Seguridad en la nube
Es uno de los temas que salen siempre al final de las presentaciones. “Oye, y… ¿la seguridad de esto?”. Mi respuesta viene siendo más o menos siempre igual. “Es mejor tener el dinero en el banco que en casa”, cosa que parece obvia. Lo que también es verdad es que cada vez que alguien crea una aplicación el responsable de la seguridad (al menos en parte) es el propio desarrollador.
Es decir, no es un problema de cómo filtramos el tráfico IP entre VLANs en nuestro centro de datos, o de si los guardias de la puerta del centro de datos de Microsoft van armados, o de si hay alguna normativa de operación que los operadores del centro de datos estén cumpliendo a rajatabla. En muchos casos el tema tendrá más que ver con las facilidades (empezando por la documentación) que el servicio sea capaz de hacer llegar a los que crean las aplicaciones y quienes las operan.
En este sentido, traigo varios documentos distintos que creo que pueden ser interesantes y un punto de partida.
Creo que conviene empezar por el Windows Azure Security Overview Whitepaper, que es un documento detallado para empezar, ya que hace una descripción técnica de la funcionalidad de seguridad disponible, tanto desde el punto de vista de la operación del cliente y la de Microsoft.
El documento denominado Windows Azure Security Notes es un PDF de 121 páginas, escrito de manera coral, en el que los autores le dan un repaso completo a una aproximación práctica de seguridad en la nube, organizado a través de una selección de los escenarios de uso más habituales de Windows Azure: aplicaciones web, servicios web y aplicaciones de datos.
Por su parte, el documento titulado Security Best Practices for Windows Azure se centra en los riesgos de seguridad y las aproximaciones recomendadas a la hora de diseñar y desarrollar aplicaciones más seguras para la Plataforma Windows Azure. El trabajo es fruto de la colaboración del equipo de desarrollo de Windows Azure con el Microsoft Security Engineering Center (MSEC) y con el Microsoft’s Online Services Security & Compliance (OSSC), de forma que se recojan las lecciones aprendidas por Microsoft a través de años de trabajo de securización de sus propios entornos internet.
Para terminar, este documento de enero de 2010 (Cripto Services and Data Security in Windows Azure), en el que Jonathan Wiggs se centra particularmente en la tecnología disponible de criptografía en la Plataforma.