Cada minuto de cada día se presenta la posibilidad de producirse un contratiempo que comprometa nuestra información. Una de las preocupaciones más relevantes al utilizar infraestructura Cloud reside en el grado de seguridad que nos pueden proporcionar los proveedores, a pesar de las significantes ventajas que este nos ofrece, como el pago por uso. En todo momento pasamos a “confiar” información sensible de nuestra propia empresa o incluso de clientes a terceros. Cuando evaluamos los niveles de seguridad debemos tener muy presentes, entre otros, la seguridad en la interfaz o APIs.
Cloud Security Alliance (CSA) hace hincapié en la atención que le debemos prestar a las interfaces o APIs que los proveedores ponen a nuestro alcance. Para ello le dedica un punto en su reporte anual sobre las brechas de seguridad más notables. El uso de APIs inseguras puede exponernos a diversos riesgos relacionados con la confidencialidad, integridad, disponibilidad y “accounting”. Mientras los proveedores deben poner grandes esfuerzos en la securizar sus APIs, nosotros como consumidores de estos servicios es imprescindible analizar con nuestros propios medios para llegar a conocer sus debilidades y sus puntos fuertes. Un buen punto de partida puede ser el listado (Web Services Security Checklist) que nos proporciona Gunnar Peterson en su blog. También muy recomendable la lectura de los siguientes artículos
Con la proliferación de servicios desarrollados e integrados en el cloud es imprescindible que tomemos seriamente este punto, con el objetivo de evitar que aparezcan en el próximo listado de brechas de seguridad Cloud de CSA. Mientras la mayoría de proveedores siguen luchando para proporcionar una seguridad en sus APIs, integrada en todos los modelos de los servicios que nos ofrecen, es crítico que como consumidores entendamos las implicaciones de seguridad asociadas al uso, gestión, mantenimiento y monitorizaciónq que estas interfaces significan dentro los servicios cloud que adquiramos. Aunque no debemos morir con la idea en la cabeza de que todo lo relacionado con el cloud es inseguro 😉
If you think the cloud isn’t secure you’re dead wrong
Ivan Farré
