Los tres «interrogantes» y el «porqué» de la seguridad de los centros de datos
Por Kyle Gaede, director principal del Grupo de Segmento de Centros de Datos de Microchip
Las redes inalámbricas son omnipresentes
Las soluciones de seguridad para centros de datos comprenden hardware, firmware y software. Como proveedor de los tres, Microchip es capaz de ofrecer una visión de las necesidades y características de cada uno y de cómo se combinan para proporcionar soluciones eficaces e integradas para hacer frente a una amenaza creciente.
Las medias tintas en ciberseguridad no hacen que los centros de datos sean medio seguros; las medias tintas hacen que los centros de datos sean inseguros. Una ciberseguridad eficaz debe abarcar las tres capas fundamentales de todo sistema informático: firmware, software y hardware.
Los centros de datos forman parte integral de un número cada vez mayor de funciones empresariales y sociales. Como almacenes de datos de valor incalculable y como infraestructuras críticas, se han convertido en objetivos irresistibles para los piratas informáticos malintencionados, algunos con el objetivo de robar información, otros con la esperanza de interrumpir las operaciones del propio centro de datos o de sus clientes.
Los mayores centros de datos comerciales son objeto de ciberataques incesantes, al igual que la mayoría de las instalaciones federales. Todos los demás centros de datos del mundo se supone que han sido sondeados en busca de vulnerabilidades, cuando no atacados directamente. Esto incluye clusters de servidores gestionados por bancos, gobiernos municipales, fabricantes de equipos originales (OEM), grandes almacenes, compañías petroleras, instalaciones médicas… literalmente, todo el mundo con un conjunto de servidores conectados a una red.
Los centros de datos distribuidos más pequeños o los clústeres de servidores locales son a menudo un componente necesario para ofrecer acceso de baja latencia a datos críticos. Estos clústeres de servidores más pequeños se consideran a menudo un objetivo táctico, ya que pueden representar una vía para obtener acceso a la red de un objetivo de mayor valor, o pueden contener datos valiosos que están ocultos a una supervisión más amplia. Los hackers malintencionados tomarán el control de un pequeño clúster de servidores que no tenga valor intrínseco para ellos porque saben que tiene valor para el operador: este es el creciente fenómeno del ransomware.
Si el servidor distribuido o los nodos de almacenamiento contienen directamente datos valiosos, entonces otra amenaza son los empleados o contratistas con acceso que pueden abusar de sus privilegios y coordinar y vender datos a los ciberdelincuentes – esta es la amenaza interna. Los clústeres de servidores más pequeños pueden ser objetivos tácticos, ya que podrían representar una vía para obtener acceso de red a un objetivo de mayor valor.
Todos los centros de datos en todas partes están perpetuamente en riesgo de ser hackeados. Esperar que su clúster informático sea demasiado pequeño, insignificante o anónimo es una estrategia peligrosa. Gestionar la ciberseguridad es una medida crítica que todo centro de datos debe tomarse en serio.
Eso abarca el quién, el qué, el cuándo, el dónde y sólo algunos de los porqués de la ciberseguridad. Los tres «interrogantes» son en realidad el «cómo».
Puntos de vulnerabilidad
El hardware, el firmware y el software representan diferentes conjuntos de vectores de ataque.
El hardware entra y sale de los centros de datos con regularidad, ya que los operadores realizan reparaciones, actualizan los sistemas y amplían la capacidad. Los equipos implicados pueden incluir desde blades de servidores y dispositivos de almacenamiento hasta equipos de red.
Los piratas informáticos malintencionados intentan aprovecharse del proceso de actualización de los equipos tratando de comprometer el hardware destinado a los centros de datos antes de que se envíe e instale. El elemento comprometido puede ser firmware o software. Además, los ciberdelincuentes pueden coordinarse con personas internas para robar hardware que contenga datos valiosos.
Cualquier software que un centro de datos ejecute para sus propios fines o en nombre de sus clientes se carga, recarga, ejecuta y actualiza constantemente. En teoría, los piratas informáticos tienen infinitas oportunidades de intentar alterar el código existente o insertar su propio código.
Los operadores prudentes de centros de datos querrán probar repetidamente el hardware y el software que utilizan. ¿Es el equipo lo que dice ser y hace lo que se supone que debe hacer? ¿Ha sido manipulado en algún momento el software por agentes malintencionados? Es aconsejable verificar los datos entrantes: ¿podrían ocultar malware?
Podría ser más difícil manipular el firmware, pero si se logra, puede ser más difícil de detectar, porque normalmente todo lo demás se basa en un arranque desde el firmware.
Es necesario proteger los tres «interrogantes». No proteger los tres es muy parecido a cerrar sólo algunas de tus puertas. Si no cierras todas, facilitas demasiado el trabajo a un intruso. Proteger una o dos de ellas nunca puede considerarse una seguridad adecuada.
Por lo tanto, las soluciones comerciales de seguridad de datos deben gestionar el hardware, el firmware y el software.
La ciberseguridad moderna comienza con una raíz de confianza. El concepto es qué si se comienza con una referencia en un sistema criptográfico que no puede ser pirateado de ninguna manera, entonces cada comprobación en una cadena de comprobaciones que se construye a partir de esa referencia también debe ser digna de confianza.
Diferentes empresas suministran circuitos integrados y/o módulos de plataforma de confianza con firmware que constituye esa raíz de confianza. Varias ofrecen microcontroladores (MCUs) que permiten una seguridad avanzada del hardware raíz de la confianza, junto con una identidad inmutable y seguridad en tiempo real para garantizar que tanto el hardware como el firmware de un sistema son auténticos.
Los dispositivos de esta naturaleza pueden utilizarse directamente, pero algunos también pueden emparejarse con otros procesadores como MCUs de seguridad complementarias, para proporcionar autenticación de firmware fácil de usar, protección de bus en tiempo real, comprobación de dispositivos y almacenamiento de claves públicas y privadas para la funcionalidad criptográfica.
Lo ideal sería que todos los equipos que se añaden al servidor o se instalan en un centro de datos tuvieran un firmware de confianza. Cuando es así, los operadores del centro de datos tienen la seguridad de que el firmware es auténtico, es decir, que procede realmente de un fabricante certificado. Para mayor seguridad, estas comprobaciones pueden realizarse antes de que se inicie el servidor que las contiene.
Lo más importante
La mayoría de los grandes centros de datos comerciales son expertos en ciberseguridad y han implantado medidas de seguridad eficaces.
En el lado positivo, existen recomendaciones sobre tecnología, procedimientos y mejores prácticas de ciberseguridad que están siendo referenciadas con suficiente regularidad como para que equivalgan a estándares de la industria.
El CSF (Cyber Security Framework o Marco de Ciberseguridad) del NIST (National Institute of Science & Technology o Instituto Nacional de Ciencia y Tecnología) es un conjunto de recomendaciones que abarcan desde servidores, teléfonos inteligentes y dispositivos de Internet de las cosas (IoT) hasta las redes que los conectan.
El OCP (Open Compute Project), por su parte, ha desarrollado una especificación abierta para un módulo de control seguro preparado para centros de datos (DC-SCM). Esto permite incorporar en un módulo compacto elementos de seguridad que solían residir en una placa base, como funciones de gestión, seguridad y control del servidor.
Los hackers malintencionados no dejan de sondear vulnerabilidades ocultas hasta ahora y de idear nuevos tipos de ataques, lo que significa que la ciberseguridad es una práctica en constante evolución. Los operadores de centros de datos harían bien en trabajar con socios capaces de proporcionar información sobre las necesidades y características de cada uno de las tres «productos», y sobre cómo se combinan para ofrecer soluciones eficaces e integradas para hacer frente a una amenaza creciente.
Utilizamos cookies para optimizar nuestro sitio web y nuestro servicio.
Funcional
Siempre activo
El almacenamiento o acceso técnico es estrictamente necesario para el propósito legítimo de permitir el uso de un servicio específico explícitamente solicitado por el abonado o usuario, o con el único propósito de llevar a cabo la transmisión de una comunicación a través de una red de comunicaciones electrónicas.
Preferencias
El almacenamiento o acceso técnico es necesario para la finalidad legítima de almacenar preferencias no solicitadas por el abonado o usuario.
Estadísticas
El almacenamiento o acceso técnico que es utilizado exclusivamente con fines estadísticos.El almacenamiento o acceso técnico que se utiliza exclusivamente con fines estadísticos anónimos. Sin un requerimiento, el cumplimiento voluntario por parte de tu Proveedor de servicios de Internet, o los registros adicionales de un tercero, la información almacenada o recuperada sólo para este propósito no se puede utilizar para identificarte.
Marketing
El almacenamiento o acceso técnico es necesario para crear perfiles de usuario para enviar publicidad, o para rastrear al usuario en una web o en varias web con fines de marketing similares.
