La Cloud Security Alliance (CSA) está impulsando una innovadora arquitectura de seguridad basada en encriptamiento para software-defined networks (SDN) y ambientes de nube que toma algo de su inspiración de las redes de alta seguridad usadas por al Departamento de Defensa de Estados Unidos y las agencias de inteligencia.
De nombre “Software Defined Perimeter”, el plan de arquitectura de la CSA usa autenticación y encriptamiento tipo VPN que permite que un proceso de seguridad pueda determinar de forma estricta, la disponibilidad de los servicios y las aplicaciones en un ambiente de nube. En el CSA Congress de esta semana, algunos de los autores técnicos de la arquitectura propuesta conocida como “Software Defined Perimeter” hablaron acerca del motivo por el que la CSA, cuya misión es establecer mejores prácticas y estándares para la seguridad en la nube, está respaldando con energía el concepto y lo que se espera de él en el futuro.
El surgimiento de servicios de nube ha acelerado la desaparición de los tradicionales perímetros de red, y se necesita adoptar nuevos métodos para proteger los datos que se comparten con los centros de datos de nube, redes corporativas y dispositivos móviles, señalaron.
“Parte de esta iniciativa es obtener una forma fácilmente ajustable para ajustar el perímetro”, indicó Bob Flores, ex chief technology officer de la Central Intelligence Agency (CIA), una de las organizaciones que contribuyen con el documento de la arquitectura del “Software Defined Perimeter”. La idea que se está proponiendo cambiaría la forma en que las personas, aplicaciones y flujos de datos se pueden autenticar mediante el requerimiento de un proceso de identificación antes de otorgar el acceso a la red.
El “Software Defined Perimeter” hace uso de tecnologías como “mutual TLS” que se basa en el intercambio de certificados digitales y encriptamiento para lograr una identificación muy fuerte, explicó Jamaid Islam, CTO de Vidder, empresa que también contribuye con el documento. Entre otros coautores se tiene a Alan Boehme, chief of enterprise architecture and emerging technologies de Coca-Cola Company y Jeff Schweitzer, chief innovation architect de Verizon.
Islam afirmó que, idealmente, las ideas de la CSA para una fuerte seguridad de nube, que vienen directamente de las redes de alta seguridad del Departamento de Defensa, serían incorporadas en los modernos productos SDN (Software-Defined Network) que están surgiendo en el mercado. La ventaja del plan de la CSA es que puede lograr lo que se conoce como una red “oscura” que es difícil de ver en Internet y por tanto mucho más difícil de atacar.
“El mundo del Departamento de Defensa es oscuro”, dijo Flores durante su exposición acerca de la nueva arquitectura. “Es extremadamente difícil atacar algo que no sabes que existe, si no ven la superficie de la red”.
El concepto de la CSA se basa en estructuras de administración de llaves que deben usarse, reconoce Islam. El ejecutivo afirmó que es posible que los proveedores de servicio de nube puedan tener un papel aquí, ya que un número creciente de ellos están comenzando a poner a disposición de sus clientes varios Hardware Security Modules (HSM) como servicio. Pero los clientes empresariales pueden mantener sus propios procesos de administración de llaves in house. Islam afirmó que su compañía ha incorporado este estilo de seguridad de redes de alta seguridad en compañías del sector privado, aunque no mencionó nombres.
Al igual que con todas las nuevas ideas que se ofrecen para una adopción a gran escala, existe la pregunta de cuán lejos llegará la industria de la alta tecnología y sus clientes en cuanto a su adopción real.
Flores afirmó que existe una gran empresa que ya está haciendo uso en producción de exactamente lo que la CSA está proponiendo con el “Software Defined Perimeter”, y en la RSA Conference del próximo año habrá noticias sobre el soporte de la industria y más. La CSA planea poner a disposición el “Software Defined Perimeter” como código abierto para que el público también lo adopte.
“Creemos que esto puede cambiar el juego”, indicó Flores. “Lo correcto es poner esto en la comunidad de código abierto para que la computación en la nube se convierta en una de esas cosas por las cuales uno no tenga que preocuparse”.
Ellen Messmer, Network World (EE.UU.)