Los centros de datos solían ser tan simples. Una gran habitación, grandes cajas, personas corriendo alrededor, pulsando botones y colocando cintas. Los hombres eran hombres y los dinosaurios vagaban por la tierra. Ahora todo eso ha desaparecido, incluyendo el sexismo. En este siglo, hasta ahora los centros de datos han estado oscuros, amenazantes, en pequeñas habitaciones con grandes closets (racks), realmente, con máquinas pequeñas que tienen gran apetito de potencia y refrigeración. Y sin gente, al menos no donde están las computadoras. Y ahora, incluso ese tipo de centro de datos está desapareciendo.
¿Hacia dónde están yendo?
La respuesta es “hacia un montón de lugares”, incluyendo los centros del colocación/ubicación (colo) de terceros, servicios gestionados en centros de datos de proveedores (o sus sitios colo) y la nube—sea lo que sea y donde esté. En cualquier momento, las organizaciones están encontrando que sus aplicaciones y los datos asociados a éstas se están ejecutando en diferentes lugares, todo al mismo tiempo. Este es el amanecer de la era multimodal; el personal del centro de datos se debe ajustar o se quedará atrás. Y por lo tanto, también los profesionales de la seguridad.
El control de acceso en los ambientes multimodales
Hay muchas causas del porqué moverse desde los centros de datos propietarios, que pueden ser por razones tecnológicas, económicas, sociológicas y causas geográficas. Me gustaría más bien centrarme en los efectos, específicamente en aquellos que tienen relación con la seguridad de la información, la capacidad de recuperación y el control. Como los recursos de información, tanto los datos como el software se mueven más allá de los límites de las organizaciones a las que pertenecen, existe necesariamente un mayor potencial de acceso a estos recursos por parte de personas distintas de los empleados de las organizaciones.
¿Quiénes son esas personas?1
En el nivel más básico ellos son empleados de alguien. Ellos son la “mano de obra táctil”.2 Ellos son técnicos en la gestión de tareas tales como respaldos, mantenimiento general y reparación de la infraestructura de TI de los clientes. Ellos son las personas que manejan una nube pública, la cual, despojada de sus elementos esenciales, no es más que una serie de centros de datos vinculados que funcionan como un servicio. Ellos son la detección y la respuesta a los incidentes de seguridad. Algunas de estas categorías de personas requieren del acceso a los datos de sus clientes; otros nunca deberían tener ese acceso. La tarea de los profesionales de la seguridad de la información de la organización propietaria es reconocer esta diferencia y tomar las medidas para controlar a todas estas personas externas y desconocidas.
¿Quis custodiet ipsos custodios? (¿Quién custodia a los guardianes?), este tema debe ser tratado a niveles incrementales de abstracción. ¿Quién, de hecho, vigila a los guardianes que custodian a los guardianes...?
La historia reciente nos ha mostrado que el acceso físico a los equipos informáticos puede eludir todos los controles del acceso lógico.3, 4 Por décadas, cuando dijimos “control de acceso” ello significaba restricciones lógicas, con un acceso físico al equipo que se limitaba a unos relativamente pocos mandarines. La barrera a un centro de datos era una puerta cerrada y vigilada. Esto todavía puede ser el caso de un colo/ubicación donde, si una organización dispone de una jaula cerrada, hay una cierta seguridad de que sólo los empleados del cliente pueden tener acceso.
Si existen sólo unos pocos racks en una fila compartida, ya no es tan tranquilizadora la cerradura de la puerta de la habitación. Y aún con las cerraduras en los racks, muchos clientes comprometen a los empleados del colo para instalar nuevos dispositivos, retirar los respaldos en cinta y realizar otras actividades que requieren de la presencia física.
El desafío de la externalización
En un primer nivel, el desafío de asegurar los datos y otros recursos electrónicos dentro de los equipos que están a una distancia física, es simplemente una extensión de los problemas de la externalización que algunas organizaciones ya han tratado por años.5 Lo que es llamativamente diferente hoy día es que estas organizaciones están externalizando al mismo tiempo diferentes plataformas, infraestructuras, aplicaciones y funciones de control en diferentes proveedores. En cualquier momento, una organización puede tener en forma simultánea algunos de sus recursos de información en su propio centro de datos, en un colo, en servicios de acceso a través de la Web y en múltiples nubes. En la mayoría de los casos esto no fue planeado; se desarrolló con los años. Y en la medida que pasan los años, esta mezcla seguirá cambiando.
Cualquiera sea la distribución de los sistemas, es probable que existirán interacciones entre éstos. Así, el reto para el personal de operaciones y los especialistas de seguridad generalmente es desarrollar la capacidad para observar y supervisar todo esto al mismo tiempo. Por ejemplo, si una organización está experimentando un ataque en un sistema hospedado en un colo, sería importante saber si ese ataque se puede extender a los sistemas relacionados que están hospedados en otro centro de datos o en la nube.
Una nube de nubes
Nótese el uso de “una nube” y no “la nube” en la oración anterior. Muchos de nosotros nos hemos acostumbrado a ello para ocuparnos de los servicios basados en la nube como un concepto con el cual hemos perdido el contacto con la realidad, ya que una organización puede utilizar varios de estos servicios. Así, las organizaciones necesitan una consola virtual6 que pueda proporcionar visibilidad simultánea de los entornos de la empresa. Lo que los usuarios ven, para muchas organizaciones, no es una nube pero sí una nube de nubes, una vez más elevando el nivel del meta control. Cada nube necesita ser asegurada en forma individual y como un conjunto.
Una de las ventajas de una arquitectura multimodal es que, dejando de lado la propagación de un virus o de un gusano, es bastante improbable tener tiempo muerto en la empresa. Un apagón, por ejemplo, en un centro de datos de un proveedor de servicios no va a afectar a los otros, ubicados en lugares alejados entre ellos. Por otra parte, muchos planes de recuperación de desastres actuales anticipan la interrupción de todo o nada en un único centro de procesamiento de datos. La planificación de la recuperación ante desastres va a tener que ser reconsiderada para los entornos multi-modales, un excelente tema para un próximo artículo.
Por supuesto, las organizaciones siempre tendrán centros de datos internos, al menos mientras trabajen empleados en las instalaciones de la organización. Tiene que haber un anillo que los gobierne a todos, haciendo un guiño a J. R. R. Tolkein.7
Ese sería el centro de datos que conecta a todas las personas dentro del edificio con todos los sistemas que ellos utilizan, cualesquiera sean los sistemas. Ese centro de datos puede no ser más que un armario con servidores de archivos y de conectividad de redes pero estará allí y, también necesitará el mismo tipo de seguridad que habrían tenido los grandes centros de datos en el pasado y que lo siguen teniendo hoy.
Como lo veo, el futuro traerá competencia entre los proveedores de servicios multimodales (MMSPs). De hecho, esto es lo que le está ocurriendo actualmente en algunos de los más grandes colo o proveedores de hosting que se diversifican hacia los servicios en la nube. Lo que queda por ver es cuándo se darán cuenta que la seguridad es un elemento estratégico diferenciador entre ellos.
Notas finales
1 A question made famous in the movie Butch Cassidy and the Sundance Kid, USA, 1969, asked by the heroes multiple times with increasing frustration at their inability to evade the long arm of the law
2 A rather inelegant phrase for people doing actual work on computers and storage, using their hands
3 Kushner, D.; “The Real Story of Stuxnet,” Spectrum, IEEE, 26 February 2013, http://spectrum.ieee.org/telecom/security/the-real-story-of-stuxnet
4 Perlroth, N.; “In Cyberattack on Saudi Firm, U.S. Sees Iran Firing Back,” The New York Times, 23 October 2012, www.nytimes.com/2012/10/24/business/global/cyberattack-on-saudi-oil-firm-disquiets-us.html. The same delivery method was used for the original Shamoon. It is not clear whether Shamoon 2 was delivered the same way.
5 Tiow, B. L.; “A Security Guide for Acquiring Outsourced Service,” SANS Institute, 19 August 2003, https://www.sans.org/reading-room/whitepapers/services/security-guide-acquiring-outsourced-service-1241. There is no shortage of literature on this subject and very little has changed over the years. See, for example, this article published in 2003.
6 I am not referring to Nintendo’s tool of that name.
7 J. R. R. Tolkien (1892-1973) was an English author, poet and university professor. He is best known as the author of The Hobbit, The Lord of the Rings and The Silmarillion, among other fantasy novels.
Steven J. Ross, CISA, CISSP, MBCP
Es director ejecutivo de Risk Masters International LLC. Ross ha escrito una de las columnas más populares de la revista desde 1998. Puede ser contactado en stross@riskmastersintl.com.