BACKGROUND IMAGE: iSTOCK/GETTY IMAGES

Este contenido es parte de Guía Esencial: Servicios en la nube y cómo aprovecharlos
Resolver Problemas Consiga ayuda para problemas específicos con sus proyectos, procesos y tecnologías.

El impacto de seguridad de llevar la infraestructura de clave pública a la nube pública

La conveniencia de mover la infraestructura de clave pública (PKI) a la nube es grande, pero hay que considerar los riesgos de seguridad.

Cuando usted considera la variedad de elementos que intervienen en un sistema básico con PKI, se hace evidente que la infraestructura de clave pública se ha ganado un soporte profundo en el mundo de TI. Desde la autoridad emisora ​​de certificados a la lista de revocación de certificados, hasta la autoridad de registro, está claro que asegurar las comunicaciones dentro de un entorno PKI es computacionalmente costoso. Ante esto, los costos pueden fácilmente salirse fuera de control, lo que significa que vale la pena explorar mover todo PKI a la nube.

Una infraestructura de clave pública permite a las empresas intercambiar datos de forma segura a través de una red pública como internet mediante el uso de par de claves criptográficas privadas y la autorización de certificados de seguridad para los usuarios finales. La conveniencia que involucra el movimiento de la PKI a la nube es profunda, por decir lo menos. Muchas empresas que se alejaron de PKI en el pasado debido a los costos pueden querer reconsiderar su postura ahora que la infraestructura como servicio (IaaS) se ha vuelto más económicamente viable para un mayor número de organizaciones.

El corazón de un sistema PKI es la autoridad de certificación (CA). La CA emite certificados a los usuarios finales a través de un servidor designado interno o un grupo de servidores. En las grandes organizaciones de nivel mundial, este proceso puede ser bastante engorroso. Si un servidor de CA se encuentra en todos los sitios y el servidor es lo suficientemente fornido para manejar la carga diaria puesta en la CPU por el entorno PKI, entonces el rendimiento de la red puede no ser un gran problema. Por el contrario, si el servidor soporta la carga de otros procesos o no está a la altura en cuanto al rendimiento, entonces considere un método diferente para acceder a la CA. En cualquier caso, el paso hacia la nube puede ser algo para estudiar más a fondo.

Los escenarios antes mencionados se vuelven obsoletos colocando toda la infraestructura de clave pública de una organización dentro de, por ejemplo, Amazon Web Services (AWS) o en la nube de Google. Por lo tanto, no solo se coloca la autoridad de certificación en la nube, sino también todos los demás componentes –es decir, la autoridad de registro, las listas de revocación de certificados, los servidores LDAP, etc. De repente, las consideraciones de rendimiento ya no son un problema, suponiendo que una organización está dispuesta a comprar la cantidad requerida de rendimiento del proveedor.

Irónicamente, uno de los inconvenientes de mover PKI hacia la nube puede estar relacionado con la seguridad.

Por ejemplo, supongamos que a un administrador del sistema le gustaría configurar PKI básico para su red dentro de Amazon Web Services. El administrador solo tiene que configurar e implementar el número apropiado de Amazon Machine Images (AMI); él o ella puede configurar una CA, un servidor de listas de revocación de certificados (CRL) y una autoridad de registro (RA), todo dentro de la misma pantalla. Luego, el administrador simplemente tiene que apuntar todo el tráfico de la red a este mismo grupo de AMI para la autenticación. Si por cualquier razón el administrador del sistema tiene que añadir más infraestructura después, esto se puede hacer fácilmente con solo apretar un botón.

Desafíos de seguridad al mover la PKI a la nube

Mover la infraestructura de clave pública a la nube puede tener sentido económicamente y en términos de conveniencia, ¿pero cuál es la otra cara de esta moneda? Irónicamente, uno de los inconvenientes de mover PKI a la nube puede estar relacionado con la seguridad.

Una vez que una empresa decide trasladar su infraestructura de clave pública a la nube, el control físico de los datos ya no reside en el propietario de la información. Por ejemplo, si una empresa de nube tiene una demanda presentada en su contra, el proveedor de la nube puede ser obligado a entregar datos que pertenecen a un tercero completamente inocente –a saber, su cliente. Dadas las ambigüedades legales involucradas con quién realmente posee los datos una vez que residen en la nube, este escenario no es tan descabellado. Además, si una empresa no está satisfecha con su proveedor de la nube, cambiar de proveedor puede no ser una transición sin problemas.

Si bien la transición de la infraestructura de clave pública a la nube puede tener sentido en muchos niveles diferentes, la decisión se debe tomar con gran cuidado y deliberación.

Empresas, como Gazzang Inc., ya han profundizado en la solución de algunos de estos problemas de seguridadmediante la separación de las claves públicas inherentes a la PKI en otra plataforma.

A pesar de estas preocupaciones, la transición de la infraestructura de clave pública hacia plataformas basadas en la nube es un concepto que, sin duda, se convertirá en una mejor práctica de la industria.

Acerca del autor: Brad Casey es un antiguo experto de SearchSecurity.com. Posee una maestría en seguridad de la información por la Universidad de Texas en San Antonio y tiene una amplia experiencia en áreas como pruebas de penetración, infraestructura de clave pública, VoIP y análisis de paquetes de red. También tiene conocimiento sobre los ámbitos de la administración del sistema, Active Directory y Windows Server 2008. Pasó cinco años haciendo pruebas de evaluación de la seguridad en la Fuerza Aérea de los EE.UU., y en su tiempo libre puede encontrarlo mirando las capturas de Wireshark y jugando con diferentes distribuciones de Linux en máquinas virtuales.

Este artículo se actualizó por última vez en julio 2014

Inicie la conversación

Envíenme notificaciones cuando otros miembros comenten sobre este artículo.

Por favor cree un Nombre de usuario para poder comentar.

- ANUNCIOS POR GOOGLE

Close