Noticias Manténgase informado sobre las más recientes actualizaciones de productos y noticias de tecnología empresarial.

Meltdown y Spectre: Haciendo un caso para un mayor uso de la nube pública

Las vulnerabilidades del CPU, Meltdown y Spectre, constituyen la prueba más grande hasta el momento de las quejas sobre la seguridad de datos entre la comunidad de proveedores de servicios públicos en la nube, al tiempo que proporciona a los departamentos de TI empresariales mucho para aprender.

Cuando surgieron detalles de los fallos Meltdown y Spectre en los procesadores, la amenaza que éstos fallos representaban para los usuarios de la nube pública era parte de las pesadillas del departamento de TI empresarial.

De acuerdo con los investigadores que descubrieron los errores, ambos podrían ser utilizados por personas malintencionadas para extraer y leer datos almacenados en la memoria de las aplicaciones. Y, en el caso de la nube, posibilitar que los clientes en la misma plataforma accedan a los datos de los demás.

Los grandes bateadores de la comunidad de la nube pública (Amazon Web Services, Google y Microsoft, por nombrar algunos) se movilizaron rápidamente frente a esta amenaza teórica: parchar sus sistemas y asegurar a los usuarios.

La ventaja del primer jugador en Meltdown

Google, cuyo equipo Project Zero se encuentra entre los grupos de investigación a los que se atribuye el llevar a Meltdown y Spectre a la atención mundial, dijo que sus esfuerzos para mitigar las amenazas comenzaron desde junio de 2017.

Nadie sabe cuánta advertencia le dieron a Amazon y Microsoft para preparar sus defensas, pero ambos confirmaron que sus sistemas estaban en vías de ser parcheados (o ya lo estaban) a las pocas horas de que las fallas se hicieran del conocimiento público.

Esa es una velocidad de respuesta que pocos (si es que alguno) de los operadores de centros de datos privados podrían esperar alcanzar. También es justo suponer que muchos tampoco se habrían dado el lujo de tener una ventaja de siete meses para abordar estas vulnerabilidades.

Amazon, Google y Microsoft han señalado anteriormente que pocas empresas pueden gastar tanto como lo hacen en seguridad en la nube.

Por esa razón, afirman que los datos almacenados en sus nubes están mejor protegidos que los de las empresas de información que languidecen en sus centros de datos privados.

Es una declaración contra la cual es difícil oponerse, especialmente cuando se considera el alto nivel del personal de seguridad de la información que los gigantes tecnológicos también tienden a atraer.

Lo que la respuesta de los tres grandes muestra a las empresas (particularmente las firmas que aún se mantienen en la nube) es que las afirmaciones de seguridad en la nube de Amazon, Google y Microsoft no son solo palabras.

Estas compañías tenían sus parches creados, probados y desplegados cuando la mayoría de los operadores de centros de datos empresariales todavía intentaban distinguir a Meltdown y Spectre.

Monitoreo de Meltdown

Fuera de la nube, los departamentos de TI empresariales aún deben asegurarse de que sus servidores, PCs y dispositivos Apple Mac en sus instalaciones estén parcheados y protegidos contra Meltdown y Spectre.

"Desafortunadamente para el personal de TI, esta no es una solución 'única y hecha', ya que hay impactos acumulativos al parchar las vulnerabilidades", dijo Craig Lodzinski, líder de tecnologías de desarrollo en el proveedor de infraestructura de TI Softcat, a Ahead in the Clouds (AitC).

De hecho, las estimaciones de la industria sugieren que el primer parche de Meltdown, por ejemplo, podría degradar el rendimiento de la CPU hasta en un 30%.

"Me imagino que el efecto dominó continuará durante meses, con el personal de TI teniendo que sintonizar, volver a implementar los recursos y evaluar el rendimiento, así como responder a innumerables entradas relacionadas con el rendimiento de la aplicación y el hardware, tanto reales como psicosomáticas", agregó.

Para los usuarios de la nube, cualquier cambio inesperado en el rendimiento y los patrones de uso de la CPU de su organización es preocupante, especialmente si puede hacer que aumente el costo de sus facturas en la nube.

Algunos usuarios pueden decidir que una mayor factura de la nube es un pequeño precio a pagar por la tranquilidad que supone saber que sus datos están protegidos contra Meltdown y Spectre. Otros, sin embargo, pueden sentir que el proveedor debe considerarlo como un costo de hacer negocios y, en consecuencia, deben ser cubiertos por el proveedor.

En una declaración a AitC, Amazon dijo que no se había observado un impacto "significativo" en el rendimiento de la CPU desde que comenzaron sus esfuerzos de reparación.

"Puede haber casos que son cargas de trabajo o sistemas operativos específicos que experimentan un mayor impacto en el rendimiento. En esos casos aislados, trabajaremos con los clientes para mitigar cualquier impacto", agregó el portavoz de AWS.

Parchear las cosas

Google también afirma haber visto un impacto "insignificante" en el rendimiento de las cargas de trabajo que se ejecutan en su infraestructura en la nube, y describió el proceso de parchado en una publicación de blog como "sin incidentes".

Aun así, el gigante de las búsquedas está instando a los usuarios a abordar cualquier informe en línea sobre las degradaciones del rendimiento que los usuarios afirman haber visto como una pizca de sal.

"Diseñamos y probamos nuestras mitigaciones para que este problema tenga un impacto mínimo en el rendimiento, y el lanzamiento ha sido sin incidentes", agregó.

Al menos por el momento, con Lodzinski sugiriendo que las consecuencias de Meltdown y Spectre se desarrollarán en la empresa durante mucho tiempo.

"Sin ataques realizándose libremente (al momento de escribir esto), lo que depara el futuro es una incógnita", dijo. "Lo que sí sabemos es que los buenos parches y las sólidas prácticas de ciberseguridad de los equipos de TI son la piedra angular para montar una defensa sólida", agregó.

Este artículo se actualizó por última vez en enero 2018

Profundice más

Inicie la conversación

Envíenme notificaciones cuando otros miembros comenten sobre este artículo.

Enviando esta solicitud usted acepta recibir correos electrónicos de TechTarget y sus socios. Si usted reside afuera de Estados Unidos, esta dando autorización para que transfiramos y procesemos su información personal en Estados Unidos.Privacidad

Por favor cree un Nombre de usuario para poder comentar.

- ANUNCIOS POR GOOGLE

Close