¿Es realmente la seguridad una barrera para el Cloud Computing?

Como analizaba en mi comentario titulado ¿”Nubarrones” en la Nube (Cloud Computing)? (12 de marzo) una de las afirmaciones más generalizadas en estos momentos, casi un estereotipo, es que la seguridad es uno de los frenos (por no decir obstáculo o barrera) para el Cloud Computing. En esa afirmación, como en muchas otras, de entrada usamos el término seguridad de una forma genérica que en ocasiones da lugar a equívocos …

En primer lugar, hay que tener en cuenta como “Cloud Computing” implica un nuevo paradigma en muchos aspectos de la TIC tanto en el diseño de sus servicios, como en la forma de trabajar con ellos, con el consiguiente y necesario cambio cultural: en la parte del usuario (entendiendo por tal en este caso, el departamento TIC de una entidad que decide usar Servicios de una Cloud Pública) que en el aludido comentario del 12 de marzo resumíamos en la “gestión de servicios frente a la gestión de activos”, pero en la parte del Prestador de Servicos Cloud también implica un cambio aún mayor tanto en el diseño de su infraestructura, como en la forma de operar con ella, etc. Y esos aspectos irán calando entre los profesionales del sector TIC, aunque en muchos casos aún no han sido asumidos. Para centrar el tema creo que es bueno analizar unos cuantos ejemplos que ilustren el cambio de paradigma al que aludo:

Por ejemplo en el tema de diseño de infraestructuras TIC, para crear un entorno cloud no tiene sentido comprar máquinas robustas y con alta tolerancia a fallos (por ejemplo, doble fuente de alimentación, doble controladora de disco, configuración RAID 1+0, 2 tarjetas de red conectada switches diferentes, etc.), la filosofía es poner máquinas mucho más baratas y asumir que se pueden estropear, en cuyo caso su trabajo será asumido por otras máquinas (lo mismo con el almacenamiento de la información, las comunicaciones y otros criterios de diseño). Esto, como se ve, ya rompe conceptos muy asentados de seguridad, en este caso los relacionados con la “disponibilidad”.

El mismo ejemplo anterior significa que un usuario de una Cloud Pública significa, además de las ventajas características del Cloud Computing (que se pueden en resumir en pagar por lo que realmente usa, solo por el tiempo que lo usa, y en el momento que lo necesita, es decir transformar el CAPEX en OPEX), tiene la ventaja adicional de poder establecer planes de “continuidad del negocio” y DRP que hasta el momento, tal vez, le eran inviables por coste.

Del mismo modo, tal vez, se deban redefinir el uso de las estrategias defensivas (firewall, etc.) cuando se trabaja en un entorno cloud (por ejemplo llevándolas a la aplicación o, en el otro extremo del abanico de posibilidades, analizando si de verdad la aplicación es la correcta para llevarla al modelo cloud).

Sin embargo sí es cierto que estas Cloud Públicas traen consigo nuevos riesgos de seguridad, sobre todo en lo relacionado con las leyes de protección de datos española y europea, o con los requisitos de estándares como la ISO 27.000, que se están resolviendo en función del servicio que se contrate, p.e. criptografiando la información almacenada en la Cloud o la “circulante”, etc.. En esto casos además puede llegar a ser inviable en casos donde la legislación u otras regulaciones no permitan que los datos salgan de la organización o del país (bien impidan su almacenamiento externo de datos o bien su procesamiento).

Este es uno de los motivos tecnológicos (también regulatorios) que inducen a muchas empresas (especialmente grandes) a optar por una Cloud Privada propia, pese al inconveniente de que todo es CAPEX. Entre los dos extremos existen soluciones intermedias como las Cloud Comunitarias (donde el CAPEX se comparte con otros socios) y las Cloud Híbridas (donde hay parte de CAPEX y parte de OPEX). Pero también surgen nuevos servicios como las “Cloud Privadas Alquiladas” donde empresa como TISSAT ofrecen una cloud dedicada al cliente con infraestructuras nuestras (con tecnología OpenStack).

… entonces ¿Clouds Privadas o Clouds Públicas?

Estos días pasados hemos comentado las características técnicas de las Clouds Privadas y de las Clouds Públicas (28-feb-2012) así como las razones de negocio (ayer y antes-de-ayer): y a la luz de lo expuesto, creo que cada una de ella responden mejor a un tipo de necesidades: en las Nubes Públicas los servicios de la Cloud está disponible al público en general. En ellas, la infraestructura pertenece a la organización que vende sus servicios de Cloud Computing. Por tanto es la solución más adecuada para todas aquellas empresas que para su negocio (o parte de su negocio) precise de que no existan costes de capital y todo sea OPEX, o las que necesiten agilidad y ajustar en todo momento sus costes TIC a las fluctuaciones de sus procesos de negocio (que se pueden en resumir en pagar por lo que realmente usa, solo por el tiempo que lo usa, y en el momento que lo necesita) y a las que nos les importe o no les afecte los problemas de seguridad, regulación de datos, prestaciones, etc. Frente a ello, en las Nubes Privadas, la infraestructura cloud pertenece a la propia empresa, por lo que en principio puede resolver los problemas que plantean las Nubes Públicas, pero implica que todo es CAPEX. De esta forma, de una forma muy generalista y a grandes rasgos (recordando que cada caso necesita de un análisis particular que puede conducir a conclusiones muy diferentes en función del tipo de empresa, de las características del servicio TIC necesitado, y del modelo de negocio) se podría decir que las Nubes Publicas suelen ser más adecuadas para las PYMEs, autónomos y ciudadanos, mientras que las Cloud Privadas son más adecuadas para las grandes empresas.

Y entre estos dos extremos existen otras soluciones como ya se ha mencionado antes, las Nubes Comunitarias y las Nubes Híbridas. En el mundo de las grandes empresas, muchos expertos les dan mejores expectativa a estas últimas dado que permiten a una empresa mantener los servicios TIC críticos, estratégicos o no externalizables por razones de regulación en su propia Cloud, y externalizar el resto de sus necesidades de recursos y servicios TIC, combinando las ventajas de ambas …

En nuestra opinión, en el mercado de las PYME españolas también puede tener cierto éxito las Nubes Comunitarias de la mano del cooperativismo o de las asociaciones empresariales establecidas en algunos sectores.

Tissat, además de estar colaborado y siendo catalizador de la creación de redes de este tipo, también ha sacado al mercado el servicio de ”Cloud Privada Alquilada” (con 2 modalidades básicas: “Hosting de Cloud Privada” o “Cloud Dedicada” y “Clouds Privadas Virtuales”) que añade otra opción en este campo, para las empresas que precisando de las características de las Cloud Privadas no pueden o quieren hacer frente a las necesidades de inversión en capital que precisan.

To cloud or not to cloud?: una perspectiva de negocio (caso de las Cloud Públicas)

¿Quién no ha recurrido alguna vez a parafrasear debidamente adaptada a sus necesidades la famosa entrada del soliloquio de Hamlet?. Yo tampoco me voy a resistir a ello:

To cloud, or not to cloud, that is a business question.

Adaptación abusiva de la cita de Shakespeare que deja claro el punto que pretendo tratar hoy: ¿qué razones de negocio pueden impulsar a una entidad (empresa u organismo) a usar Servicios Cloud?.

En los comentarios de los días 22, 23 y 24 de febrero analizábamos las líneas generales de cuanto tiene más sentido usar respectivamente los servicios SaaS, PaaS e IaaS, el análisis se realizaba desde una visión más bien técnica, pero también aparecían otros puntos de vista como los de negocio.

Hoy pretendo simple y brevemente recoger, ordenar y ampliar lar razones de negocio por los que nos puede interesar usar servicios Cloud ya que la mayor motivación para pasarse al Cloud viene de la mano de los costes, y dentro de esta razón en unos casos prima más una casuística u otra:

• El caso que probablemente más abunda es el de las empresas que quieren o necesitan transformar sus costes de capital (CAPEX) en costes operativos (OPEX).
• Otra razón que motiva a muchas empresas es mejorar la flexibilidad de su negocio, adaptando sus recursos a las necesidades del negocio en cada momento, de forma que sus Recursos TIC crezcan o se reduzcan siguiendo las necesidades del negocio de una forma rápida y elástica, aprovechando las nuevas oportunidades pero sin que los valles o reducciones de negocio signifique seguir con inversiones o inmovilizados que mermen su competitividad.
• Otras entidades buscan los servicios Cloud porque su modelo de negocio precisa de modelos servicios coherentes con los que ella ofrece: pago por uso, crecimiento temporal para atender campañas, etc.
• Otras porque precisan infraestructuras TIC temporales para las que quieren aquilatar el coste: pruebas, demos, etc.
• Empresas en fase start-up.
• etc.

y todos ellos se resumen en uno: las empresas que se pasan a usar Servicios de Cloud Computing lo hacen porque dicho modelo de negocio es el que mejor se acopla a su negocio.

Deliberadamente, por simplificar la argumentación, en la exposición anterior hemos estado pensando en Servicios de Cloud Públicas. Está claro, por citar un motivo (como ya hemos dicho, uno de los dos principales) que si una empresa decide montar su propia Cloud Privada no transforma sus costes de capital en costes operativos, entonces ¿qué razones de negocio pueden motivar a una empresa a montar una Cloud Privada? … mañana acometeremos ese análisis.

“Lo-que-sea as a Service” (XaaS) y CaaS (Communications as a Service)

Si hay una palabra que esté aún más de moda que Cloud Computing es el estribillo “… as a Service”. Y, como han pronosticado los expertos, nos queda oír muchas veces “Lo-que-sea as a Service”, con sus consiguientes siglas XaaS. Una lista de lo que ya se está oyendo es la siguiente:

• Security as a Service (SaaS que colisiona en sus siglas con las mucho más populares de Software as a Service, y en algunos caso conduce a equívocos)
• Data as a Service (DaaS)
• DataBase as a Service (DBaaS)
• Disaster Recovery as a Service (DRaaS)
• DataCentre as a Service (DCaaS)
• Unified Communications as a Service (UCaaS)
• HelpDesk as a Service (HDaaS)
• Etc.

Estos vocablos en algunos casos se mezclan con otros conceptos que apuntan al uso de las Cloud para resolver un problema, pero no a que la tecnología se ofrezca como un servicio, por ejemplo: Cloud-Based Contact Center, Cloud-Based Help Desk, etc. En realidad todo depende en donde se focaliza y enfatiza el uso de la Cloud, si para resolver un problema interno (lo que sería una Cloud Privada) o para ofrecer servicios a terceros (Cloud Pública). En este último caso es cuando se habla, siguiendo con el ejemplo anterior, de HelpDesk as a Service (HDaaS), ContactCenter as a Service (CCaaS), UnifiedComms as a Services (UCaaS), es decir, del uso en modelo Cloud (compartido, autoservicio, elástico, etc.) de “centralitas virtuales”, “puestos de operador virtuales”, etc. destinados a empresas que no quieren o pueden invertir en capital para disponer de su propias infraestructuras de este tipo y en el software (de operador de HelpDesk o de ContactCenter) asociados a su operación (gestión de incidencias, gestión del conocimiento, etc.) y deciden usar las de un proveedor de Servicios Cloud (CCSP).

Muchos de estos vocablos creemos que han sido lanzados al mercado con la idea de convertirse en palabra de moda (buzzworld), pero no creemos que “creen escuela”, aunque lo que sí es cierto es que recogen la tendencia actual de llevarlo todo a la “nube” y por eso lo hemos tratado en el comentario de hoy.

Es más, en estos momentos los ejemplos anteriores están empezando a ser recogidos bajo, dependiendo de los medios que se lea, como CNS (Cloud Networking Services) o CaaS (Communications as a Service) y que mientras unos consideran un nicho de SaaS, otros lo sitúan una extensión del IaaS. Como se ha comentado, bajo ese concepto se recogen de forma aislada o en conjunto los servicios cloud de comunicaciones que hemos usado antes, así como otros próximos a ellos, fundamentalmente por su necesidad para montar una solución completa de servicios de alto nivel como HPaaS, o CCaaS: desde “centralitas virtuales” y “puestos de operador virtuales” hasta “comunicaciones unificadas”, añadiendo el software de gestión de incidencias, y completándolo con servicios de “escritorio en la nube” (“cloud desktop”) que no se debe confundir con “escritorios virtuales” o virtualización del desktop (como ya analizaremos otro día), etc., y que algunos CCSP (Proveedores de Servicios Cloud) ofertan como un paquete y otros individualmente.

Me gustaría destacar que esta área de CaaS (Communications as a Service), a caballo entre el IaaS y el SaaS, también está siendo recogida por algunos autores como un nuevo modelo (o nivel) de servicio (a añadir a los ya definidos de IaaS, PaaS y SaaS). Al margen de lo acertada, o no, de esa clasificación, lo que sí es importante es no confundir dichos servicios CaaS con el concepto de “Cloud Networking”: estos últimos se pueden definir como todo lo que tiene que tener una red y la gestión de la misma para dar soporte al Cloud Computing; esto afecta tanto a la WAN como a la LAN, como a cualquier otro tipo de comunicaciones. Aunque es un tema al que quiero dedicar más tiempo otro día, por realizar una primera aproximación que lo clarifique, lo que pretende el CloudNetworking es resolver problemáticas del siguiente tipo: en la actualidad una máquina virtual no se puede mover fácilmente a una máquina física en un segmento diferente, por problemas en las direcciones IP, en las reglas de firewall, etc., o el aumento de ancho de banda a una máquina física en función del número de máquinas virtuales que soporta, etc. (para los cuales en algunos casos existen soluciones, pero o no son estándares, o no soportan la automatización, o…).