Entradas con la etiqueta ‘estándares’

Tendencias en Cloud Computing para 2013

Conforme fue avanzando el año 2012, los expertos en la nube detectaron un interés creciente en las siguientes áreas relacionadas con el Cloud Computing. Es por ello que vamos a considerar estas áreas como tendencias en Cloud Computing para el año 2013:

Análisis Big data

Las empresas comienzan a ver los beneficios derivados del uso de la nube para hacer business intelligence en Big Data (sistemas que manipulan grandes conjuntos de datos). La nube ofrece escalabilidad a las empresas, lo que hace que sea un vehículo práctico para el análisis de datos.

Habrá que estar atentos a la evolución de herramientas big data como Hadoop o Cloudera. También a las consideraciones éticas derivadas de utilizar big data en la nube pública (pensemos en datos relacionados con investigaciones científicas).

Estándares

El interés y preocupación de los usuarios por la falta de estándares en Cloud Computing está creciendo. Según las estadísticas de Google Trends, la frase “cloud computing standards” ha crecido en los últimos meses del año, mostrando que este término está en la mente de los usuarios.

En este sentido, en Septiembre se formó el Cloud Application Management Platforms (CAMP), un API para la gestión de servicios PaaS creado por un grupo de proveedores, entre los que se encuentra Oracle o Rackspace. Por otro lado, Amazon posée su propia API para Amazon Web Services que está convirtiéndose en un estándar. Veremos como evoluciona el año 2013 en cuanto a la creación o consolidación de estándares.

Políticas BYOD

BYOD (Bring-your-own-device) hace referencia a la política empresarial de permitir a los empleados utilizar sus dispositivos móviles personales (portátiles, tablets y smartphones) en su lugar de trabajo y acceder con ellos a información privilegiada y aplicaciones de la compañía.

Las empresas tendrán que crear políticas y protocolos de uso. Los departamentos IT tendrán que tener conocimiento de todos los dispositivos móviles que existen en su empresa y trabajar en políticas BYOD para lograr mayor seguridad en la protección de sus datos.

Proveedores IaaS

Durante 2012, los principales proveedores IaaS del mercado (por ejemplo Amazon o Rackspace) iniciaron una guerra de bajada de precios. Aún así, muchas empresas preocupadas con los riesgos asociados al cloud computing no quisieron contratar servicios IaaS.

Según Gartner, los servicios PaaS serían el mercado cloud que más crecería en 2012. Conforme avance el año 2013, con los cambios que se han generado en el mercado IaaS, será interesante conocer que opción de servicio y/o proveedor es el que gana la guerra.

Certificación Cloud

De igual modo que con los estándares en Cloud Computing, a finales de año ha crecido el interés de los usuarios por el término “Cloud Training courses”.

En Octubre, Rackspace creo un curso de certificación en OpenStack, con planes para lanzar en el futuro otros programas de aprendizaje en la nube. De este modo, la empresa anima a crear profesionales cualificados en la nube. Conforme avanza el uso de los servicios en la nube, se hace más necesario que los profesionales IT estén formados en la materia.

CloudStack/OpenStack

Desde que Citrix se salió del proyecto OpenStack y creó CloudStack, ambos han estado en lucha para demostrar que alternativa es más adecuada. A finales de Agosto, Rackspace pegó un golpe en la mesa empezando a ofrecer servicios de cloud pública basados en OpenStack.

También habrá que estar atentos a alternativas como Eucalyptus, que tienen soporte para conectarse a nubes de AWS y OpenNebula.

Share

Prácticas recomendadas en la seguridad de los datos en la nube

La seguridad de los datos es una de las principales preocupaciones de cualquier empresas y el cloud computing puede magnificar estas preocupaciones. La adopción de una serie de reglas ayudará a los usuarios a proteger sus datos y su inversión en la nube.

Podemos clasificar las tácticas relacionadas con la seguridad cloud en dos categorías:

  • Seguridad basada en partners o para servicios SaaS, PaaS e IaaS.
  • Seguridad basada en usuarios.

A partir de esta clasificación sugerimos una serie de prácticas recomendadas para asegurar una cloud privada o pública.

Planifica tu seguridad en la nube de manera estratégica

Cada entorno es único. Planificar la seguridad durante la fase inicial de implantación permite crear una base sólida y crear una infraestructura cloud robusta.

Elige tu proveedor cloud prudentemente

La pérdida y fuga de datos son las principales amenazas del cloud computing. Es crucial elegir un proveedor cloud que asegure la protección de los datos sensibles de tu empresa.

A la hora de evaluar un proveedor en la nube, nos debemos asegurar de que tiene experiencia en seguridad y experiencia probada en integrar IT, seguridad y servicios de red.

Integración del sistema de gestión de identidad

Probablemente cada entorno empresarial tendrá algún tipo de sistema de gestión de identidad que controla el acceso del usuario a los datos y recursos corporativos. De la misma manera, cuando una empresa contrata una cloud pública o construye su propia cloud privada debería considerar este aspecto.

Un proveedor cloud debería permitir integrar un sistema de gestión de identidad en su infraestructura utilizando sistemas SSO (Single Sign-On) o mediante su propio sistema de gestión.

Proteje los datos corporativos en la nube

En una organización con algún sistema de seguridad implementado, los datos de un usuario final están segmentados adecuadamente de los de otro usuario. Un proveedor cloud que se precie tiene que prevenir la fuga de datos o asegurar que terceras partes no pueden acceder a datos para los cuales no tienen permisos. Por lo tanto, es importante definir roles y responsabilidades para asegurar que los usuarios no puedan sortear la seguridad establecida.

Desarrollo de un sistema de monitorización activo

Las empresas deberían monitorizar continuamente sus datos en la nube. Por ejemplo deberemos comprobar cuellos de botella en el rendimiento, inestabilidades en el sistema u otras incidencias que puedan crear pérdidas de servicio. En este sentido, las empresas deberían planificar que herramientas de monitorización utilizar y con qué frecuencia obtienen datos.

Por ejemplo, una empresa que contrata un servicio de escritorio en la nube, debería monitorizar:

  • Utilización de disco (SAN)
  • Disponibilidad y rendimiento de la red
  • Cuellos de botella
  • Intentos fallidos de inicio de sesión
  • Información relacionada con tráfico sospechoso

Esteblecer métricas del rendimiento de la nube

Nuestro proveedor deberá presentar unos niveles de acuerdo de servicio (SLA) sólidos que incluyan métricas como disponibilidad, notificación de acceso no autorizado, notificación de falta de servicio, restauración de servicio, tiempo medio de resolución de incidencias, etc.

 

Share

Desmitificando la seguridad en la nube

Hemos encontrado un resumen de una mesa redonda que tuvo lugar en un foro de seguridad organizado por la empresa Forrester. Aunque el evento tuvo lugar hace casi un año (Forrester’s Security Forum 2010 in Boston), los temas tratados son de total actualidad:

  • Seguridad en la nube
  • Clouds privadas vs públicas
  • Estándares de seguridad en la nube

A pesar de que las empresas y profesionales se mantienen escépticos sobre cómo los proveedores de servicios cloud administran la seguridad, los datos y privacidad de sus Clientes. A pesar de esto, según una encuesta realizada por Forrester, en torno al 45% de las empresas estadounidenses y europeas consideran que utilizar servicios cloud es una de sus prioridades durante el año 2011. Esta encuesta también indica que una de cada cuatro empresas ya utiliza alguna de las formas posibles de cloud computing.

A continuación os resumimos alguna de las preguntas realizadas durante la mesa redonda y el debate producido en torno a ellas.

¿La nube es necesariamente menos segura que tener mi propia infraestructura IT? ¿Puede ser más segura?

Los principales beneficios de la nube son el aumento en la eficiencia y productividad y la reducción de costes que supone para las empresas. Por lo tanto, son razones suficientes para realizar un análisis coste/beneficio en contraste con los posibles riesgos en seguridad que puede haber en los servicios cloud.

Pero hablando de seguridad, ¿qué es más seguro? ¿Qué información sensible esté en dispositivos USB o portátiles o en un proveedor cloud que disponga de una infraestructura securizada?

Por lo tanto, antes de decidirse por un proveedor cloud deberemos evaluar:

  • Si dispone de algún tipo de certificación que pruebe la madurez de su seguridad. Un proveedor cloud serio conoce que la seguridad es una de las principales barreras a la hora de adoptar servicios cloud. Es por ello que muchos de estos proveedores adopten estándares de seguridad como SAS 70 Type II, ISO 270001 o FISMA.
  • Si tiene un departamento de seguridad lo suficientemente grande y competente para garantizar la seguridad de tus datos.

¿Cuáles son las preocupaciones en cuanto a seguridad más significativas?

Aunque los proveedores de servicios cloud adopten estándares de seguridad o realicen mejoras para asegurar su infraestructura, según Forrester los usuarios todavía tienen preocupaciones en relación a:

  • Aunque muchos proveedores ofrecen transferencia de datos segura encriptada, por ejemplo a través de HTTPS, no son tantos los que almacenan los datos de forma encriptada en sus cabinas de almacenamiento o durante el procesamiento de datos. Por lo tanto, se necesitan proveedores que sean capaces de asegurar el ciclo completo de tratamiento de sus datos. En este sentido, la madurez todavía es baja.
  • Mantenimiento de identidad y control de acceso en un entorno que incluya múltiple servicios cloud, con diferentes estándares y proveedores de servicios cloud.

¿Cómo valoramos un proveedor cloud?

Como decíamos antes, a la hora de evaluar un proveedor cloud, que disponga de algún tipo de certificación en seguridad es importante. De algún modo, te está diciendo que el proveedor tiene los procesos y controles esenciales para mantener la seguridad de tus datos. Sin embargo, estas certificaciones no dejan de ser algo estándar y no fueron desarrolladas específicamente para servicios en la nube.

Por lo tanto, necesitarás tu propia lista de requerimientos en seguridad. Se puede comenzar con los requerimientos en seguridad y riesgos ya conocidos en la infraestructura IT local de la empresa y ajustarlos en función del servicio prestado en la nube.

Forrester ha creado una lista de requerimientos a tener en cuenta a la hora de evaluar un servicio cloud:

  • El tipo de servicio en la nube. Como sabemos, existen muchos tipos de servicios en la nube: SaaS, PaaS o IaaS. Cada uno de ellos con diferentes requerimientos en seguridad.
  • La criticidad de los datos. Los requerimientos cambiarán en función de la naturaleza de los datos. Si los datos son altamente sensibles necesitaras altos requerimientos en privacidad y seguridad. En este caso tu proveedor de cloud debe ofrecer un control específico sobre los datos, por ejemplo encriptación de los datos en el almacenamiento de los mismos.
  • La ubicación del servicio. Aunque tus datos estén disponibles desde cualquier lugar del mundo, el país donde opera tu proveedor de servicios cloud es importante. Por ejemplo si es un proveedor europeo o japonés, con leyes restrictivas en relación a la protección de datos, debes asegurarte que no se violan dichas leyes que reestringen el movimiento de datos fuera de sus fronteras.
  • Disponer de algún tipo de acuerdo de nivel de servicio (SLA). En el caso de incidencias, en función de la criticidad de disponer de la aplicación o datos, una pérdida de servicio puede suponer pérdidas para la empresa. En ese caso puede ser fundamental que el proveedor compense de algún modo los daños causados.

¿Se está trabajando en la elaboración de estándares de seguridad en servicios cloud?

Actualmente existen más de 78 grupos trabajando en estándares relacionados con servicios en la nube, y entre ellos, más de 48 están relacionados con la seguridad. Por ejemplo, la SNIA (Storage Network Industry Association) está trabajando en estándares relacionados con la seguridad de los datos y gestión del almacenamiento. Por otro lado, NIST (National Institute of Standars and Technology) tiene un grupo de trabajo y publicaciones emitidas sobre la nube.

Según Forrester, CSA (Cloud Security Alliance) es la más fiable ya que tiene un punto de vista más integral de la seguridad en la nube. Además en CSA participan usuarios y proveedores de servicios cloud. De todos modos, como en otros ámbitos, no se espera que haya un único estándar para la seguridad en la nube. Es imposible definir un único estándar que se adapte a la gran variedad de servicios disponibles.

 

Share

Bienvenido a Virtualizamos

Virtualizamos es un proyecto de la empresa nerion que nace con el objetivo de convertirse en un portal de referencia en el mundo de la virtualización y el cloud computing.
Suscripción a Virtualizamos
Entradas antiguas por mes
Twitter
nerion - Registro Dominios, Hosting y Housing Profesional