'La seguridad es prioritaria siempre, por encima de cualquier otra cosa' (AWS)

  • Reportajes
Carlos Sanchiz, AWS

Un "datacenter tradicional" localizado en Alcobendas fue la primera experiencia que Carlos Sanchiz, Manager, Solutions Architecture de Amazon Web Services (AWS), tuvo en el mundo IT. Desde entonces han pasado veinte años y ahora se encuentra en la cresta de la ola, en uno de los proveedores de cloud pública con mayor cuota de mercado.

Dice Gartner que el mercado de servicios de cloud pública crecerá un 17% en 2020 hasta los 266.4000 millones de dólares, frente a los 227.800 millones de 2019. Asegura también la consultora que la adopción del cloud ya es ‘mainstream’, y que el software como servicio (SaaS) seguirá siendo el segmento de mercado más grande, hasta los 116.000 millones el próximo año, seguido de la infraestructura como servicio (IaaS), que alcanzará los 50.000 millones en 2020.

Este contenido fue publicado en el número de Febrero de la revista IT Digital Security, disponible desde este enlace.

Dice Carlos Sanchiz, Manager Solutions Architecture de AWS, que durante los últimos 14 años AWS ha dedicado “mucha inversión, mucho tiempo y muchos recursos a construir servicios y aplicaciones para permitir a cualquier tipo de cliente cumplir cualquier requisito, independientemente de la industria, independientemente del sector”. Lo dice asegurando además que es muy difícil que una empresa por sí sola se pueda permitir una inversión similar en temas de seguridad. Porque de eso hablamos con el responsable de arquitectura de soluciones de AWS.

Y lo primero que surge en la conversación es la visibilidad. Porque en aquellos lejanos primeros pasos de Sanchiz en aquel centro de datos “uno de los problemas principales que teníamos en la infraestructura es que era muy difícil saber qué había allí. Algo tan sencillo como sacar un inventariado de toda tu infraestructura era verdaderamente difícil”. El segundo concepto es también de vital importancia, un aspecto cada vez más necesario: la automatización. Porque recuerda Carlos Sanchiz que “había un montón de procesos manuales y una carencia general a capacidades de automatización”. Que sí, que había herramientas que intentaban mitigar de alguna manera esa automatización, “pero eran muy caras, eran difíciles de gestionar, difíciles de aprender, y al final eran inutilizables”. La situación generó el temido ‘No’ de los departamentos de TI, ralentizando la innovación y generando lo que poco después de bautizaría como Shadow IT.

Llegan los servicios cloud

Estamos en la época en que la tecnología empieza a avanzar más rápido de lo que muchas empresas pueden adoptarla de una manera segura, y eso ralentizaba su innovación “porque al final la mayoría de las empresas lo que no quieren es una brecha de seguridad en la infraestructura, y la cultura de la compañía se convertía en la cultura del No”.

Asegura Carlos Sanchiz que con AWS esto cambia radicalmente porque “nuestra infraestructura está construida con los niveles más altos de seguridad, y al mismo tiempo con la infraestructura de AWS tienes unos altísimos niveles de automatización que limitan de manera dramática todo lo que es el error humano”. Con AWS también se tienen 22 regiones en todo el mundo con 69 zonas de disponibilidad y el tradicional sistema de seguridad compartida según la cual la responsabilidad del cliente empieza “cuando ellos ya tienen que utilizar sus aplicaciones, lo que construyen sobre la nube, y dependiendo de los servicios que utilicen en AWS tienen una abstracción mayor o menor desde el punto de vista de la seguridad”. La seguridad se trata desde la concepción misma del servicio, de forma transparente para el usuario, con extremo cuidado en parchear las vulnerabilidades al minuto y sin afectar al cliente en su operativa normal.

Explica también Sanchiz que hay servicios en los que la compañía asumen más responsabilidad en lo que a seguridad se refiere. Es el caso de Amazon S3, un servicio de almacenamiento que permite desplegar todo tipo de proyectos “en el que el cliente no tiene que preocuparse de ningún tipo de servidor, de ningún tipo de detalle de parcheo ni de seguridad más allá de lo que es gestionar el tipo de acceso que quiere dar a los usuarios, todo lo que es el servicio por detrás; de poner sus archivos y gestionar con una serie de políticas quién tiene acceso, en qué circunstancias y con granularidad tan amplia como, por ejemplo, permitir que sólo a los que lleguen desde una determinada IP y en una franja horaria puede acceder a este tipo de ficheros”.

Innovación

Asegura también Carlos Sanchiz que “está en nuestro ADN ser innovadores”, tanto como para que el Marketplace de AWS incluya más de 3.000 ofertas de software que los clientes pueden desplegar con un solo click. Sólo en 2015 se crearon 722 nuevas características y servicios y el ritmo no ha parado. Dice Carlos Sanchiz que si bien durante los últimos 14 años se ha ido innovando en general en toda la plataforma de AWS, “en la parte de seguridad seguimos sacando nuevos servicios y nuevas funcionalidades” y explica que la seguridad para Amazon es Job Zero, lo que significa que siempre va a ser prioritaria, por encima de cualquier otra cosa.

Y eso significa, según el directivo de AWS que cuando una empresa se mueve al cloud, independientemente del sector al que pertenezca o la capacidad financiera que tenga, “ya se estás beneficiando de un ecosistema que es seguro de por sí, porque nosotros tenemos que cumplir los más altos y exigentes niveles de seguridad de todas las industrias del mundo”, sin olvidar las capacidades de visibilidad, automatización y también integración. Respecto a esto último dice también Sanchiz que AWS es una plataforma altamente integrada, lo que permite beneficiarse de inteligencia artificial, análisis de datos, etcétera, para poder sacar información de lo que está ocurriendo tu plataforma y hacer análisis y detección de amenazas o de posibles fugas de información.

¿Qué tipo de servicios de seguridad se están contratando? Dice Carlos Sanchiz que no desglosan por servicio, “porque además muchos de ellos son directamente gratis, están incluidos en el precio de lo que se paga por el uso de la plataforma”, pero menciona alguno de los que más se utilizan, como AWS Identity Access Manager, un IAM que permite controlar con mucha granularidad quién accede a qué  y con qué permisos; Amazon Cognito, también para controlar las identidades pero de usuarios finales, ideal para que los desarrolladores sean capaces de controlar su base de clientes y que escala conforme a la demanda; AWS GuardDuty, un SIEM que agrega datos de todo el tráfico que fluye por tu entorno privado en la nube, en los DNS, en torno a las API y que se compara con un modelo gestionado por AWS basado en deep learning para detectar alertas de seguridad.

Con respecto a la protección de la infraestructura, destaca Carlos Sanchiz AWS Virtual Private Cloud (VPC), una manera de construir tu entorno privado virtual en la nube que puede convertirse en una extensión de tu entorno tradicional, donde el cliente tiene el control absolutamente de todo, desde los rangos de IP, el enrutamiento entre las diferentes redes, los firewalls, etc. AWS Shield, por ejemplo es otro servicio, dedicado a proteger contra ataques de denegación de servicios (DDoS).

Se pueden acceder a servicios de cifrado, incluso por hardware, y no hay que olvidar los relacionados con la respuesta ante incidentes. “Con AWS Config Rules y AWS Lambda hemos construido una forma de automatizar todo lo que va ocurriendo en tu infraestructura, y en base a reglas que tú puedas definir. Si alguien levanta una máquina y tiene una configuración equivocada de los firewalls, lo paramos o modificamos la configuración del firewall, o mandamos una notificación. AWS Lambda está teniendo un éxito fantástico, lo que pasa es que está orientado a una escala masiva”, añade Sanchiz.

El futuro pasa por más y más servicios

De cara al futuro, ¿hacia dónde se va? “Nosotros vamos a seguir construyendo más servicios y funcionalidades en torno a la seguridad” responde categórico Carlos Sanchiz, añadiendo que es un trabajo que no acaba nunca y que es algo que piden los clientes. “Llevamos décadas trabajando con información sensible, tenemos un amplio expertise y un equipo de seguridad dedicado a este tipo de trabajo y nos sentimos cómodos. Vamos a seguir innovando desde el punto de vista de la seguridad, intentando hacerle la vida más fácil a nuestros clientes y usuarios”.

Al respeto recordar que en el último re:Invent, los eventos globales de AWS, se anunciaron tres nuevos servicios de seguridad: Amazon Detective, AWS IAM Access Analyzer y AWS Nitro Enclaves. El primero facilita a los clientes realizar investigaciones más rápidas y más eficientes sobre problemas de seguridad en sus cargas de trabajo; el segundo busca simplificar que los equipos de seguridad y los administradores auditen las políticas de recursos para el acceso no deseado, y Nitro Enclaves es una nueva capacidad de Amazon EC2 que facilita a los clientes el procesamiento de datos altamente confidenciales al dividir los recursos informáticos y de memoria dentro de una instancia para crear un entorno informático aislado.

Rosalía Arroyo