Las empresas necesitan una arquitectura de seguridad en la nube para poder reducir su exposición

a riesgos y amenazas mientras utilizan la nube. Las tecnologías Intel® mejoran la confidencialidad,
la integridad y la disponibilidad de las plataformas en la nube para ayudar a establecer entornos
confiables, lo que permite a las empresas lograr un valor excepcional.

¿Qué es la arquitectura de seguridad en la nube?

La arquitectura de seguridad en la nube describe todo el hardware y las tecnologías diseñadas

para proteger datos, cargas de trabajo y sistemas dentro de las plataformas en la nube. El
desarrollo de una estrategia para la arquitectura de seguridad en la nube debe comenzar durante
el proceso de anteproyecto y diseño y debe integrarse en las plataformas en la nube desde cero.
Con demasiada frecuencia, los arquitectos de la nube se centran exclusivamente en el rendimiento
primero y luego intentan reforzar la seguridad después del hecho.

Capacidades principales de seguridad en la nube

La arquitectura segura de la computación en la nube abarca tres capacidades principales:

confidencialidad, integridad y disponibilidad. Comprender cada capacidad le ayudará a guiar sus
esfuerzos en la planificación de una implementación de nube más segura.

La confidencialidad es la capacidad de mantener la información en secreto e ilegible para las

personas que no deberían tener acceso a esos datos, como atacantes o personas dentro de una
organización sin el nivel de acceso adecuado. La confidencialidad también incluye privacidad y
confianza, o cuando una empresa promete secreto en el manejo de los datos de sus clientes .

La integridad es la idea de que los sistemas y las aplicaciones son exactamente lo que usted espera
que sean y funcionan exactamente como usted espera que funcionen. Si un sistema o aplicación
se ha visto comprometido para producir un resultado desconocido, inesperado o engañoso, esto
puede provocar pérdidas.

La disponibilidad es la tercera capacidad y generalmente es la menos considerada por los

arquitectos de la nube. La disponibilidad habla de ataques de denegación de servicio ( DoS ).
Quizás un atacante no pueda ver ni cambiar sus datos. Pero si un atacante puede hacer que los
sistemas no estén disponibles para usted o sus clientes, entonces no podrá realizar tareas que son
esenciales para mantener su negocio.

Computación en la nube segura en la práctica

Existen numerosas herramientas para abordar la confidencialidad, la integridad y la disponibilidad

en las plataformas en la nube con el objetivo final de definir un entorno de ejecución confiable
(TEE). Estas son sólo algunas de las herramientas que los arquitectos y expertos en seguridad en la
nube utilizan para ayudar a proteger los sistemas y los datos, y sirven como un buen punto de
partida durante la fase de diseño.

El cifrado protege el texto y los datos traduciéndolos en cifrados que sólo las partes autorizadas
tienen la capacidad de descifrar, acceder y editar.

La resiliencia del firmware consiste en ayudar a prevenir ataques a la capa de firmware, pero
también incluye recuperarse de un ataque y restaurar el sistema a un buen estado conocido.

Establecer una raíz de confianza incluye la integridad del arranque, lo que ayuda a proteger el
sistema de inyecciones de malware durante el inicio del sistema.

La validación de la pila busca establecer que todos los componentes y el software dentro de una
pila del sistema hayan sido validados y no estén comprometidos ni modificados, ya sea antes de la
entrega, en tránsito hacia los arquitectos de la nube o durante la implementación.

Los sistemas seguros están diseñados para aislar máquinas virtuales (VM), contenedores, datos y
aplicaciones entre sí como una práctica recomendada clave.

¿Por qué es importante la arquitectura de seguridad en la nube?

La nube, ya sea privada, pública o híbrida, promete agilidad, eficiencia y rentabilidad. Estas son
cualidades transformadoras para cualquier negocio y permiten a las organizaciones adaptarse a los
cambios del mercado con una rápida prestación de servicios y la capacidad de tomar decisiones
basadas en datos. Sin embargo, es posible que se impida a las empresas utilizar los recursos de la
nube sin exponerse a sí mismas y a sus datos a riesgos. La arquitectura de seguridad en la nube
permite a las empresas aprovechar todo lo que ofrece la nube, incluidas las ofertas de software
como servicio (SaaS), plataforma como servicio (PaaS) e infraestructura como servicio (IaaS), al
tiempo que mitiga la exposición y la vulnerabilidad. Sin una arquitectura de seguridad en la nube,
los riesgos asociados con el uso de la nube podrían superar cualquier beneficio potencial.

Amenazas a la arquitectura de seguridad de la nube

Mientras planifica su implementación en la nube, desea estar preparado para amenazas comunes,
como malware y ataques basados en privilegios. Hay demasiadas amenazas comunes para
enumerarlas aquí, por lo que este artículo proporcionará una instantánea de las amenazas de alto
perfil en las que los expertos de la industria están pensando en este momento.

Las amenazas internas incluyen tanto a los trabajadores de su propia organización que tienen
acceso a sistemas y datos como a los administradores de proveedores de servicios en la nube
(CSP). Cuando se suscribe a servicios de CSP, básicamente está confiando sus datos y cargas de
trabajo a la multitud de personal responsable de mantener la arquitectura de CSP. Otra
consideración es si los datos son accesibles para las entidades gubernamentales. Los expertos en
seguridad están prestando más atención a las leyes, regulaciones y prácticas de la vida real que
demuestran si un gobierno puede utilizar órdenes judiciales u otros medios para obtener acceso a
datos en una nube pública o privada.

DoS son un área enorme de atención. Los ataques temporales de denegación directa de servicio
( DDoS ) normalmente implican atacar un sistema con solicitudes hasta que se apaga. Los
perímetros de seguridad pueden desviar estos ataques utilizando políticas de cumplimiento de red
para filtrar solicitudes repetidas. Los CSP también pueden transferir cargas de trabajo y tráfico a
otros recursos mientras trabajan para restaurar el sistema. Los ataques DoS permanentes son más
destructivos y, a menudo, causan daños a nivel de firmware para hacer que un servidor no pueda
arrancar. En este caso, un técnico necesita recargar físicamente el firmware y reconstruir el
sistema desde cero, lo que puede provocar que los servidores se apaguen durante días o semanas.

El borde de la nube puede referirse a sistemas de borde conectados a la nube, pero para un CSP
también se refiere a la arquitectura del servidor que no está bajo el control directo del CSP. Los
CSP globales no pueden construir y administrar sus propias instalaciones en todos los rincones del
planeta, por lo que dependen de socios para brindar servicios a regiones más pequeñas,
geográficamente aisladas o rurales. Como resultado, estos CSP no tienen control total para
monitorear y garantizar la integridad de la caja física del hardware o protecciones contra ataques
físicos, como bloquear el acceso a los puertos USB.

El control del cliente influye en cómo los clientes evalúan las ofertas de nube pública. Desde la
perspectiva del cliente, los usuarios están nerviosos por trasladar cargas de trabajo sensibles a la
nube pública. Por otro lado, los grandes proveedores de nube suelen estar mucho mejor
equipados y tienen un nivel mucho mayor de experiencia en seguridad de la nube que la empresa
promedio que ejecuta una nube privada. Generalmente, a los clientes les resulta tranquilizador
tener el control total de sus datos más confidenciales, incluso si sus herramientas de seguridad no
son tan sofisticadas.

Las limitaciones de hardware significan que incluso con la arquitectura de seguridad en la nube
más sólida del mundo, un servidor no puede ayudarle a crear una contraseña mejor. Las
contraseñas son uno de los vectores de ataque más comunes. Los arquitectos de seguridad en la
nube se centran en las protecciones de hardware, firmware y software, pero aún así recaerá sobre
los usuarios cotidianos seguir las mejores prácticas.

Arquitectura de seguridad en la nube para SaaS, PaaS e IaaS

Desde una perspectiva de TI, existen grandes diferencias en las prácticas de seguridad entre los
modelos de servicios en la nube para SaaS, PaaS e IaaS. Para los arquitectos de la nube, las
herramientas para ayudar a generar confidencialidad, integridad y disponibilidad en SaaS, PaaS e
IaaS son esencialmente las mismas e incluyen cifrado, resistencia del firmware, validación de la
pila y establecimiento de una raíz de confianza.

Los proveedores de PaaS deben prestar atención al uso multipartito y generar confianza en el
movimiento de datos hacia y desde la plataforma. Los proveedores de IaaS deben centrarse en
capacidades de orquestación y cifrado en tiempo de ejecución que permitan a los clientes
gestionar el cifrado de claves para cualquier aplicación que utilicen en la nube.
SaaS incluye paquetes de software de productividad y es ampliamente utilizado tanto por
empresas como por particulares. SaaS debe estar protegido a nivel de CSP: por el CSP. En estos
casos, los usuarios y clientes tienen poco control sobre las ofertas de SaaS, pero su contribución a
la seguridad se produce mediante el cumplimiento de las mejores prácticas. El uso de contraseñas
seguras y la autenticación de dos factores, el cuidado con la información de identificación personal
en las redes sociales y la evitación de estafas de phishing por correo electrónico son factores a
tener en cuenta.

Productos y soluciones de arquitectura de seguridad en la nube Intel

Sería difícil enumerar todas y cada una de las tecnologías que contribuyen a la arquitectura de
seguridad en la nube. Intel ha estado incorporando características de seguridad en procesadores y
otras ofertas tecnológicas durante décadas, y sus tecnologías de seguridad continúan
evolucionando generación tras generación. El objetivo de los avances y ofertas más recientes es
promover el paradigma de la informática confidencial en la nube.

Intel® Software Guard Extensions (Intel® SGX) ayuda a crear un entorno confiable al integrar
capacidades de seguridad para los datos mientras se procesan en la memoria. Los desarrolladores
pueden utilizar Intel® SGX para establecer enclaves de memoria que proporcionen capas
adicionales de aislamiento de cargas de trabajo. Los aceleradores criptográficos como la
tecnología Intel® QuickAssist (Intel® QAT) ayudan a ofrecer un alto rendimiento incluso cuando se
necesitan cargas pesadas de cifrado y compresión .

La última incorporación a la plataforma escalable Intel® Xeon® también agrega Intel® Total
Memory Encryption (Intel® TME) e Intel® Platform Firmware Resilience (Intel® PFR). Intel® TME
ayuda a garantizar que toda la memoria a la que se accede desde la CPU Intel® esté cifrada ,
incluidas las credenciales del cliente, las claves de cifrado y otra información de identificación
personal. Intel® PFR equipa a los arquitectos de la nube con las herramientas para aumentar la
protección contra la interceptación del firmware, detectar daños en el firmware y restaurar
sistemas a un buen estado conocido.

Por último, Intel colabora con socios del ecosistema para abstraer y ampliar las capacidades de
ejecución confiables y promover el paradigma de la informática confidencial. Esto ayuda a
proliferar tecnologías clave en un amplio campo de desarrolladores, proveedores de sistemas e
integradores de sistemas. Por ejemplo, Microsoft Azure utiliza Intel® SGX para crear su
arquitectura de seguridad en la nube, y esto beneficia a los usuarios de Microsoft Azure incluso si
no lo saben.
La seguridad es fundamental para la transformación empresarial

La informática confidencial y las plataformas que ofrecen confidencialidad, integridad y

disponibilidad son requisitos previos para aprovechar los recursos de la nube. Las empresas
necesitan que su infraestructura en la nube sea eficaz, pero también necesitan que sea fiable y
digna de confianza. Una arquitectura de seguridad en la nube eficaz depende de arquitectos de la
nube que comprendan que una base confiable debe ser una consideración prioritaria durante las
etapas iniciales de planificación y no algo que se deba agregar después del hecho. La seguridad no
es una mercancía; es un ingrediente esencial.