Landing zone: gestionando la seguridad en la nube

Las plataformas y aplicaciones de computación en la nube hoy en día están proliferando en todas las compañías, proporcionando infraestructuras de TI mucho más ágiles y flexibles que apalancan el impulso de nuevos negocios digitales.

Las estimaciones del mercado reflejan un mercado global en pleno proceso de maduración para los servicios en la nube, con una escalabilidad, agilidad y seguridad garantizadas para el soporte de nuevos modelos de negocio. Según Gartner, el mercado mundial de servicios de nube pública se estima que crecerá un 17,3% en 2019 hasta un total de 206.2B$, frente a los 175.8B$ estimados para 2018.

Sin duda, al margen de la flexibilidad que la computación en la nube pública proporciona uno de los principales factores de éxito de su adopción, es la industrialización y normalización de componentes e infraestructuras IT de gran complejidad, que, mediante economías de escala, permite democratizar el uso de tecnologías que antes empresas con plantillas y presupuestos de IT limitados no podían permitirse, ni por su alto coste, ni por la complejidad en el despliegue y administración que suponía su implantación.

Sin embargo, el traslado masivo de cargas de trabajo y servicios IT a la nube pública, puede incurrir en nuevos riesgos derivados de la eliminación de las barreras y perímetros de seguridad que Centros de Datos y proveedores de servicios de “Co-Location” tradicionales ofrecen. Estas defensas habituales, hacen muy seguras a las infraestructuras alojadas, aportando medios de compartimentación, separación y control de acceso físico.

Para tratar de extrapolar esta seguridad a la nube pública, los principales proveedores de servicios de nube publica, han desarrollado el concepto de Landing Zone. La Landing Zone, debe ser el pilar y base fundacional sobre la que “aterrizar” y desplegar de forma segura y segregada en la nube, las infraestructuras, servicios IT y cargas de trabajo de cualquier compañía.

• Existe una Cuenta Principal de la Organización que además de centralizar, consolidar y administrar todo el control financiero y económico del entorno, permite gestionar y solicitar la creación de nuevas cuentas miembro a la organización, sobre las que como veremos a continuación, se aplica de forma automática una línea base de seguridad y una configuración de red.
• Se puede utilizar una Cuenta de Servicios Compartidos para realizar la integración de los servicios de infraestructura más comunes (p.ej los servicios de directorio corporativos) con el entorno de la nube permitiendo así una gestión mucho más normalizada y centralizada.
• Una Cuenta Bitácora (Logging) debe centralizar y almacenar de forma segura, estanca e invariable, todos los logs y trazas generadas por la totalidad de servicios e infraestructuras pertenecientes a todas las cuentas del entorno, a efectos de auditoría.
• Desde una Cuenta de Gestión de la Seguridad se gestionan todos los roles y permisos de acceso cruzados entre las diferentes cuentas que forman el entorno, que son necesarios tanto para realizar las auditorias de cumplimiento y seguridad, como actuaciones de emergencia en caso de incidentes. Desde esta cuenta también se detectan y se suele responder a comportamientos sospechosos y amenazas de forma global.

Una de las funciones clave de la Landing Zone, es la capacidad de automatizar la creación de nuevas cuentas operativas (en las que se desplegarán los diferentes entornos que alojarán los servicios IT) en el entorno, de forma que estas ya se encuentren asociadas a la organización, y tengan aplicada de forma automática tanto la línea base de seguridad definida para la compañía como los servicios de red necesarios para su integración en el ecosistema IT corporativo.

Esta operación de creación de cuentas permite segmentar de forma hermética, segura y trazable, el entorno de operaciones IT en la nube pública, ya que en la nueva cuenta se habrán heredado de forma automática todas las políticas y requerimientos de seguridad corporativos (por ejemplo, la obligación de cifrar cualquier dato en tránsito o en reposo, o la restricción de utilizar cuentas privilegiadas para la ejecución de operaciones habituales) y se le habrán asignado de forma coherente los segmentos de red necesarios para su interconexión con el resto de la red de la empresa. Una vez entregada la cuenta a su propietario, este podrá desplegar y administrar los servicios y recursos IT necesarios (de los que será dueño) para prestar los servicios TIC y cargas de trabajo de los que sea responsable.

Cada cuenta de operaciones creada mediante este procedimiento tiene así una función análoga a la separación física y perimetral que mediante “salas”, “cubos” o “jaulas” se suele realizar en los Centros de Datos tradicionales, ya que cada cuenta será dueña de sus propios recursos, y su propietario podrá definir las comunicaciones con el exterior que sean necesarias, y blindar y controlar el acceso privilegiado a sus recursos.