Por
Octavio Duré, Gerente de Ingeniería de Software VMware para SOLA
Cada
semana leemos acerca de violaciones a la privacidad ocurridas “en
la nube”.
En algunas ocasiones se trata de una revista especializada la que nos
cuenta acerca del robo de historias clínicas al sistema de salud
norteamericano o sobre el secuestro de una base de datos conteniendo
números de tarjetas de crédito a un negocio on-line; y en otras, es
una revista de chimentos la que describe las peripecias de una modelo
a la que le sustrajeron fotos íntimas que había almacenado “en
la nube”.
Tanto
cuando interactuamos con nubes públicas como usuarios particulares
como cuando como empresas montamos carga de trabajo de cómputo en
nubes administradas por proveedores de servicios; ¿qué debemos
exigir en términos de seguridad?
La
seguridad tradicional, basada en la protección perimetral ha
demostrado no ser efectiva a la hora de proteger la propiedad
digital; y esto se debe a que con ataques cada vez más sofisticados,
más temprano que tarde esa pared perimetral va a ser eludida, y no
existiendo controles adicionales entre los distintos componentes
internos en el centro de datos (nuestra “nube”),
una vez que la amenaza entró, el daño a ocasionar podría ser
mayúsculo. Es por esto que cobra sentido la idea de
“micro-segmentar” la red, dentro del centro de datos, creando un
entorno que llamamos de Confianza Cero, en el cual cada computador no
solo se protege del mundo exterior, sino además de los computadores
que tiene al lado. Las tecnologías tradicionales son insuficientes
para implementar esta micro-segmentación de manera operativamente
viable. Un firewall al lado de cada servidor no parece una solución
barata ni fácil de mantener. Sin embargo, con la virtualización de
redes, VMware propone esquemas de seguridad antes impensados.
Al
mover funcionalidad de red al software, incluyendo reglas de
seguridad, cada “computador” -en el caso de ambientes
virtualizados cada “máquina virtual”- pasa a contar con su
propio firewall (distribuído). Esta protección con reglas de acceso
y tráfico acompaña a la máquina virtual durante toda su vida
productiva, vaya al servidor físico que vaya, y las reglas
desaparecen cuando la máquina es retirada de servicio. De esto modo,
cada máquina virtual cuenta con su propia protección, y al mismo
tiempo evitamos que queden reglas obsoletas en un firewall
tradicional cuando la máquina (o mejor dicho la aplicación que
corre sobre ella) sale de servicio, reduciendo así la exposición de
superficies de ataque.
La
micro-segmentación, posible a partir de la virtualización de redes,
brinda entonces un esquema de seguridad avanzado. ¿Pero qué sucede
cuando a esta nube, se le permite ser accedida desde múltiples
dispositivos, incluyendo laptops, tabletas y teléfonos inteligentes?
En tales casos, nuevamente la plataforma de VMware proporciona dos
herramientas clave para garantizar la seguridad: Air-Watch para la
gestión y administración de estas flotas de dispositivos móviles,
y nuevamente la micro-segmentación con NSX para restringir el acceso
a lo que cada aplicación en cada dispositivo estrictamente necesita.
Luego
de un simple proceso de registración del teléfono, la tableta o el
laptop, Air-Watch, nuestra herramienta para la gestión de
dispositivos móviles (MDM por sus siglas en inglés: Mobile Device
Management) le permiten a las organizaciones gestionar extensas
flotas de dispositivos, sean estos corporativos o particulares en
esquemas BYOD (use su propio dispositivo en el trabajo). A partir de
dicho registro, es posible monitorear el uso de los dispositivos,
asegurar adherencia a las políticas de seguridad corporativas,
permitir la instalación de aplicativos corporativos de manera
segura, separar contenido y aplicaciones personales del contenido y
aplicaciones empresariales que requieren otros estándares de
seguridad. Es posible definir sub-flotas, con distintos privilegios
de datos, roaming y accesos, por ejemplo. Podemos gestionar el
dispositivo en sí (definiendo parámetros propios del móvil,
borrando contenido en caso de robo o exigiendo claves apropiadas) o
profundizar en la gestión de las sub-disciplinas de MDM, asegurando
un uso adecuado de cada una de las posibilidades de los dispositivos,
por ejemplo:
-
Mobile Mail Management: Para garantizar el uso del cliente de mail corporativo y sus estándares de seguridad en el acceso a mails empresariales.
-
Mobile Content Management: Para permitir el acceso seguro y confiable a documentos corporativos con visualizadores adecuados.
-
Mobile Browsing Management: Para asegurar una navegación segura desde el entorno corporativo del smartphone.
-
Mobile Application Management: Para brindar aplicaciones seguras a los miembros de la organización.
La
combinación de MDM con tecnologías de virtualización de redes y
micro-segmentación permite hoy en día establecer túneles seguros
ya no entre el dispositivo y la red corporativa (la
“Nube”),
sino entre el dispositivo y la máquina virtual puntual en la que
corre la aplicación a la que se conecta el móvil en busca de un
servicio. Esta arquitectura lleva la seguridad a esquemas antes
imposibles y permite implementar nubes (privadas o administradas)
realmente seguras.