Seguridad en el modelo IaaS

febrero 22, 2013

share

Archived

Independientemente del modelo de implementación (esto es si la Nube es Pública, Privada o Híbrida), el modelo de servicio IaaS (Infrastracture as a Service) ofrece al consumidor capacidad de procesamiento, almacenamiento, redes y cualquier otro recurso de cómputo necesario para poder instalar software, incluyendo tanto el sistema operativo como las aplicaciones. El usuario no tiene control del hardware subyacente, pero sí del sistema operativo y de las aplicaciones.

Los modelos IaaS son aquellos servicios que se enfocan en ofrecer capacidades de cómputo a sus consumidores. Algunas de las implementaciones más ampliamente utilizadas por diversos niveles de usuarios (tanto los corporativos como los hogareños) son Amazon Web Services, Rackspace, y GoGrid. En la Figura 1 puede apreciarse la pantalla inicial del servicio de Amazon Web Services, Elastic Compute Cloud, también conocido como Amazon EC2.

Consideraciones de Seguridad
Tal como mencionamos, los modelos de servicios IaaS están enfocados en la provisión de capacidades de cómputo, ya sea procesamiento, almacenamiento o red entre otros. A partir de esto, rápidamente podemos intuir que este modelo es el más cercano al hardware y en particular a las tecnologías de virtualización, sin las cuales el Cloud Computing no podría existir como tal.

Por esta razón, la mayor parte de los controles de seguridad en relación a estos modelos están relacionados a la protección de las tecnologías de virtualización, ya que comprometiendo esta tecnología un usuario malicioso podría tener acceso al resto de los usuarios que contraten recursos de un proveedor de servicios IaaS. En esta línea el NIST ha identificado una serie de temas de seguridad a tener en consideración por parte de los proveedores de este tipo de servicios, siento los siguientes algunos de los más destacados:

• Vulnerabilidades en entornos Legacy: si el proveedor permite que los usuarios utilicen aplicaciones legacy, corren el riesgo de exponer al resto de los usuarios a dichas vulnerabilidades.
• VM Isolation: dado que las VM asignadas a los diferentes usuarios suelen venir de un mismo pool, es fundamental asegurar el aislamiento de máquinas virtuales entre usuarios, previniendo de esta forma ataques de eavesdropping y/o tampering.
• Borrado seguro de los datos: Dado que las VM comparten recursos de almacenamiento entre ellas, es importante garantizar que cuando un usuario libera recursos de almacenamiento, los mismos no puedan ser accedidos por un nuevo consumidor que utilice dicho recurso.

Para todos los proveedores de servicios IaaS, tanto de nubes públicas como privadas, se recomienda mínimamente alinearse con la Guía de Seguridad para Tecnologías de Virtualización publicada por el NIST, la cual presenta una serie de lineamientos que deben seguirse para reducir los riesgos de seguridad introducidos por estas tecnologías.

Finalmente, no olvidemos que tanto la virtualización como el Cloud Computing son tecnologías que sólo son efectivas cuando están alineadas con el negocio y sirven a éste.