Autor: Mark Patrick, director de contenido técnico, EMEA, Mouser Electronics
Añadir recursos de computación en la periferia de las redes es un paso necesario para muchas aplicaciones, pero también crea problemas de seguridad.
El número de dispositivos electrónicos que necesitan acceso a la red está creciendo de forma exponencial. Cada vez que se añade un dispositivo a una red, se genera una vulnerabilidad, lo que dificulta la seguridad en la nube. Además, las últimas tecnologías pueden complicar aún más la protección en este ámbito.
Este aumento en el número de dispositivos conectados a la periferia de la red genera otra necesidad: muchos de ellos deben funcionar de forma tan inmediata como sea posible. La única manera de lograrlo consiste en instalar nuevos recursos de computación cerca de la periferia de la red, donde podrían quedar en un estado más vulnerable.
La nube se expande hacia la periferia
Hasta ahora, debido al aumento en la computación, solo las organizaciones con grandes recursos económicos podían mantener sus propias granjas de servidores. Como consecuencia, las redes de comunicación de datos pasaron a ser arquitecturas centralizadas basadas en enormes centros de datos.
El número de centros de datos es relativamente pequeño y suelen estar bastante lejos de la mayoría de los clientes a los que prestan servicio. Al principio, la distancia no era algo importante, pero esto está cambiando, ya que cada vez hay más aplicaciones que precisan de resultados de computación casi instantáneos.
Los milisegundos adicionales necesarios para que una señal se desplace desde un centro de datos remoto es algo sencillamente inaceptable en las comunicaciones vehículo a vehículo (V2V, por sus siglas en inglés), la infraestructura de seguridad (control aéreo, sistemas de alerta ante desastres, etc.) y algunas aplicaciones de realidad virtual (RV), como la cirugía a distancia o los procesos de fabricación aumentada. La latencia en la red puede agravarse por los cuellos de botella en los centros de datos, generados por el bloqueo en el ancho de banda de las comunicaciones o en los recursos de computación ante los picos en el tráfico en la red.
Esa necesidad de evitar la latencia y los retrasos está impulsando una evolución en la nube hacia la descentralización, de modo que se coloquen más recursos de computación en la periferia de la red o cerca de esta.
Ventajas e inconvenientes de la computación en la periferia
La computación en la periferia reduce la latencia que lastra a las aplicaciones que operan en tiempo real, pero esa no es la única ventaja. Al reducir el tráfico con distantes centros de datos, se libera ancho de banda de la red, se reduce la carga en esta y se optimiza el uso del espectro.
Además, se abre la puerta a que elementos locales administren directamente los datos locales. Esto es algo importante por motivos operativos, pero también para cumplir con aquellas normativas de privacidad de datos que exigen que los datos personales del usuario permanezcan en el ámbito local.
Sin embargo, la computación en la periferia dificulta la seguridad. El problema no es solo que aumente el número de dispositivos en la periferia, sino que muchos de ellos son de bajo coste y no disponen de forma integrada del nivel necesario de seguridad. También aumenta el número de nodos de computación en la periferia y cerca de esta, lo que significa que la superficie de ataque será más amplia. Muchas de estas nuevas aplicaciones en la periferia están relacionadas con la seguridad pública, así que protegerlas es, sencillamente, imprescindible.
La evolución de la seguridad
Conseguir en la periferia el mismo nivel de control o vigilancia que en un centro de datos es todo un desafío. Hay muchas más instalaciones de servidores, nodos de red y dispositivos individuales; además, la superficie de ataque, que ya era enorme, se expande aún más con cada nueva aplicación y producto conectado.
Algunos dispositivos periféricos tienen un nivel de seguridad muy bajo o inexistente, lo que los convierte en potencialmente vulnerables, algo que afecta también a sus usuarios. Los ciberdelincuentes pueden explotar estas vulnerabilidades y engañar a la gente para que revelen sus contraseñas o para que les proporcionen algún tipo de acceso digital.
Las medidas de seguridad tradicionales siempre se han basado en software. Los ciberdelincuentes emplean credenciales robadas y explotan lagunas de seguridad para introducir su propio código con el objetivo de minar las defensas. Hay numerosas maneras de engañar al software mediante distintos tipos de virus y malware. Un problema cada vez más frecuente es que el software es mucho más difícil de proteger fuera de los cortafuegos, que es, lógicamente, donde se encuentran los dispositivos periféricos. Es necesario aplicar medidas adicionales de seguridad, que deberán medirse basándose en el hardware.
Las ventajas de la seguridad por hardware
La seguridad basada en hardware amplía las medidas de defensa hasta llegar al nivel del componente, de modo que la seguridad quede integrada en el propio hardware. Estas medidas cuentan con ventajas inherentes con respecto a las de software; por ejemplo, una mayor resistencia a los ataques, la aceleración de los procesos de cifrado, la capacidad de aislar funciones críticas y una menor vulnerabilidad a la manipulación física.
Implementaciones de seguridad por hardware
Como ocurre con los métodos por software, hay un gran número de estrategias de seguridad basadas en hardware. Por ejemplo, los módulos de seguridad por hardware (HSM) y los módulos de plataforma segura (TPM) protegen las claves de cifrado y llevan a cabo una computación segura en entornos de nube, mejorando así la protección de datos y la autenticación.
Módulos de seguridad por hardware
Los HSM son dispositivos de hardware específicos que ofrecen un entorno seguro para las operaciones con datos cifrados, lo que aumenta su integridad y confidencialidad.
Por ejemplo, el STM32HSM-V1 (imagen 1) de STMicroelectronics carga y programa el firmware en los microcontroladores STM32 de forma segura. El fabricante de equipo original define la clave del firmware, lo codifica y almacena la clave en uno o más dispositivos STM32HSM. El fabricante puede especificar un número limitado de operaciones de programación permitidas por el HSM antes de la desactivación permanente.
Imagen 1: el HSM STM32HSM-V1 de STMicroelectronics se utiliza para proteger la programación de los productos STM32 (fuente: Mouser Electronics)
Módulos de plataforma segura
Los TPM están integrados dentro de dispositivos conectados de prácticamente cualquier tamaño, desde ordenadores personales a sensores. Estos módulos mejoran algunas funciones de seguridad, como los procesos de inicio seguros, el cifrado y la autenticación; para ello, funcionan como ancla de confianza dentro del dispositivo, lo protegen frente a modificaciones no autorizadas y garantizan la integridad de los componentes del sistema.
Por ejemplo, la gama de productos de seguridad Plug & Trust SE050 EdgeLock® de NXP Semiconductors (imagen 2) emplea un sistema basado en estándares para distintas funciones de seguridad, como la integridad de datos y sistemas, la autenticación y la seguridad en la comunicación, el almacenamiento de datos y las actualizaciones.
Imagen 2: el SE050 de NXP aporta seguridad adicional y solo ocupa 3×3 mm de espacio en la placa (fuente: Mouser Electronics)
Dos técnicas disponibles para ofrecer entornos de ejecución aislados son los elementos seguros y los entornos de ejecución de confianza (TEE). Al separar las operaciones confidenciales dentro de enclaves seguros, ambas soluciones de hardware reducen el riesgo de acceso no autorizado y manipulación.
Por ejemplo, el enclave seguro Edgelock está integrado en el procesador i.MX 93 de NXP y es un subsistema de seguridad preconfigurado, autoadministrado y autónomo que se encuentra en el propio chip; además, está aislado de otros núcleos del procesador que funcionan junto con aplicaciones y funciones de procesamiento en tiempo real.
El futuro de la seguridad en la periferia
El crecimiento de la computación en la periferia promete aportar enormes ventajas, como ciudades y carreteras más seguras o servicios más inteligentes. Sin embargo, este crecimiento conlleva ciertos riesgos, ya que el funcionamiento de la sociedad actual depende en gran medida de los sistemas de comunicación de datos. La interconexión y la comunicación son elementos básicos de casi todos los aspectos de nuestras vidas, desde las infraestructuras de transporte y energía hasta las distintas formas de entretenimiento, como la televisión por «streaming» o los videojuegos. Por desgracia, en los últimos diez años ha habido un aumento en los ciberataques de perfil alto y en actualizaciones defectuosas, con consecuencias graves, como la paralización de redes globales o importantes pérdidas económicas.
Para proteger la nube y la periferia (es decir, toda la red), necesitamos niveles de seguridad extensos y diversos, lo que incluye mecanismos de software y de hardware.
Los expertos en seguridad ya han empezado a potenciar las tecnologías de protección con inteligencia artificial (IA) y aprendizaje automático (AA). En el futuro, cabe esperar que la aplicación de la IA o el AA en el campo de la seguridad permita un nivel más avanzado en la detección de amenazas y en la mitigación de los ataques. Sin embargo, para que un sistema sea fiable, es esencial disponer de componentes de seguridad por hardware sofisticados junto con medidas de software, a fin de proteger eficazmente nuestras redes.
