de la forma en que se accede a las diversas interfaces provistas por el proveedor no es un tema menor. Siempre es recomendable utilizar aquellas interfaces genéricas por sobre sus alternativas propietarias.

Controles criptográficos: son los controles por excelencia para proteger la confidencialidad de los datos almacenados, por ello se vuelve crítica la forma en que se generan y almacenan las claves.

Borrado seguro de los datos: el proveedor le debe proporcionar al consumidor mecanismos que garanticen el borrado seguro de los datos almacenados cuando éste lo requiera.

Controles en función de la tecnología: dependiendo de la tecnología y los lenguajes utilizados también surgirán recomendaciones y buenas prácticas asociadas. No es lo mismo si las aplicaciones utilizan MS-SQL que MySQL, Java o .NET, etc.