Retos de seguridad en entornos MultiCloud

El concepto de MultiCloud se refiere a un enfoque particular en el planteamiento de la Nube. Se trata de combinar varios servicios en el Cloud para algún fin en concreto, o por alguna razón determinada, donde cada uno de ellos puede pertenecer a un proveedor diferente, ya sea de Nube Pública o Nube Privada. En este artículo, profundizamos en el concepto MultiCloud, sus ventajas y los principales desafíos de estos entornos  en cuanto a la gestión de la Seguridad IT.

MultiCloud es un concepto diferente al de Nube Híbrida, aunque pueda parecer más o menos lo mismo a la vista de la definición anterior. En el caso de MultiCloud, se combinan servicios en la Nube de diferentes proveedores, a menudo para satisfacer necesidades específicas de carga de trabajo, pero estos servicios no están conectados ni organizados entre ellos. En el caso de la Nube Híbrida, tenemos una mezcla de Nube Privada y Nube Pública de terceros —puede ser de uno o más proveedores—, pero organizados entre sí.

Ventajas de los entornos MultiCloud

Trabajar en un entorno MultiCloud tiene una serie de ventajas muy interesantes para las organizaciones. En primer lugar, es sencillo evitar el vendor lock-in. Al disponer de un entorno en el que participan varios proveedores, no existe una dependencia total por parte de los clientes.

En segundo lugar, tenemos la flexibilidad suficiente como para encontrar y hacer uso del servicio en el Cloud óptimo para una necesidad particular. Por poner un ejemplo sencillo, es posible trabajar con un proveedor de soluciones de alojamiento en el Cloud, y por otro lado con un proveedor diferente que nos dé servicios específicos de ofimática.

Una estrategia MultiCloud permite a una organización cumplir con una carga de trabajo específica, o con diferentes requisitos de las aplicaciones. La razón es que no todos los departamentos, equipos, funciones comerciales, aplicaciones o cargas de trabajo tendrán requisitos similares en cuanto a rendimiento, privacidad o seguridad.

Este tipo de soluciones ayudan a reducir la vulnerabilidad global. Al disponer de varios servicios de diferentes proveedores, se evita el riesgo de tener todo localizado en un único lugar. Así, un ataque DDoS, por ejemplo, afectaría tan solo a un proveedor y sería un problema relativamente menor.

Algunas consideraciones importantes para entornos MultiCloud

La integración trae consigo complejidad, y se hace necesario saber gestionarla bien para no tener problemas. Para abordar con garantías de éxito este tipo de escenarios es necesario ser muy disciplinados y elegir un proveedor de confianza y con experiencia, que sea capaz de dirigir y controlar todo el proceso.

Por sus características y la complejidad que conlleva, el MultiCloud puede que no sea la mejor solución para determinadas organizaciones. Por tanto, una de las consideraciones más importantes es valorar si nuestra organización en particular necesita un entorno MultiCloud o puede que otra solución sea la más conveniente.

En referencia a temas como la seguridad y la gestión, la misma complejidad que comentamos anteriormente hacen que sea necesario exigir mucho más detalle y políticas más complejas y trabajadas. La razón es que trabajaremos con una arquitectura única y completa compuesta por entornos donde se comparten y conectan recursos e infraestructuras de múltiples tipos y proveedores.

También, por los mismos motivos, se pueden generar dificultades de adaptación, teniendo en cuenta el número de piezas que se relacionan y se organizan. Las MultiCloud aportan valor a las organizaciones solamente si elegimos los proveedores adecuados para cumplir con nuestros requisitos particulares.

Este tipo de solución plantea algunas dificultades de administración para los equipos técnicos. Estos deben distribuir los componentes y cargas de trabajo de sus aplicaciones sobre diferentes paneles de control y tener en cuenta las características de cada uno. Para evitar o aliviar estos problemas existen proyectos como DECIDE. Este proyecto europeo, en el que participa Arsys, está pensado para facilitar las herramientas que permitan diseñar, desarrollar y desplegar de forma flexible las aplicaciones sobre estos complejos entornos.

Principales retos de seguridad en entornos MultiCloud

Las características de los entornos con varios y distintos proveedores Cloud  nos van a obligar a plantearnos un enfoque holístico de la seguridad. Debemos saber que, ante cualquier amenaza a la seguridad, todas las partes están coordinadas a todos los niveles, y serán capaces de trabajar juntos para identificar el problema, analizarlo y desarrollar planes de mejora, además de aplicar las contramedidas oportunas.

Existen tres factores principales que pueden complicar enormemente la estrategia de seguridad en una organización.

  1. Complejidad elevada. Este tipo de solución implica coordinar políticas de seguridad, procesos y respuestas de varios proveedores, a la vez que tiene una red de puntos de conexión muy amplia. El mero hecho de disponer de centros de datos en varios países introduce una complejidad enorme en la manera en que se protegen los datos. La razón, la diversidad de normativas de protección de datos. Es necesario cumplirlas todas —y por eso muchas veces se recomienda elegir centros de datos basados en la UE—.
  2. Falta de visibilidad sobre la ubicación de los datos. Salvo los casos en los que el entorno con distintos proveedores esté muy bien definido, es posible que se pierda algo de control sobre los servicios en uso por los diferentes departamentos o empleados. Esto supone que se tiene menos conocimiento acerca de dónde están algunos de los datos, lo que tiene serias implicaciones de seguridad y de compliance con las normativas de protección de datos.
  3. Nuevos tipos de amenaza. A pesar de que el MultiCloud es cada vez más popular y se implementa en más organizaciones, el verdadero alcance de las amenazas de seguridad no está del todo definido. Esto, que puede parecer trivial, no hace más que complicar la estrategia de seguridad. El escenario es tal que se descubrirá cómo enfrentarse a las nuevas amenazas a medida que estas se presenten.