Seguridad en entorno Cloud

Negocios

Los entornos Cloud nos ofrecen algunas ventajas a la hora de controlar los accesos e intrusiones en nuestros sistemas virtualizados. Os explicamos las opciones más habituales, y cómo ponerlas en marcha.

Mucho hay que hablar sobre las posibilidades de los entornos Cloud, y en esta ocasión nos centraremos en la seguridad de los servidores que tengamos alojados en nuestra plataforma. En este sentido, aunque los servidores sean virtuales y cuenten con innumerables ventajas, si no hacemos nada seguiremos teniendo los mismos riesgos y vulnerabilidades de seguridad que en sistemas dedicados. Hablamos de puertos abiertos, sistemas operativos desactualizados o componentes del entorno Web vulnerables a ataques malintencionados.

Es decir, el hecho de contar con un entorno Cloud, en el que tenemos todos nuestros servidores virtuales funcionando, no nos elimina la tarea de gestionar y mantener al día nuestros servidores. Sin embargo, sí que ofrece algunas ventajas que podemos explotar fácilmente para que esta tarea sea lo más sencilla posible. En este caso nos referimos a la opción de generar políticas de cortafuegos que podremos aplicar y desplegar rápidamente en nuestras máquinas. Al tratarse de servidores virtuales con interfaces de red también virtuales, el firewall del entorno Cloud actúa como si de uno hardware se tratase, bloqueando y controlando las conexiones antes de que lleguen a nuestra máquina.

Esto es importante porque, aunque sistemas operativos como Windows o Linux incluyen cortafuegos software que pueden ser gestionados de manera directa, o a través de paneles hosting como Plesk o CPanel, lo cierto es que no dejan de estar basados en un servicio del sistema que puede fallar, o que puede ser vulnerable en determinados momentos. Por eso, en entornos reales contar un firewall físico es la mejor opción: no se protege a nivel del servidor, si no a nivel de la propia red bloqueando directamente los paquetes antes de que lleguen siquiera a la máquina. Y esto es lo que hace el firewall del entorno Cloud, aunque de manera virtualizada.

Cloud 2 foto 1
Firewall físico de red que bloquea las conexiones antes de que alcancen los servidores.

Crear las políticas de seguridad

Como siempre, tomaremos como ejemplo la interfaz Cloudbuilder de Arsys, una de las más potentes de nuestro país por sus posibilidades, estabilidad y funcionalidades. En este entorno, lo primero que tendremos que hacer es acudir al menú de la izquierda, y seleccionar la opción Red / Políticas de Firewall. Aquí, tras pinchar en Crear, podemos asignarle un nombre personalizado a nuestra política, y comenzar a añadir el protocolo, puertos e IPs que tendrán acceso a la máquina a la que se asigne dicha política.

De esta forma, si tenemos un servidor Web con Linux, podemos asignar una regla que permitan todas las conexiones al puerto 80, y sólo al puerto 22 (para la línea de comandos SSH) desde la IP de nuestra empresa. Cuando más adelante apliquemos esta política, nos dará igual que puertos tiene abiertos el servidor y a la escucha, pues gracias al entorno Cloud sólo se permitirán las conexiones al puerto 80 del servidor Web.

Una vez terminemos de generar las reglas en la ventana, bastará pinchar en Crear para que la política se dé de alta en el sistema y la podamos comenzar a utilizar

Cloud 2 foto 2
Podemos crear políticas de firewall indicando los protocolos, puertos e IPs que autorizaremos a nivel de interfaz de red.

Asignar políticas de seguridad

Partiendo de lo anterior, podemos definir políticas para servidores según su sistema operativo (Windows / Linux), su tipo de uso (Web, Correo, BBDD, erc.), o una combinación de ambas. Nuestro consejo es generar tantas como sea preciso para que cada máquina del Cloud tenga abiertos tan sólo aquellos puertos estrictamente necesarios. Esto no evitará mucho trabajo posterior, y en general simplificará bastante limitar los daños ante cualquier descuido.

Una vez terminemos de crear las diferentes políticas, no tenemos más que asignárselas a los diferentes servidores. En el caso del Cloudbuilder de Arsys podemos hacerlo de varias formas, aunque quizá la más sencilla sea acudir a Infraestructura / Servidores y, una vez con el listado de máquinas delante, marcar la que nos interese y después acudir al menú Gestión de red / Firewall. Esto abrirá una nueva ventana donde podremos elegir la política de red que hayamos creado y, tras pinchar en Asignar políticas, proteger nuestro servidor para cualquier conexión no deseada. Esta operación puede tardar unos minutos, pero al finalizar, tendremos nuestros servidores virtuales debidamente protegidos ante accesos no autorizados y, lo mejor, ante comportamientos extraños o ataques de diverso tipo.

Cloud 2 foto 3
Desde el listado de servidores, asignamos la política de seguridad que más nos convenga a cada máquina en sólo un par de clics.

Lea también :