En su afán por reforzar la seguridad de su nube, Amazon Web Services prueba con dos herramientas que prometen protección a gran escala: Zelkova y Tiros. Con estas ofertas esperan tener una seguridad comprobable en sus sistemas.
Por: José Sequea Oliveros
Dos nuevas herramientas son probadas por Amazon Web Services (AWS), el brazo de cloud de Amazon Group, para mantener constantemente segura y protegida su nube. Se trata de Zelkova y Tiros, definidas como las ofertas del grupo de razonamiento automatizado de AWS.
Zelkova y Tiros analizan las configuraciones cruciales de seguridad de Amazon Web Services, evalúan los esquemas de control de acceso y hacen el mapeo de posibles rutas a internet abierto, desde un segmento S3. También ayudan a los administradores a evitar errores peligrosos gracias a sus comentarios automáticos sobre las ramificaciones prácticas de diferentes configuraciones.
Greg Frascadore, arquitecto de seguridad en el Fondo de Cobertura Bridgewater Associates, expresó que esperan obtener un tipo de seguridad comprobable de sus sistemas. Durante la prueba de Zelkova y Tiros en una conferencia de AWS en Nueva York, dijo que con una esa seguridad comprobable se puede decir que obtendrán una protección infalible.
“Lo que estamos tratando de conseguir es un análisis formal y una manera metódica de verificar que los controles de seguridad que implementamos estén trabajando de la manera en que creemos que están trabajando. Nuestro objetivo de seguridad aquí es detener la filtración de datos de AWS”, de acuerdo a lo reseñado por Wired.
Allí también se explica que estas herramientas proporcionan un golpe uno-dos. Tiros mapea las conexiones entre los mecanismos de red y es particularmente útil para verificar el acceso inesperado desde internet abierto. Zelkova, por su parte, puede crear puntos de referencia para comparar entre diferentes cubos S3 u otros componentes de AWS.
De esta forma se ayuda a los desarrolladores a comprender cuán permisivas son sus configuraciones en comparación con su infraestructura existente y un cubo modelo S3. Zelkova también usa la lógica automatizada para reproducir las configuraciones hasta sus extremos posibles. Las dos herramientas en conjunto permiten detectar errores antes de que se activen.
Frascadore destacó que otro aspecto importante es que con Zelkova y Tiros se pueden verificar muchas cosas durante la etapa de diseño. “Una de las cosas que realmente nos gustaría poder hacer es la verificación de seguridad antes de realizar un cambio en la infraestructura real de AWS, antes de poner una vulnerabilidad en la cuenta”.
Empleo de Zelkova y Tiros
El líder de seguridad y tecnología, Tim Kropp, ha señalado que se trata de herramientas que aún son internas con interfaces de usuario complicadas e incómodas. Bridgewater, por su parte, trabajó con AWS para probarlos e invirtió sus propios recursos a cambio del acceso a las herramientas.
Frascadore y Kropp ahora ayudan a generar interés para que Amazon Web Services se esfuerce en refinarlas y se conviertan en productos de grado de consumo aceptable. Un vocero de la empresa de la flecha amarilla, sin embargo, aclaró que no podía comentar si desplegaría Tiros y Zelkova de manera más amplia.
Lo que sí dijo es que Zelkova ya es utilizada en el tablero S3 para realizar controles automáticos de cosas, tales como a cuáles depósitos se pueden acceder públicamente.
En todo caso, se cree que el sólo hecho de que AWS hable de las herramientas de manera más abierta, pudiese ser un indicador de que se encuentra considerando seriamente las mejores formas de implementarlas.
Ya la intención de distribuirlas con mayor amplitud está vinculada a Stephen Schmidt, vicepresidente de Ingeniería de Seguridad, y al Jefe de Información de AWS. Se dice que la visión más amplia cambia fundamentalmente la forma en que los humanos y los datos interactúan en el servicio web de Amazon.
Schmidt explicó a Wired que se estableció un objetivo de seguridad comprobable para cada vicepresidente de la organización, con la finalidad de “restringir y monitorear radicalmente el acceso humano a los datos”.
Para él, Zelkova y Tiros son los tipos de utilidades que encajan en este impulso, pero aspira que AWS continúe desarrollando mecanismos para proteger a los clientes de todas las maneras posibles. “El acceso humano a los datos es algo que tenemos que hacer para innovar en los negocios, todo el mundo lo hace”.
“A menudo, las organizaciones otorgan a sus administradores un acceso excesivo a los datos porque es lo más fácil de hacer, es lo más conveniente que hacer. Y realmente, creo firmemente que tenemos que ser, como industria, draconianos para restringir ese acceso cuando no es absolutamente necesario. Si mantienes a los humanos alejados de los datos, eliminas clases enteras de ataques”, puntualizó.
Resultados esperados con Zelkova y Tiros
La iniciativa de AWS es un proceso a largo plazo para bloquear el acceso a la infraestructura y los datos de los clientes. Eso parecería indicar que complicaría las cosas para el líder en ventas, en términos de brindar soporte al cliente y administración de confiabilidad.
Schmidt insiste en que se trata de la única manera de reducir el riesgo y quiere presionar aún más para limitar el acceso. “Hay algunos equipos que definitivamente lo golpearán. Hay ciertos equipos que están haciendo grandes progresos, pero no alcanzarán todo este año”.
“La buena noticia es que ahora todo el mundo está a bordo, todos han invertido”, ha expresado el ejecutivo a Wired. En este sentido, señaló que hasta los detractores se percataron que la propuesta es buena para ellos.