Transcript
CONCEPTOS BÁSICOS DE LA NUBE
La computación en la nube es un modelo para la prestación y consumo de servicios de TI. Ha ganado aceptación
considerable como manera eficaz de comprar y utilizar servicios de TI con un costo predecible.
Servicios en la nube son una alternativa para no poseer y operar algunos de sus servicios de TI. Hay varias nubes
disponibles, ofreciendo diferentes tipos de servicios. Los modelos de computación en la nube tienen cuatro categorías:
Nubes públicas son típicamente servicios por internet que permiten acceso de usuarios bajo demanda o a través de utilidad
a la computación, almacenamiento y aplicaciones de software. Las aplicaciones quedan hospedadas de forma segura en
Data Centers remotos, en lugar de quedar en el local. Muchas organizaciones pueden utilizar las mismas aplicaciones de
base, que, al ser personalizadas en el punto de entrega, protegen los datos de aplicación, que permanecen privados.
Algunos proveedores de servicios en la nube ofrecen acceso a servicios de nube públicos a través de conexiones privadas
seguras, en lugar de internet, proporcionándole así un nivel mejor de servicio a sus clientes de negocio.
Nubes privadas son servicios dedicados (no son compartidos como los servicios de nube públicos) que pueden estar en
Data Centers de organizaciones, o pueden ser recurso y espacio dedicado dentro de un Data Centers de proveedor de
nube. Nubes privadas significan virtualización y la eficiencia de la automatización de servicio, pero para una organización de
cliente específica.
Nubes híbridas ofrecen una combinación de algunos o todos los atributos de nubes públicas, privadas y de comunidad,
dando más flexibilidad a las organizaciones que buscan una recuperación de desastres mejorada, acceso a recursos por
períodos más cortos de tiempo para aplicaciones que experimentan estallidos estacionales, o para servicios de no
producción, como Test y Desarrollo.
El siguiente glosario de términos le enseñará más sobre computación en la nube y lo ayudará a definir la computación en la
nube con una terminología fácil de entender.
Aplicaciones en la nube: Aplicaciones de software que no están instaladas en máquinas locales, pero están disponibles a
través de un servicio en la nube.
Almacenamiento en la nube: Un servicio que le permite a las organizaciones guardar datos transfiriéndolos a una instalación
fuera del sitio.
IaaS: “Infrastructure as a Service”, Infraestructura como servicio. Servicios de computación en la nube que permiten que los
clientes compren recursos como servidores, almacenamiento, software, espacio de Data Centers y equipo de red en forma
de servicio, en lugar de comprarlos en forma de compra de capital.
PaaS: “Platform as a Service”, Plataforma como servicio. Un acuerdo de servicios a través del que las organizaciones
compran una plataforma de computación (sistema operativo y servicios) como servicio.
SaaS: “Software as a Service”, Software como servicio – la entrega de aplicaciones basadas en software y servicios
hospedados en la nube.
Migración de servicio: El proceso de pasar de un servicio en la nube o proveedor a otro. Dependencia de proveedor:
Dependencia de un proveedor de nube específico, tal vez porque la falta de estándares comunes y tecnologías hacen que
sea difícil migrar a un nuevo proveedor.
Ya sea que esté pensando en implementar la nube para usted o alguien más, contáctenos para obtener más informaciones
Computación en la Nube: Privacidad, Ventajas y Desventajas
En el modelo tradicional de implementación de Tecnologías de Información (TI), las organizaciones destinan
recursos materiales, humanos y tecnológicos, los cuales se agrupan en un área encargada de solucionar los
problemas relacionados con la infraestructura informática y el desarrollo de aplicaciones para la
organización.
�La mayoría de dichas áreas, se ven obligadas a dedicar una buena parte de su tiempo en las tareas de
implementar, configurar, dar mantenimiento y actualizar proyectos relacionados con la infraestructura de su
organización, lo cual, normalmente no supone un valor añadido en el balance final de la producción de la
misma.
Por otro lado, se observa que la distribución de servicios tales como: la energía eléctrica, el agua potable o la
telefonía; dejan al proveedor la total responsabilidad de generar, organizar y administrar todo lo necesario
para que el usuario final reciba lo acordado, pagando éste únicamente por el uso que hace de los mismos,
mientras que el proveedor se encarga de precisar los mecanismos por medio de los cuales determina el
consumo por el que se genera el cobro.
De esta manera surge una pregunta interesante: ¿por qué no implementar servicios o recursos de internet
bajo un esquema similar al descrito, donde el proveedor proporcione lo requerido y el usuario pague
únicamente por el uso que hace?
Si esto ocurriera, el usuario no tendría por qué preocuparse por adquirir equipos de cómputo y su respectivo
mantenimiento, actualizar las aplicaciones o sistema operativo, pues sería responsabilidad del proveedor.
Es por este motivo, que las organizaciones están dirigiendo sus miradas hacia esta tecnología conocida como
cómputo en la nube (cloud computig), la cual es capaz de minimizar el tiempo empleado en actividades de
menor valor y permitir al personal que labora en áreas de tecnologías de información, centrar su atención en
actividades estratégicas que tienen un impacto real en los procesos de negocio de la organización.
El uso de este concepto se está extendiendo con una velocidad considerable, dando como resultado un
incremento en el número de empresas que proporcionan servicios a través de esta tecnología, así como de
organizaciones que están pensando seriamente en la adopción del cómputo en la nube como una alternativa
totalmente viable.
“El cómputo en la nube es un paradigma que permite ofrecer servicios de cómputo a través de internet, en
este contexto la nube es una metáfora de internet”
Los tipos de servicios que pueden ser proporcionados a través de la nube son extensos. De acuerdo con este
modelo, el cliente paga a un proveedor por un servicio o por el uso de un recurso determinado (memoria,
almacenamiento, procesamiento, software, bases de datos, etc.) y éste le proporciona dicho servicio a través
de internet.
La comercialización y estandarización de tecnologías; la virtualización y el crecimiento de arquitecturas de
software orientadas al servicio y el aumento en la confiabilidad de las soluciones empresariales de internet;
son las bases sobre las que el cómputo en la nube ha logrado crecer.
Estas tres tendencias, de acuerdo con Christy Pettey, analista de Gartner Daryl Plummer, en su
artículo Gartner Says Cloud Computing Will Be As Influential As E-business, constituyen una discontinuidad
que creará una nueva forma de relación entre aquellos que utilizan servicios de TI y quienes los ofrecen.
Esencialmente esto significará que los usuarios serán capaces de centrar su atención en lo que el servicio
proporciona en lugar de preocuparse en cómo se implementa o donde se aloja.
Ventajas
Costos. Podría ser la ventaja más atractiva que presenta el cómputo en la nube, y si no lo es, al menos es la
más evidente de todas las que ofrece esta tecnología. Al dejar la responsabilidad de la implementación de la
infraestructura al proveedor, el cliente no tiene que preocuparse por comprar equipos de cómputo, capacitar
personal para la configuración y mantenimiento de éstos, y en algunos casos, por el desarrollo del software.
Además el usuario de estos servicios únicamente paga por los recursos que utiliza, permitiéndole diseñar un
plan de pago normalmente a partir del tiempo en que éste se utiliza (memoria, procesamiento,
almacenamiento).
Competitividad. Al no tener que adquirir equipos costosos, las pequeñas empresas pueden tener acceso a
las más nuevas tecnologías a precios a su alcance pagando únicamente por consumo. De este modo las
organizaciones de cualquier tipo podrían competir en igualdad de condiciones en áreas de TI con empresas
de cualquier tamaño. La ventaja competitiva no está en aquel que tiene los recursos de cómputo sino en
quien los emplea mejor.
Disponibilidad. El proveedor está obligado a garantizar que el servicio siempre esté disponible para el
cliente. En este sentido, la virtualización juega un papel fundamental, ya que el proveedor puede hacer uso
de esta tecnología para diseñar una infraestructura redundante que le permita ofrecer un servicio constante
de acuerdo a las especificaciones del cliente.
Abstracción de la parte técnica. Como se mencionó al hablar de costos, el cómputo en la nube permite al
cliente la posibilidad de olvidarse de la implementación, configuración y mantenimiento de equipos;
transfiriendo esta responsabilidad al proveedor del servicio.
Acceso desde cualquier punto geográfico. El uso de las aplicaciones diseñadas sobre el paradigma del
cómputo en la nube puede ser accesible desde cualquier equipo de cómputo en el mundo que esté
conectado a Internet. El acceso normalmente se hace desde un navegador web, lo que permite a la
aplicación ser utilizada no únicamente desde una computadora de escritorio o una computadora portátil, sino
que va más allá, permitiendo al usuario hacer uso de la aplicación incluso desde dispositivos móviles como
smartphones.
Escalabilidad. El cliente no tiene que preocuparse por actualizar el equipo de cómputo sobre el que se está
corriendo la aplicación que utiliza, ni tampoco por la actualización de sistemas operativos o instalación de
parches de seguridad, ya que es obligación del proveedor del servicio realizar este tipo de actualizaciones.
Además, éstas son transparentes para el cliente, por lo que la aplicación debe de continuar disponible para el
usuario en todo momento aún cuando se esté realizando el proceso de actualización del lado del proveedor.
Las actualizaciones y nuevas funcionalidades son instaladas prácticamente de manera inmediata.
�Concentración de esfuerzos en los procesos de negocio. Como resultado de las ventajas antes
mencionadas, el cliente pude concentrar más recursos y esfuerzos hacia un aspecto más estratégico y
trascendente, que tenga un impacto directo sobre los procesos de negocio de la organización, transfiriendo al
proveedor la responsabilidad de la implementación, configuración y mantenimiento de la infraestructura
necesaria para que se ejecute la aplicación.
Desventajas
Privacidad. Es comprensible la percepción de inseguridad que genera una tecnología que pone la
información (sensible en muchos casos), en servidores fuera de la organización, dejando como responsable
de los datos al proveedor de servicio. El tema a tratar aquí, es el de la privacidad, ya que para muchos es
extremadamente difícil el confiar su información sensible a terceros y consideran que lo que propone el
cómputo en la nube pone en riesgo la información vital para los procesos de negocio.
Disponibilidad. Si bien es cierto que se incluyó a la disponibilidad previamente como una ventaja, ésta
queda como una responsabilidad que compete únicamente al proveedor del servicio, por lo que si su sistema
de redundancia falla y no logra mantener al servicio disponible para el usuario, éste no puede realizar
ninguna acción correctiva para restablecer el servicio. En tal caso, el cliente debería de esperar a que el
problema sea resuelto del lado del proveedor.
Falta de control sobre recursos. Al tener toda la infraestructura e incluso la aplicación corriendo sobre
servidores que se encuentran en la nube, es decir, del lado del proveedor, el cliente carece por completo de
control sobre los recursos e incluso sobre su información, una vez que ésta es subida a la nube.
Dependencia. En una solución basada en cómputo en la nube, el cliente se vuelve dependiente no sólo del
proveedor del servicio, sino también de su conexión a internet, debido a que el usuario debe estar
permanentemente conectado para poder alcanzar al sistema que se encuentra en la nube.
Integración. No en todos los entornos resulta fácil o práctica la integración de recursos disponibles a través
de infraestructuras de cómputo en la nube con sistemas desarrollados de una manera tradicional, por lo que
este aspecto debe ser tomado en cuenta por el cliente para ver qué tan viable resulta implementar una
solución basada en la nube dentro de su organización.
—–
El cómputo en la nube se puede dividir en tres niveles en función de los servicios que ofrecen los
proveedores. Desde el nivel más interno hasta el más externo se encuentran: Infraestructura como Servicio,
Plataforma como Servicio y Software como Servicio. A continuación se describen brevemente cada uno de
estos niveles:
Infraestructura como Servicio (IaaS – Infraestructure as a Service)
“La Infraestructura como un servicio es un modelo de aprovisionamiento, en el cual una organización coloca
‘fuera de ella’ el equipo usado para soportar operaciones, esto incluye el almacenamiento de la información,
el hardware, servidores y componentes de redes. El proveedor del servicio. En ocasiones la IaaS es referida
también como Hardware as a Service o HaaS”.
La ventaja más evidente de utilizar una IaaS, es la de transferir hacia el proveedor problemas relacionados
con la administración de equipos de cómputo. Otra ventaja atractiva es la reducción de costos, como ocurre
en general en las tecnologías asociadas al cómputo en la nube, al pagar únicamente por lo consumido.
Además las Infraestructuras como Servicio permiten escalabilidad prácticamente automática y transparente
para el consumidor, dejando la responsabilidad a los proveedores de los servicios.
Otras de sus características son: la conectividad a Internet que provee, los servicios basados en políticas y la
disposición de un escritorio virtual.
Plataforma como Servicio (PaaS – Platform as a Service)
La computación en la nube y su rápido crecimiento ha requerido “incluir plataformas para crear y ejecutar
aplicaciones personalizadas, a este concepto se le conoce como PaaS (o en español Plataforma como un
Servicio). Las aplicaciones PaaS también son conocidas como de sobredemanda basadas en Web o
soluciones SaaS”.
El proveedor, además de resolver problemas en la infraestructura de hardware, también se encarga del
software. El cliente que hace uso de este tipo de soluciones no necesita instalar, configurar ni dar
mantenimiento a sistemas operativos, bases de datos y servidores de aplicaciones ya que todo esto es
proporcionado bajo esta plataforma.
Una plataforma como servicio (PaaS) resuelve más problemas si se compara con una solución que sólo ofrece
una infraestructura como servicio (IaaS), ya que presenta muchas limitaciones relacionadas con el entorno
de ejecución. Entre éstas se encuentran el tipo de sistema, el lenguaje de programación (en algunos casos
las bibliotecas que éstos podrán utilizar), el manejador de bases de datos.
Empresas como Amazon.com, eBay, Google, iTunes y YouTube son algunas de las que emplean este modelo y
hacen posible accesar a nuevas capacidades y nuevos mercados a través del navegador Web, las PaaS
ofrecen un modelo más rápido y ventaja costo-beneficio para el desarrollo de aplicaciones y entrega”.
Software como Servicio (SaaS – Software as a Service)
“Es el más conocido de los niveles de cómputo en la nube. El SaaS es un modelo de distribución de software
que proporciona a los clientes el acceso a éste a través de la red (generalmente Internet). De esta forma,
ellos no tienen que preocuparse de la configuración, implementación o mantenimiento de las aplicaciones,
ya que todas estas labores se vuelven responsabilidad del proveedor. Las aplicaciones distribuidas a través
de un modelo de Software como Servicio pueden llegar a cualquier empresa sin importar su tamaño o
ubicación geográfica.”
Este modelo tiene como objetivo al cliente final que utiliza el software para cubrir procesos de su
organización. El Software como Servicio (SaaS) se puede describir como aquella aplicación consumida a
través de Internet, normalmente a través del navegador, cuyo pago está condicionado al uso de la misma y
�
donde la lógica de la aplicación así como los datos residen en la plataforma del proveedor. Ejemplos de SaaS
son Salesforce, Zoho, y Google App.
Privacidad de la Información en la Nube
Hablar de criterios e implicaciones de privacidad de la computación en nube, es tratar un tema un tanto
acotado y poco difundido, aunque muy usado, entre los usuarios de esta tecnología.
El vertiginoso intercambio de datos entre individuos y organizaciones en la actualidad es de gran volumen en
Internet. En los últimos años, se ha generalizado el uso de proveedores de tecnología que ofrecen sus
servicios desde la red.
El acceso a este tipo de servicios está muy arraigado entre los usuarios, basta mencionar servicios como
flickr, Amazon S3 o Salesforce. Los procesos basados en la nube son la mayor parte del mercado de los
servicios de este tipo, e incluye publicidad, comercio electrónico, recursos humanos y procesos de pago.
Una de las principales formas de generar confianza, entre proveedores y usuarios (clientes), es ponerse de
acuerdo sobre quién obtiene qué derechos, y quién asume responsabilidades de lo que pase con la
información en la nube.
La novedad es la misma de siempre: la preocupación; ya que muchos de los asuntos de privacidad en la
nube son objeto de constantes inquietudes acerca de:
La información dispuesta a través de servidores y aplicaciones externos.
La manera en cómo las personas y las organizaciones conforman su postura ante las políticas
aplicables, regulaciones estándar, contratos y políticas de intercambio.
La metodología con la que la información es puesta en la nube y cómo permanece en ella, así como
también la certidumbre de que al borrarla, realmente sea así.
Las palabras clave generadas para mostrar y acceder a la información para modificarla, copiarla u
otros usos.
Estas consideraciones deberían llevar a la difusión de mecanismos reguladores que orienten a los usuarios a
un empleo más definido de estos servicios, así como de las ventajas y desventajas que pueden encontrar en
las políticas de privacidad que los proveedores otorgan.
La introducción de criterios de privacidad es esencial para resolver las preocupaciones de los usuarios.
Algunas políticas de privacidad de estos sitios de almacenamiento son a la vez que explicitas, requirentes
para los usuarios. Un ejemplo se encuentra en la Declaración de derechos y responsabilidades de Facebook,
en la cual la empresa específica que la propiedad intelectual del contenido es del usuario, pero al aceptar las
condiciones, se le otorga a la empresa un permiso extensible de uso del contenido, mismo que se cancela
sólo con la desactivación o eliminación de la cuenta.
El correcto establecimiento de políticas de privacidad de la información en este tipo de servicios (sea SaaS,
PaaS, IaaS) evita que datos como: nombre, tarjeta de crédito, registros biométricos, etc., puedan ser usados
para distinguir o rastrear la identidad de un individuo; y éstos se utilicen para cometer fraudes, robos de
identidad, envío de correo no deseado, entre otros.
No obstante, falta preocupación de los proveedores respecto a las consecuencias de no tener control
adecuado sobre la privacidad de la información de sus clientes; un hecho concreto ocurre en la declaración
de políticas de Amazon o Facebook, en las que se aclara a los clientes que no se respalda la seguridad del
servicio, pues éste se ofrece tal cual y sin ningún tipo de garantía.
Los miedos de los usuarios están justificados, pues no existe una figura legal que establezca discernimientos
sobre cuándo una información puede hacerse pública, cuándo debe estar asegurada, o bien, cuándo es
robada.
Empresas como Microsoft han clamado por la instauración de una legislación específica para la seguridad de
la nube, aunque reconoce que “necesita hacer políticas de seguridad más transparentes, pero además el
gobierno de Estados Unidos debería introducir políticas específicas de protección de datos para el cómputo
en nube y reprimir con más eficacia a usuarios maliciosos que afecten a centros de datos.”
Del lado mexicano, el avance en cuanto a privacidad y protección de la información ha crecido lentamente,
no obstante el 5 de julio de este año se publicó en el Diario Oficial de la Federación la Ley Federal de
Protección de Datos Personales en Posesión de los Particulares, en la cual se preservan en esencia la
privacidad, confinación y autodeterminación de la información de las personas.
En esta ley se hace observación sobre el consentimiento, el cual se entiende como la “manifestación de la
voluntad del titular de los datos personales mediante la cual se efectúa el tratamiento de los mismos”.
El criterio de consentimiento aplicado a las políticas de uso de los servicios de cómputo en la nube podría
servir para dar contexto y referencia sobre lo que usuarios podrían exigir en caso de presentarse una
infiltración o violación a las sesiones privadas en este tipo de servicios, aunque debemos ser conscientes que
la amenaza siempre estará presente.
Entre los riesgos que más persisten bajo este panorama se pueden mencionar:
El uso permitido de información por parte del proveedor podría no estar claramente definida en los
términos del servicio o contrato, permitiendo al proveedor, por ejemplo,usarla para sus propósitos o venderla
a terceros. Por ejemplo la red social Hi5 específica que parte de la información personal del miembro es
revelada durante todo el año a terceros para propósitos publicitarios, y que si el usuario desea saber a quién
se proporcionó estos datos requiere solicitarla al administrador de la red.
El proveedor podría ser requerido para permitir a autoridades judiciales locales o extranjeras buscar
en la información resguarda por éste. Un caso
Copyright ©. Todos los derechos reservados. Prohibida su copia, distribución parcial o total sin la
autorización del titular de la obra. Reciente al respecto sucedió en el Reino Unido, en el cual un joven de 16
�
años fue arrestado por no proporcionar a las autoridades la contraseña de su equipo, pues se sospechaba
que él ejecutaba actividades ilícitas a través de la red.
La información almacenada por el proveedor podría verse comprometida, sin informar a las
autoridades competentes o a los usuarios afectados por el incidente.
El proveedor podría no tomar las medidas necesarias para evitar perder accidentalmente la
información
Que los proveedores no garanticen al usuario que su información no sea expuesta durante el
intercambio de datos con otros usuarios a través de estos servicios.
La viabilidad del proveedor. ¿Qué sucede con la información si el proveedor queda en banca rota?
Empresas como Facebook, indican en su declaración de políticas que si esto ocurriera la información sería
respaldada, se transferiría con el proveedor que adquiriera la marca y se respetarían las políticas de
privacidad convenidas cuando se creó la cuenta.
La eliminación completa de la información del usuario en la infraestructura de nube existe dentro
del decálogo de políticas, por ejemplo en la de Google Inc. se establece que “debido a la forma en que
Google mantiene ciertos servicios, una vez que se haya eliminado la información, es posible que las copias
residuales tarden algún tiempo en eliminarse de los servidores activos y que permanezcan en los sistemas
de copia de seguridad”.
El proveedor y el usuario deberían cumplir con los siguientes lineamientos para procurar la privacidad de la
información:
Proveedor:
Garantizar al usuario proporcionar toda divulgación en relación con las prácticas y procedimientos
de seguridad que se incluyen en los Niveles de Servicio.
Divulgar al usuario la localización geográfica de la información.
Informar al usuario cuando el proveedor esté obligado a entregar su información a una autoridad
legal.
Contar en los términos del servicio con una cláusula que garantice que se niega el acceso a los
datos como política general.
Aplicar los requisitos de acceso a la información impuestas por el usuario.
No podrá reclamar la propiedad de cualquier información agregada, creada, generada, modificada,
almacenada, o en cualquier otra forma asociada con la propiedad intelectual del usuario, esfuerzo de
ingeniería o creatividad de medios de comunicación.
Especificar qué puede y no hacer el proveedor con la información del usuario.
Proporcionar al menos un mecanismo de acceso, por ejemplo una API, para la manipulación de la
información del usuario.
Garantizar que se realicen copias de seguridad de la información del usuario y no mezclarla con la
de otros usuarios.
Avalar que se utiliza un cifrado robusto de almacenamiento de la información, el cual imposibilite el
acceso a la misma cuando ésta sea reciclada, enajenada o accedida por cualquier medio distinto a las
solicitudes, procesos o entidades autorizadas.
Destruir la información, cuando el usuario lo solicite, en todas las localizaciones físicas y lógicas.
Entregar reportes de auditorías, las cuales especifiquen que sus planes de continuidad del negocio
funcionan.
Explicar cómo monitorea y controla el acceso a la información realizado por sus empleados.
Usuario:
Comprender cómo se mantiene la privacidad y hacer evidente el compromiso de ésta en pro del
cliente.
Considerar leyes y directivas del país donde la información se ubica físicamente.
Realizar una evaluación de la información y sistemas propuestos a trasladar hacía la nube.
Conducir, si se cuenta con los conocimientos necesarios, una evaluación del impacto de la
privacidad para identificar y mitigar los riesgos derivados de la privacidad de la información.
Determinar quién debería tener acceso a la información, cuáles son sus derechos y privilegios y bajo
qué condiciones se otorga el acceso.
Generar una política de denegación por defecto.
Definir e identificar la clasificación de la información.
Revelar información cuando sea requerida por una autoridad legal.
Cifrar la información almacenada en la infraestructura en nube y la que está en tránsito.
Comprender los mecanismos de compartición para aislar a los distintos usuarios y su
correspondiente información.
Comprender los procesos de retiro de almacenamiento por del proveedor.
Desarrollar planes de retención y destrucción de la información.
La computación en nube puede representar una mejora en la privacidad de información de aplicaciones no
críticas. Sin embargo la transparencia es crucial, los usuarios deben poder evaluar y comparar las prácticas
de seguridad de cada proveedor. Actualmente, la migración de información crítica continúa siendo muy
riesgosa (incluso en nubes privadas).
�Desde esta perspectiva, las preocupaciones por la privacidad continuarán a la alza, ya que la información, en
distintos formatos, procesada y almacenada en la nube, usualmente contiene datos personales o información
sensible de las organizaciones, los cuales siempre resultan atractivos para los delincuentes cibernéticos.
�