Únase a mí para explorar la criptografía en la nube, sus tipos y la implementación de Google Cloud.
Un subconjunto de IaaS, la computación en la nube está bastante por delante de la fase de moda. Es una fuerza dominante con individuos, empresas y gobiernos que utilizan servicios en la nube para acortar las molestias de una pila de tecnología en las instalaciones.
La nube es el epítome de la comodidad, la economía y la escalabilidad.
En pocas palabras, la computación en la nube es cuando toma prestados recursos informáticos como almacenamiento, RAM, CPU, etc., a través de Internet sin alojar físicamente nada.
Un ejemplo de la vida cotidiana es Google Drive o Yahoo Mail. Confiamos en estas empresas con datos, a veces información confidencial personal o relacionada con el negocio.
Generalmente, un usuario promedio no se preocupa por la privacidad o la seguridad de la computación en la nube. Pero cualquiera que esté decentemente informado sobre la historia de la vigilancia o los sofisticados ataques cibernéticos actuales debe levantar la guardia o al menos estar informado sobre la situación en cuestión.
Tabla de contenido
¿Qué es la criptografía en la nube?
La criptografía en la nube aborda esa sensación de inseguridad al cifrar los datos almacenados en la nube para evitar el acceso no autorizado.
El cifrado es una técnica de uso de un cifrado (algoritmo) para convertir información estándar en una versión codificada. En ese caso, el atacante no entenderá los detalles, incluso si quedan expuestos.
Hay varios tipos de cifrados según el caso de uso. Por lo tanto, es importante utilizar un cifrado de calidad para el cifrado de datos en la nube.
Por ejemplo, puedes entender el siguiente texto:
Iggmhnctg rtqfwegu jkij-swcnkva vgejpqnqia & hkpcpeg ctvkengu, ocmgu vqqnu, cpf CRKu vq jgnr dwukpguugu cpf rgqrng itqy.
¡No!
Puede ser un rompecabezas para un cerebro humano, pero use cualquier decodificador Caesar y lo desarmarán en segundos:
Incluso alguien versado en el cifrado César puede ver que todas las letras en el texto cifrado están dos alfabetos por delante de sus contrapartes de texto sin formato.
Entonces, el punto es usar un cifrado fuerte, como el de AES-256.
¿Cómo funciona la criptografía en la nube?
Las últimas líneas de la sección anterior podrían haber dado la impresión de que elegirá un cifrado para cifrar los datos.
Técnicamente, puede funcionar así. Pero normalmente, el proveedor de servicios en la nube habilita el cifrado nativo, o utiliza el cifrado como servicio de un tercero.
Dividiremos esto en dos categorías y veremos la implementación.
#1. Cifrado en la plataforma Cloud
Este es el método más simple en el que el proveedor de servicios en la nube de renombre se encarga del cifrado.
Idealmente, esto se aplica a:
Los datos en reposo
Esto es cuando los datos se almacenan en forma encriptada antes de transferirlos a los contenedores de almacenamiento o después.
Dado que la criptografía en la nube es un enfoque novedoso, no existe una forma predefinida de hacer las cosas. Hay muchas publicaciones de investigación que prueban varios métodos, pero lo crucial es la aplicación en la vida real.
Entonces, ¿cómo una empresa de infraestructura en la nube de primer nivel como Google Cloud protege los datos en reposo?
según registros de Google, dividen los datos en pequeños grupos de unos pocos gigabytes repartidos en sus contenedores de almacenamiento en diferentes máquinas. Cualquier contenedor específico puede contener datos del mismo o de diferentes usuarios.
Además, cada paquete se cifra individualmente, incluso si se encuentran en el mismo contenedor y pertenecen a un solo usuario. Esto significa que si la clave de cifrado relacionada con un paquete se ve comprometida, otros archivos permanecerán seguros.
Fuente: Nube de Google
Además, la clave de cifrado se cambia con cada actualización de datos.
Los datos en este nivel de almacenamiento están encriptados con AES-256, excepto algunos discos persistentes creados antes de 2015 con encriptación AES-128 bit.
Así que esta es la primera capa de cifrado, a nivel de paquete individual.
A continuación, las unidades de disco duro (HDD) o las unidades de estado sólido (SSD) que alojan estos fragmentos de datos se cifran con otra capa de cifrado AES-256 bit, y algunos HHD heredados todavía usan AES-128. Tenga en cuenta que las claves de cifrado a nivel de dispositivo son diferentes del cifrado a nivel de almacenamiento.
Ahora todas estas claves de cifrado de datos (DEK) se cifran aún más con claves de cifrado de claves (KEK), que luego son administradas de forma centralizada por el Servicio de administración de claves (KMS) de Google. En particular, todas las KEK utilizan el cifrado AES-256/AES-128 bits y al menos una KEK está asociada con cada servicio en la nube de Google.
Estas KEK se rotan al menos una vez cada intervalo de 90 días utilizando la biblioteca criptográfica común de Google.
Cada KEK se respalda, se rastrea cada vez que alguien lo usa y solo el personal autorizado puede acceder a él.
A continuación, todas las KEK se cifran nuevamente con el cifrado AES-256 bit generando la clave maestra KMS almacenada en otra instalación de administración de claves, llamada Root KMS, que almacena un puñado de dichas claves.
Este KMS raíz se administra en máquinas dedicadas en cada centro de datos de Google Cloud.
Ahora, este KMS raíz está encriptado con AES-256, lo que crea una única clave maestra de KMS raíz almacenada en la infraestructura punto a punto.
Una instancia de Root KMS se ejecuta en cada distribuidor de claves maestras de Root KMS que contiene la clave en la memoria de acceso aleatorio.
Cada nueva instancia del distribuidor de claves maestras de root KMS es aprobada por instancias que ya se están ejecutando para evitar el juego sucio.
Además, para manejar la condición en la que todas las instancias del distribuidor deben iniciarse simultáneamente, la clave maestra raíz de KMS también se respalda en solo dos ubicaciones físicas.
Y finalmente, menos de 20 empleados de Google tienen acceso a estas ubicaciones altamente clasificadas.
Así es como Google practica la criptografía en la nube para los datos en reposo.
Pero si quiere tomar el asunto en sus propias manos, también puede administrar las claves usted mismo. Alternativamente, se puede agregar otra capa de cifrado sobre esto y autogestionar las claves. Sin embargo, uno debe recordar que perder estas claves también significa quedarse fuera de su propio proyecto web.
Aún así, no deberíamos esperar este nivel de detalle de todos los demás proveedores de nube. Como Google cobra una prima por sus servicios, puede beneficiarse de un proveedor diferente que cueste menos pero que se ajuste a su modelo de amenaza específico.
Datos en tránsito
Aquí es donde los datos viajan dentro del centro de datos del proveedor de la nube o fuera de sus límites, como cuando los carga desde su propia máquina.
Una vez más, no existe una forma estricta de proteger los datos en tránsito, por lo que veremos la implementación de la nube de Google.
El libro blanco a este respecto, cifrado en tránsitoestablece tres medidas para proteger los datos no estacionarios: autenticación, encriptación y control de integridad.
Dentro de su centro de datos, Google protege los datos en tránsito mediante la autenticación de punto final y la confirmación de integridad con cifrado opcional.
Si bien un usuario puede optar por medidas adicionales, Google confirma la seguridad de primer nivel en sus instalaciones con acceso extremadamente monitoreado otorgado a algunos de sus empleados.
Fuera de sus límites físicos, Google adopta una política diferencial para sus propios servicios en la nube (como Google Drive) y cualquier aplicación de cliente alojada en su nube (como cualquier sitio web que se ejecute en su motor de cómputo).
En el primer caso, todo el tráfico se dirige primero al punto de control conocido como Google Front End (GFE) utilizando Transport Layer Security (TLS). Posteriormente, el tráfico obtiene la mitigación de DDoS, el equilibrio de carga entre los servidores y finalmente se dirige hacia el servicio Google Cloud previsto.
Para el segundo caso, la responsabilidad de garantizar la seguridad de los datos en tránsito recae principalmente en el propietario de la infraestructura, a menos que no utilice otro servicio de Google (como su VPN en la nube) para la transferencia de datos.
En general, se adopta TLS para asegurarse de que los datos no hayan sido manipulados en el camino. Este es el mismo protocolo que se usa de forma predeterminada cuando se conecta a cualquier sitio web mediante HTTPS, simbolizado por un icono de candado en la barra de direcciones URL.
Si bien se usa comúnmente en todos los navegadores web, también puede aplicarlo a otras aplicaciones, como correo electrónico, llamadas de audio/video, mensajería instantánea, etc.
Sin embargo, para los estándares de cifrado más avanzados, existen redes privadas virtuales que nuevamente brindan múltiples capas de seguridad con cifrados de cifrado avanzados como AES-256.
Pero implementar la criptografía en la nube por su cuenta es difícil, lo que nos lleva a…
#2. Cifrado como servicio
Aquí es donde los protocolos de seguridad predeterminados en su plataforma en la nube son débiles o están ausentes para casos de uso específicos.
Obviamente, una de las mejores soluciones es supervisar todo usted mismo y garantizar la seguridad de los datos de nivel empresarial. Pero es más fácil decirlo que hacerlo y elimina el enfoque sencillo por el que alguien opta por la computación en la nube.
Eso nos deja usar el cifrado como servicio (EAAS) como CloudHesive. Similar al uso de la computación en la nube, esta vez, usted ‘toma prestado’ el cifrado y no la CPU, la RAM, el almacenamiento, etc.
Según el proveedor de EAAS, puede utilizar el cifrado de datos en reposo y en tránsito.
Ventajas y desventajas de la criptografía en la nube
La ventaja más pronunciada es la seguridad. Practicar la criptografía en la nube garantiza que los datos de sus usuarios se mantengan alejados de los ciberdelincuentes.
Si bien la criptografía en la nube no puede detener todos los ataques, se trata de hacer su parte y tener la justificación adecuada si las cosas salen mal.
En cuanto a las desventajas, la primera es el costo y el tiempo que necesita para actualizar el marco de seguridad existente. Además, hay poco que pueda ayudar si pierde el acceso a las claves de cifrado mientras se autogestiona.
Y dado que se trata de una tecnología incipiente, encontrar un EAAS probado con el tiempo tampoco es fácil.
En conclusión, la mejor apuesta es utilizar un proveedor de servicios en la nube de renombre y apostar por mecanismos criptográficos nativos.
Terminando
Esperamos que esto pueda darle una idea de la criptografía en la nube. En resumen, se trata de la seguridad de los datos relacionados con la nube, incluso cuando viaja al exterior.
La mayoría de las empresas de infraestructura en la nube mejor calificadas, como Google Cloud, Amazon Web Services, etc., tienen la seguridad adecuada para los casos de uso máximo. Aún así, no hay nada de malo en repasar la jerga técnica antes de alojar sus aplicaciones de misión crítica con cualquier persona.
PD: Consulte algunas soluciones de optimización de costos en la nube para AWS, Google Cloud, Azure, etc.