La seguridad en el Cloud
La primera pregunta que nos hizo Raul fue "¿Qué es el cloud?". Raul definió el cloud como una infraestructura que como tal no tiene seguridad. Los clouds públicos como Amazon Web Services y Azure ofrecen servicios del tipo IaaS que nos aportan flexibilidad, inmediatez y facilidad, pero estos no son seguros; hay que protegernos.
Seguidamente, introdujo la diferencia entre un firewall tradicional y un firewall pensado para el cloud. Puso el ejemplo del proceso de publicar una nueva aplicación. En el caso de un firewall tradicional, es necesario explicitar una regla para permitir esta nueva aplicación, lo que ralentiza el proceso de publicación de cara a los desarrolladores, es un "stopper". En el cloud, todos los elementos se ven entre ellos de forma que es necesario establecer los flujos de tráfico deseados. El firewall no trabaja a nivel IP, sino que lo hace a nivel de objetos y se alimenta de todos los entornos para adaptarse a los cambios. Este nuevo modo de trabajo aporta agilidad, permitiendo que el proceso de publicación sea casi instantáneo.
Un concepto que trató es el de "auto-scaling", crecimiento de la solución en un momento determinado por unas necesidades momentáneas. Los servicios de cloud nos permiten no pagar hoy el que utilizaremos mañana, sino que pagamos por el uso que hacemos. Este auto-scaling se realiza de forma automática gracias a APIs.
El cloud en sí ofrece una seguridad mínima a nivel 4 mediante iptables, pero necesitamos mucho más. A continuación vemos la diferencia entre la seguridad aportada por el cloud y la aportada por el gestor de Checkpoint.
El siguiente concepto que trató es el de perímetro, el hecho de que no tenemos control sobre todos los elementos del cloud. Por ejemplo, el almacenamiento puede estar separado, de forma que el firewall ya no lo puede proteger. La seguridad que hemos definido hasta el momento no es suficiente y la única forma de obtener el control es definiendo configuraciones. Raul nos explicó que estas configuraciones son muy complejas y es muy fácil cometer errores. Aquí es donde entra la solución SaaS de Check Point Dome9. Dome9 nos permite asegurar que estamos trabajando de forma segura en cloud; que no estamos exponiendo a internet lo que no queremos exponer (Compliance & Governance).
Dome9 genera informes que indican el grado de cumplimiento de la normativa, los riesgos, las exposiciones, las malas configuraciones, etc. Esta herramienta tiene dos modos de funcionamiento, read y read & write. Con modo read puedo notificar y con modo read & write puedo alterar el comportamiento, por ejemplo, eliminar una ruta errónea. A continuación, vemos una captura que muestra las diferentes zonas existentes en la red así como los objetos que se encuentran en cada una de ellas. De forma visual, es muy fácil identificar si tenemos problemas de seguridad. Mencionar que estamos hablando de seguridad pasiva, ya que sólo estamos revisando configuraciones.
Como conclusión, recalcar, de la misma forma que lo hizo Raul, la relevancia de la herramienta Dome9 en los entornos de cloud actuales. Un firewall no nos aporta suficiente seguridad en el cloud cuando existen elementos fuera de nuestro alcance, es decir, fuera del perímetro.