Lo que se conoce en el mundo de las tecnologías de la información como “La Nube” (cloud computing) es un nuevo modelo de computación en el que, de forma muy dinámica, escalable¹ y, muy a menudo recurriendo a equipos virtuales², se ofrecen capacidades informáticas, prácticamente ilimitadas, como servicios en Internet³. Realmente, el cloud computing es toda una panoplia de instrumentos que, además de estar de moda, comparten con las Webs 2.0 y 3.0 que cada uno tiene sus propias definiciones, y éstas suelen ser distintas.
Como no podía ser de otra manera, este nuevo paradigma ha acuñado expresiones tan propagandísticas como “la Infraestructura” (IaaS), “las Plataformas” (PaaS) o el propio “Software como servicio” (SaaS). En realidad, lo único que tienen en común estas interpretaciones de la nube es que todas ellas utilizan Internet como vía para satisfacer las necesidades computacionales de sus usuarios. El esquema más sencillo consiste en aportar aplicaciones accesibles mediante navegadores web, que corren en servidores no definidos y en los que se procesan y almacenan los datos del usuario. Sin embargo, la idea es prolífica y con esos tres planteamientos anteriores se pueden diseñar, al menos, cinco nuevos modelos de negocio que bien podrían llegar a ser bastantes más. En cuanto a los diferentes modelos para el desarrollo de la nube (privada, comunitaria, pública o mixta) no nos vamos a meter en ello y remitimos al lector al magnífico artículo⁴ que trató ese tema y apareció en esta misma revista en la edición del pasado mes de septiembre.
El atractivo más inmediato de esta nueva forma de ver las cosas es que los usuarios de las tecnologías de la información ven en ella la posibilidad de incrementar, instantáneamente y sin límites aparentes, sus capacidades computacionales y de almacenamiento, disfrutando además de las últimas tecnologías disponibles. A parte de eso, pueden hacer que esos recursos funcionen de forma non-stop, y sin necesidad de comprar y mantener más trastos de los que tienen, ni tampoco tendrán que entrenar a sus trabajadores en su manejo, ni preocuparse de los diezmos que suponen las licencias del software o la rémora que es la actualización del mismo.
Las ventajas más inmediatas de la nube son que, en general, se gana seguridad al sacar fuera los datos públicos, separándolos así de los datos internos que son los sensibles. Esta simple clasificación, facilita mucho la protección de estos últimos. La homogeneidad que terminará representando a la nube haría más fácil al usuario saber qué se ha hecho (auditing) y cómo se ha hecho (testing). La nube es el ideal de la redundancia, por lo que, en sí misma, aporta tolerancia a fallos y seguridad al permitir la recuperación de desastres. Sin embargo, el que trabaja en la nube debe confiar a ciegas en el modelo de seguridad de su proveedor, y debe aceptar su absoluta incapacidad para saber (auditar) qué es lo que realmente se ha hecho o ha pasado mientras las cosas estaban en las nubes. En la nube es imposible obtener pruebas de ningún tipo, por lo que las investigaciones quedan, a priori, descartadas. La nube representa la esencia de lo efímero y lo carente de control (verificable).
Veamos brevemente algunos ejemplos del Zoco que es la nube actualmente y, en su caso, iremos viendo sus implicaciones respecto a la seguridad:
1. Software como Servicio (SaaS). Consiste en ofrecer el uso de una misma aplicación, a través del navegador web, a millares de clientes utilizando una arquitectura de multiarriendo. De este modo el usuario se libra de la inversión en servidores, software y mantenimiento. Los costes de esta opción son bajos si los comparamos con los habituales en el hosting tradicional. En este ámbito están Google Apps, Zoho Office y datacenters virtuales de 3Tera’s AppLogic, CohesiveFT y Liquid Computing.
2. CPDs en alquiler. Es la idea de Amazon EC2⁵, Sun, IBM y otros que ofrecen almacenamiento y servidores virtuales a demanda. Los primeros usuarios utilizaban estas posibilidades como capacidades computacionales suplementarias o de apoyo que atendían aplicaciones no críticas pero, con el tiempo, bien podrían sustituir por completo al CPD, especialmente en el caso de empresas pequeñas o medianas.

A la nube le queda mucho por madurar antes de que se pueda decir que es mínimamente segura y pueda siquiera tratar con datos de alguna importancia. El almacenamiento en la nube puede progresar ya que el cliente siempre puede cifrarlos antes de entregarlos a la indeterminación, pero la computación y la prestación de servicios en la nube serían, más que “cloud computing”, “Full-Monty computing” por aquello de la “desprotección”…

3. Servicios web a medida. Este ámbito está muy relacionado con las iniciativas SaaS. Los proveedores de servicios web ofrecen APIs que permiten el desarrollo de nuevas funcionalidades a través de la web en lugar de darles una solución cerrada. Algunos ejemplos son Strike Iron y Xignite, que ofrecen algunos servicios específicos para el negocio, y también el caso de las APIs ofrecidas por Google Maps, ADP, el US Postal Service⁶, Bloomberg, etc.
En los tres casos anteriores, el software utilizado siempre estará actualizado y será auténtico, ya que de ello se preocupa el proveedor del servicio. El esfuerzo de mantenimiento por parte del cliente será cero y el coste final puede ser bastante bajo; además, el que contrata se desentiende de la infraestructura de servidores que pone el proveedor para que se pueda ejecutar ese software. Aún siendo todo esto cierto, también hay desventajas y las más importantes son que los datos que entran y salen de la aplicación también los tiene el proveedor y, por si fuera poco, también conoce la lista de los clientes que los proporcionan.
Por ejemplo, unos datos pueden solicitarse para extraer de ellos una serie de conclusiones (legítimas) que interesan al cliente que contrata en la nube y, sin embargo, esos mismos datos, tratados de otro modo, pueden permitir sacar otras conclusiones (no tan legítimas), que no interesan al cliente titular, pero que el proveedor puede (ilegalmente) vender a otros ¿No sería el solicitante el único responsable de todas las conclusiones que se sacan de ellos?
4. Hardware prestado (PaaS). Otra variante del SaaS es que la nube ofrezca entornos de desarrollo (hardware y software) como servicio. En ellos, el usuario construye sus propias aplicaciones que se ejecutan en la infraestructura del proveedor del servicio y que se entregan a sus clientes vía Internet desde esos mismos servidores. Algunos ejemplos son las iniciativas de Salesforce, Google App Engine y, para desarrollos livianos, las plataformas mashup⁷ de Yahoo Pipes o Dapper.
En este caso, las ventajas e inconvenientes son los mismos que en los tres casos iniciales, pero aquí se suma que el propio desarrollo también queda en manos del anfitrión. Por último, el desarrollar en casa ajena tiene el inconveniente de que esas aplicaciones pueden contener “otros códigos y funcionalidades” no declarados, además de los que conoce su desarrollador.
5. Gestores a sueldo (Manage Service Providers). Esta forma de cloud computing ofrece como servicio la gestión de los servicios de otros. El negocio consiste, básicamente, en alquilar una aplicación dirigida al usuario con servicios como los de escaneado antivirus del correo electrónico, la monitorización del uso de aplicaciones, etc. Los servicios de SecureWorks, IBM, y Verizon caen dentro de esta categoría, así como los servicios antispam de Postini o la gestión de escritorios de CenterBeam o Dell Everdream.
6. e-Comercios prêt à porter. Las Service Commerce Platforms consisten en ofrecer un centro común para la interacción de los usuarios. Son frecuentes en entornos comerciales, tales como sistemas de gestión de gastos o de secretariado operando en una plataforma común, que luego coordina la prestación de ese servicio a los demás y se encarga de su facturación según las especificaciones dadas por el contratante. Ejemplos de “oficinas automatizadas” las podemos encontrar en Rearden Commerce y Ariba.
7. Meta-servicios en la nube. La integración de servicios ubicados en la nube está todavía en sus albores pero ha empezado. Ejemplo de ello es el servicio OpSource On-Demand que en 2007 puso en pie una pequeña empresa startup llamada Boomi, dedicada al software de integración de negocio para PYMES. La plataforma On-Demand es una aplicación web completa que incluye la infraestructura operacional necesaria y los servicios de apoyo a clientes, lo que permite a los que la usan centrarse sólo en el desarrollo de sus productos y en su posterior marketing.
Estos últimos ejemplos reúnen los niveles más elevados de abstracción en la nube ya que suponen el alquiler, la externalización, y la subcontratación de prácticamente todo. En estos casos uno sólo necesita tener la idea, ya que todo lo demás se alquila. Estas iniciativas harían las delicias del “rentista cibernético”; sin embargo, actuando así, el negocio y todo lo asociado a él, realmente no pertenece a su titular, sino que está en manos del proveedor (datos, cartera de clientes, contabilidades, contratos y acuerdos de prestaciones, elección y contratación de proveedores, etc.).
Con toda esta amplia oferta de posibilidades podemos ver cómo la nube inicial está, a su vez, llena de nubecitas más o menos especializadas; y cómo otras, más generalistas, se nutren de ellas para confeccionar sus propios servicios/productos de valor añadido. Según este paradigma, y arropados por el tirón de la virtualización y las arquitecturas SOA, los apóstoles de “la nube” ven en el futuro a todas las empresas TI como nodos en esa gran nube. Sin embargo, la nube no es un centro de proceso de datos y se distingue de él por múltiples ventajas y también múltiples inconvenientes. Los CDPs y las nubes son dos cosas bien distintas.

¿Cómo afecta a la seguridad y calidad de los recursos propios alimentar éstos con datos que provienen de la nube? ¿Cómo se evitan los “apagones” masivos en la nube? ¿Dónde han estado mis datos y quién ha tenido acceso a ellos? La movilidad de aplicaciones y datos contituyen temas pendientes de solución. Y tanto el cifrado, como el control de integridad y la identidad son conceptos que, a fecha de hoy, no están dentro del breviario de los apóstoles de la nube.

La nube permite la fragmentación de los datos y su dispersión geográfica, lo cual, en el caso del almacenamiento, es una gran ventaja. En el futuro, cada nodo de la nube tendrá detrás de él a un equipo dedicado de profesionales y entre sus objetivos estará que las cosas vayan bien. Al ser nodos especializados, su inversión será intensiva y se preocuparán, en la medida de lo posible, de la seguridad de sus servicios. Las nubes aportan tolerancia a fallos y se puede confiar en ellas en cuanto a la continuidad de su servicio. La capacidad de reconstrucción de los servicios en la nube no es alcanzable dentro de un esquema de CPD tradicional.
El paradigma de la nube tiene una gran resistencia y flexibilidad y podría estar muy vigilada, por lo que el tiempo de detección de ataques puede ser corto. El paradigma de la nube todavía tiene mucho que hacer en lo que se refiere a la dispersión de datos privados protegidos por leyes nacionales e internacionales; por ejemplo, la directiva europea de protección de datos personales o el U.S. Safe Harbor program.
También hay que resolver la exposición de los datos ante agentes y gobiernos extranjeros, y el problema de que alguien se pueda quedar con los datos; para ello es necesario poder ofrecer y gestionar el aislamiento tanto de procesos como información en la nube. Por el momento, todavía está pendiente poder gestionar eficientemente las estructuras en multi-arriendo y la propiedad de los datos. Es necesario resolver los problemas de identidad (autenticación) a la hora de saber quién se conecta y para qué (autorización). La nube no sólo atraerá a los honestos ciudadanos o empresarios, sino también a los no tan honestos, ya que ella misma se convierte en un objetivo de alto valor añadido. Por otra parte, si ya es difícil intentar asegurar un sistema operativo corriendo en una máquina, más aún lo es si ese sistema operativo es “virtual” y se ejecuta en una red abstracta como es la nube. También hay más preguntas pendientes, ¿Cómo afecta a la seguridad y calidad de los recursos propios alimentar éstos con datos que provienen de la nube? ¿Cómo se evitan los “apagones” masivos en la nube? ¿Dónde han estado mis datos y quién ha tenido acceso a ellos? La movilidad de aplicaciones y datos, así como la definición de zonas acotadas, constituyen temas pendientes de solución. Tanto el cifrado, como el control de integridad y la identidad son conceptos que hoy en día no están dentro del breviario de los apóstoles de la nube.

El paradigma de la nube todavía tiene mucho que hacer en lo que se refiere a la dispersión de datos privados protegidos por leyes nacionales e internacionales. También hay que resolver la exposición de los datos ante agentes y gobiernos extranjeros, y el problema de que alguien se pueda quedar con la información; para ello es necesario poder ofrecer y gestionar el aislamiento tanto de procesos como de datos en la nube. Por el momento, todavía está pendiente poder gestionar eficientemente las estructuras en multi-arriendo y la propiedad de los datos.

A pesar de todos los inconvenientes, hay que tener en cuenta que la nube propugna y podría alcanzar un nivel de explotación de los recursos del cien por cien y eso es muy conveniente. Lo cierto es que hay millones de servidores encerrados dentro de multitud de datacenters, que sólo usan el 15 % de su capacidad, y que se gastan billones de dólares todos los años en comprar máquinas nuevas o en mantener las que ya se tienen. La instalación y el mantenimiento del software dan cuenta de casi un 80% del gasto en esa partida. El consumo en electricidad en esos centros es cien veces mayor que el de una oficina normal, y el consumo medio de los servidores se ha cuadruplicado entre 2001 y 2006. En ese periodo de tiempo, el número de máquinas también se ha duplicado. Con este panorama, es fácil entender por qué las tecnologías de la información son responsables del 2% de las emisiones totales de CO2 a la atmósfera y de algunos residuos nucleares que nadie menciona. Estas cantidades podrían reducirse a la mitad si realmente se utilizasen tecnologías de Green Computing⁸ (energy-efficient computing).
Tim O’Reilly dijo en una ocasión que “Everything we think of as a computer today is really just a device that connects to the big computer that we are all collectively building” y puede ser que tenga razón. Pero muchos años antes, Arthur Clarke vaticinó en uno de sus cuentos⁹ el nacimiento de “algo nuevo” cuando las redes y sus acciones se globalizasen; en aquel momento se trataba de la red telefónica, y ahora de la nube Internet, pero en ambos casos el resultado sería maravilloso, aunque del todo ingobernable.
A la nube le queda mucho por madurar antes de que se pueda decir que es mínimamente segura y pueda siquiera tratar con datos de alguna importancia. El almacenamiento en la nube puede progresar, ya que el cliente siempre puede cifrar los datos antes de entregarlos a la indeterminación, pero la computación y la prestación de servicios en la nube serían, mas que “cloud computing”, “Full-Monty computing”¹⁰ por aquello de la “desprotección”…