Riesgos del cloud computing

Las APIs pueden verse comprometidas
El proveedor de servicios en la nube o CSP, expone unas APIs para que los clientes puedan controlar los servicios en la nube. Como cabe de esperar, estas APIs pueden contar con vulnerabilidades que est谩n expuestas en internet, haci茅ndolas accesibles a posibles ataques.
Los hackers buscan posibles vulnerabilidades en las APIs de administraci贸n. De tener 茅xito, los activos de la organizaci贸n se ver谩n comprometidos.
Vulnerabilidades de tenencia m煤ltiple
La tenencia m煤ltiple consiste en que una 煤nica instancia de una aplicaci贸n sirva a varios usuarios u organizaciones separando la informaci贸n sensible entre ellos. Puede ocurrir un fallo en la aplicaci贸n que impida mantener la separaci贸n l贸gica de la informaci贸n. Este fallo puede ser aprovechado por los atacantes para obtener los datos de una organizaci贸n a trav茅s otra organizaci贸n diferente.
No existen casos registrados de ataques basados en esta vulnerabilidad, pero se han realizado pruebas de concepto.
Eliminaci贸n de datos incompletos
El cliente que contrata los servicios en la nube tiene un control reducido sobre la informaci贸n almacenada f铆sicamente. Es por ello que no le es posible verificar que la informaci贸n se ha eliminado correctamente. Adem谩s, los procedimientos de eliminaci贸n de informaci贸n pueden variar de un CSP a otro. La imposibilidad de comprobar la correcta eliminaci贸n de la informaci贸n es un riesgo a tener en cuenta, ya que podr铆a quedarse informaci贸n disponible para unos posibles atacantes.
Robo de credenciales
Si un hacker consigue robar las credenciales de un usuario, puede conseguir acceso a los activos de la organizaci贸n, incluso modificar los servicios con los que cuenta el usuario. Adem谩s, tambi茅n puede realizar ataques a otros usuarios del mismo CSP una vez obtenidas las credenciales.
Dificultad para cambiar de proveedor de servicios
Los formatos que no son est谩ndar de los CSP de datos, APIs, etc. pueden conllevar a que la migraci贸n a otro CSP diferente sea m谩s costosa de lo esperado o directamente no sea rentable.
Este problema se vuelve m谩s acuciante a medida que la organizaci贸n utiliza m谩s recursos del CSP. Cuanto m谩s uso se haga de herramientas propietarias o APIs espec铆ficas, m谩s complicada ser谩 la migraci贸n, ya que requerir谩 modificar m谩s implementaciones que se han hecho en la organizaci贸n.
P茅rdida de datos
Adem谩s de por ataques maliciosos, los datos pueden perderse debido a otros motivos: una cat谩strofe f铆sica (un terremoto o un incendio), la eliminaci贸n accidental de la informaci贸n etc. En las causas mencionadas anteriormente la responsabilidad recae en el CSP, pero el usuario tambi茅n puede tener parte de la responsabilidad en la p茅rdida, como por ejemplo cifrar los datos antes de subirlos y perder la contrase帽a.
Adem谩s, el CSP puede enga帽ar f谩cilmente al cliente respecto a los servicios que ofrece, por ejemplo, declarando que utiliza la geo replicaci贸n para evitar la p茅rdida de datos cuando decide no hacerlo para ahorrarse dinero.[1]
El servicios en la nube puede verse comprometido por empresas colaboradoras.
Los procedimientos y las medidas de seguridad de los CSP son tan importantes como las de sus empresas colaboradoras. Aunque cumplan con todas las normativas y cuenten con los procesos adecuados para asegurar la calidad del servicio y sin comprometer los activos del cliente, si alguna empresa con la que colaboran no lo hace, pueden ocurrir fallos de seguridad gracias a ellas. [2]
Riesgos de las soluciones on-premise
Escalabilidad
Las soluciones on premise siempre se pueden escalar, el foco radica en si es rentable en cuanto a tiempo y dinero respecta. Hay que tener en cuenta que para contar con cualquier tipo de soluci贸n on premise es necesario adquirir hardware en el que se ejecute y se le deber铆a de sacar cierta rentabilidad. Adem谩s, hay que sumarle la instalaci贸n y configuraci贸n de los programa, puede que incluso en ciertos casos haya que redise帽arlos.
Cumplimiento legal
Al almacenar los datos de forma local, es necesario asegurarse de que se est谩n cumpliendo las leyes y regulaciones. Los CSP, por otro lado, tienen equipos dedicados a ello, por lo que es m谩s f谩cil cumplir con la normativa.
Soporte
La organizaci贸n es la 煤nica responsable de las incidencias que surjan. Si surge cualquier tipo de interrupci贸n en el servicio, es la organizaci贸n la que se tiene que encargar de volver a levantarlos asegur谩ndose que no se pierdan datos. Los CSP, en cambio, tienen sistemas de respaldo y tienen personal trabajando las 24h del d铆a para mantener todos los servicios.
Seguridad
Depende 煤nicamente de la organizaci贸n. Es quien tiene que asegurarse de mantener los activos y la informaci贸n segura, tanto digitalmente como f铆sicamente. Es costosa y tiene que mantenerse constantemente. Adem谩s siempre ser谩 inferior a la de los CSPs, ya que pueden abaratar costes teniendo en cuenta el tama帽o de sus servicios y servidores.[3]
Referencias
- S. K. Madria, 芦Security and Risk Assessment in the Cloud,禄 in Computer, vol. 49, no. 9, pp. 110-113, Sept. 2016, doi: 10.1109/MC.2016.280.
- https://insights.sei.cmu.edu/sei_blog/2018/03/12-risks-threats-vulnerabilities-in-moving-to-the-cloud.html
- https://itpractice.com/top-5-risks-of-keeping-your-companys-data-on-premise/
josugato
Latest posts by josugato (see all)
- La informaci贸n es como un diamante, vale m谩s procesada que en bruto - 5 enero, 2021
- Cloud Gaming - 24 noviembre, 2020
- Controles y auditor铆a del cloud computing y de las soluciones on premise - 24 noviembre, 2020
Suficiente, pero explorar otras fuentes y visiones hubiera sido interesante; adem谩s de casos y experiencias en la industria.