Seguridad del centro de datos

Cuando la infraestructura de una empresa está alojada en un centro de datos, es fundamental el garantizar que la ubicación externa esté protegida, tanto física como virtualmente. La seguridad para centros de datos comprende la seguridad física y la ciberseguridad virtual que protege los datos corporativos contra atacantes. La mayoría de los centros de datos alojan datos delicados para muchas empresas grandes, así que una única vulnerabilidad podría implicar una violación para docenas de empresas. La seguridad del centro de datos detiene amenazas tales como filtraciones de datos, pero también garantiza el funcionamiento y la integridad de la infraestructura corporativa y cualquier servicio que se aloje en la nube.

En la mayoría de las organizaciones, la mayor amenaza para los datos es que un atacante virtual logre encontrar vulnerabilidades en la infraestructura del software o la red. Los centros de datos deben proteger no solo contra el mismo tipo de amenazas, sino que también tienen la responsabilidad de salvaguardar físicamente la estructura. Los proveedores tienen sus propios estándares de cumplimiento que deben seguir para conservar su certificación, pero estos estándares se auditan para garantizar que los procedimientos sean compatibles con prácticas de ciberseguridad avanzadas.

Seguridad física para centros de datos

Los centros de datos se construyen en ubicaciones estratégicas, lejos de grandes ciudades. Esto es parte de la seguridad física, pero también tiene como objetivo permitir que el centro de datos funcione sin afectar a las viviendas o negocios que tenga a su alrededor. El hecho de estar en una ubicación remota elimina gran parte de las amenazas físicas, pero el centro de datos todavía podría ser un objetivo apetecible para atacantes que pretendan penetrar en las instalaciones. Si un atacante obtiene acceso a las premisas, los datos podrían ser exfiltrados de los servidores usando memorias USB u otros dispositivos físicos.

La primera defensa para la seguridad física consiste en cámaras y guardias de seguridad en el perímetro. Los centros de datos ubican las cámaras en las entradas. Los centros de datos no tienen ventanas de vidrio, así que estas no son problema. Sin embargo, una puerta sí es un riesgo para la seguridad física. Las cámaras, candados y guardias de seguridad protegen contra estos niveles de ataque.

Si un atacante logra traspasar la puerta, el siguiente nivel de seguridad física es una jaula de Faraday. Sin autorización, el atacante no puede penetrar en la jaula de Faraday sin la llave adecuada. Esta puede ser una llave tradicional, una clave que se introduce en un dispositivo de seguridad, una tarjeta que se desliza a través de un escáner o un sistema de biometría. Los sistemas biométricos son los más seguros, pero también los más caros. Los centros de datos de nivel 4 usan la biometría como capa de seguridad.

Los visitantes son monitorizados en detalle dentro del centro de datos, porque debe haber muy pocas personas recorriendo las instalaciones. Cualquier visitante debe tener un acceso limitado a los equipos y también debe venir escoltado por un empleado. A los visitantes se les da un distintivo que indica que están de visita, y se hace un asiento en el registro cuando el visitante entra y sale de las instalaciones.

Seguridad virtual para centros de datos

Para proteger a los centros de datos contra atacantes virtuales se emplean diversas estrategias. Las empresas que tienen infraestructuras locales in situ pueden emplear muchas de las estrategias que se usan en los centros de datos. Para evitar muchos de los malwares y ataques virtuales más comunes, los centros de datos observan estrictas reglas de monitorización y auditoría.

Ninguno de los clientes que usan recursos de centros de datos debe ser capaz de acceder a la información de la cuenta de otro cliente. Es común que los centros de datos usen una herramienta de gestión de eventos y seguridad de la información (SIEM, del inglés Security Information and Event Management) que les brinde una visión en 360º de todos los activos y actividad de tráfico. Estas herramientas se combinan con la gestión de riesgos y la monitorización para detección de amenazas para identificar actividades sospechosas.

La actividad de la red está segmentada en zonas. Este método de ciberseguridad no es muy diferente de la configuración de una red empresarial, pero sí es mucho más estricto, y el tráfico de los clientes no debe interactuar con otros datos de los clientes, o dejarlos expuestos. Las configuraciones de red deben permitirles a los clientes ejecutar libremente sus propios softwares en sus entornos virtuales, pero a la vez proteger a otros clientes y al centro de datos contra vulnerabilidades dentro del software del cliente.

Antes de que cualquier aplicación se implemente en una infraestructura de centro de datos, se le somete a rigurosas pruebas de penetración y se revisa su código para hallar cualesquiera vulnerabilidades. Si se introduce malware en el entorno de un centro de datos, esto puede ser pernicioso para la seguridad no solo del centro de datos sino de cualquiera de sus usuarios.

La seguridad del centro de datos se describe en términos de niveles. Los niveles son importantes para negocios que confían sus datos a un proveedor específico. Cuando se busca un proveedor para un centro de datos en la nube o cloud, se debe buscar unos niveles específicos para garantizar que sigan los estándares de regulación necesarios. Unos niveles más altos indican que el centro de datos es una instalación más grande, con un mayor nivel de ciberseguridad. Los niveles de centros de datos también se usan para determinar las garantías de tiempo de operación.

• Nivel 1: El nivel 1 es el nivel más bajo y básico de la seguridad para centros de datos. Es usado principalmente por pequeñas empresas que no almacenan información demasiado delicada y que tienen su propia redundancia de infraestructura. Los centros de datos tienen una garantía de operación del 99,671% del tiempo, lo que implica que su acuerdo de nivel de servicio permite un máximo de 28,8 horas de interrupción por año.
• Nivel 2: Este nivel es utilizado principalmente por negocios que necesitan servicios de ubicación conjunta. La empresa aloja gran parte de su infraestructura, pero necesitan conmutar o distribuir recursos al centro de datos sin basarse exclusivamente en su propia infraestructura. La seguridad para centros de datos de nivel 1 y nivel 2 tiene una única fuente de alimentación y refrigeración, lo que significa que, si estos recursos fallan, podrían implicar interrupciones para el centro de datos en general y para sus clientes. El nivel 2 tiene una garantía de tiempo de funcionamiento de 99.471%, o 22 horas de interrupción por año.
• Nivel 3: La seguridad del centro de datos de nivel 3 representa un salto enorme respecto a los niveles 1 y 2. Las principales diferencias entre este nivel y los dos anteriores es que usa recursos de alimentación y refrigeración dobles, lo que brinda redundancia a su tiempo de operación. Los recursos redundantes ofrecen garantía ante fallos, de modo de que los clientes no tengan que experimentar ningún tiempo de interrupción si uno de ellos falla. Tampoco hace falta tiempo de interrupción durante el mantenimiento. El nivel 3 ofrece una garantía de 99,982% de tiempo de operación, o 1,6 horas de interrupción al año.
• Nivel 4: Para empresas grandes que dependen de una garantía de tiempo de funcionamiento, la seguridad para centros de datos de nivel 4 ofrece redundancia para todos los recursos, cosa que brinda una tolerancia a fallos que produzcan interrupciones. Con el nivel 4, los clientes muy rara vez experimentan interrupciones. Los centros de datos de nivel 4 ofrecen un 99,995% de tiempo de operación, o solo 26,3 minutos de posibles interrupciones.

Mientras más alto sea el nivel, más confiable y seguro será el centro de datos. Cualquier gran proveedor en el espacio de las nubes públicas (por ejemplo, Amazon Web Services, Google Cloud Platform, Microsoft Azure) tendrá centros de datos de nivel 4. El acceso físico viene garantizado por sistemas de biometría y de respaldo para proteger la integridad y confiabilidad de los datos.

Todos los centros de datos siguen sus propios estándares de ciberseguridad, pero también hay requisitos globales que deben seguir. Los proveedores de nube tienen sus propios estándares de conformidad digital que deben seguir, y los clientes que busquen el proveedor adecuado deben buscar un centro de datos virtual que cumpla con las directrices de conformidad.

Los centros de datos que presentan conformidad con los estándares PCI y HIPAA pueden ser usados por clientes que deban adherirse a transacciones financieras y médicas, pero la seguridad para centros de datos se basa principalmente en directrices de auditoría que certifican las prácticas unificadas según el centro de organización de servicios (SOC, del inglés Service Organization Control). Los estándares del SOC son directrices para la evaluación de riesgos, informe de riesgos y revisiones periódicas de la tecnología de riesgos. Es importante destacar que el SOC es un informe de auditoría creado y distribuido por auditores que revisan procedimientos.

La siguiente lista es una breve explicación de los niveles y conformidad del SOC:

• SOC 1: SOC 1 se enfoca en los procedimientos utilizados para alojar aplicaciones financieras. Cualquier aplicación alojada en una infraestructura de centro de datos que funcione con datos financieros de los clientes o datos financieros empresariales cae dentro de este tipo de informe.
• SOC 2: SOC 2 se aplica a cualquier compañía de SaaS que almacene información de los clientes en un centro de datos. Es una de las auditorías más comunes. Los auditores revisan las estrategias y procedimientos de seguridad para garantizar que sus datos permanezcan confidenciales, ofrecer integridad y disponibilidad.
• SOC 3: Una auditoría de SOC 3 es lo mismo que un informe de SOC 2, pero la diferencia principal es que este informe está pensado para que lo consulte el público en general, para garantizar que el centro de datos cumpla con los estándares de SOC 2.

La importancia de la seguridad para centros de datos no solo es significativa para el proveedor de nube, sino que también es clave para los clientes el poder trabajar con un proveedor que cumpla con los estándares de conformidad establecidos. Los clientes de la nube deben solicitar un informe SOC 3 al almacenar datos delicados en un centro de datos virtual. Los proveedores de centros de datos que alojan servicios para sus clientes deben garantizar que todos los protocolos de seguridad, procedimientos y recursos de redundancia que ofrezcan tengan el más alto nivel de integridad para sus usuarios.