Amazon busca mover dispositivos de seguridad a la nube, dice CISO

Amazon Web Services (AWS) busca expandir sus ofertas de seguridad con dispositivos de protección contra intrusos alojados y más amplias características de encriptación, ya que busca aumentar el nivel de protección que los usuarios pueden obtener en su nube.

Para Amazon, probar que su plataforma de computación en la nube puede ofrecer el mismo nivel de seguridad que el hardware y software tradicional ha sido un desafío constante.

[Es difícil que las empresas cumplan con sus requisitos de seguridad existentes en la nube es una idea errónea común, según Stephen Schmidt, director de seguridad de la información de Amazon Web Services.

[Furt su lectura: cómo eliminar el malware de su PC con Windows]

"Por ejemplo, les preocupa el control de acceso; control del dispositivo perimetral de red; y la capacidad de construir redes de manera coherente con sus requisitos particulares de cumplimiento o cumplimiento. En la mayoría de los casos encontramos que no solo pueden hacer lo que están haciendo ahora en la nube, sino que tienen controles más granulares ", dijo Schmidt.

También existe un concepto erróneo sobre la separación de los recursos informáticos en la nube, según Schmidt.

"Algunas personas han escrito artículos académicos que dicen que es teóricamente posible, por ejemplo, tener quizás un canal lateral entre hipervisores … donde se puede pasar información entre máquinas virtuales. Lo importante de eso es que esos son documentos académicos establecidos en un entorno de laboratorio, en lugar de en el mundo real ", dijo Schmidt.

El servicio Virtual Private Cloud, que permite a los usuarios configurar una sección de la nube de Amazon aislada lógicamente niega completamente esa amenaza, según Schmidt.

Dispositivos de seguridad en la nube

La compañía ahora está trabajando con socios para permitir que las empresas muevan los dispositivos de seguridad a la nube, incluidos los dispositivos virtuales para la detección y prevención de intrusiones. El paso a la nube será una bendición para las empresas que están preocupadas por los ataques de denegación de servicio que dependen del uso de mucho ancho de banda, según Schmidt.

"Obviamente, las empresas individuales no pueden permitirse tener el tipo de conectividad a Internet que podamos. Además, no necesariamente tienen la experiencia de la red para mitigar los ataques a gran escala, mientras que nosotros sí ", dijo.

Amazon ampliará las formas en que el cifrado se puede usar para ayudar a proteger la información, así como

" Creo en el corto plazo, nos verá habilitar el cifrado en piezas de datos más pequeñas y más granulares ", dijo Schmidt.

El camino de Amazon para mejorar la funcionalidad de cifrado ya comenzó con la reciente incorporación de Oracle Transparent Data Encryption a su servicio de base de datos relacional (RDS) y con la introducción de CloudHSM, un servicio que usa un dispositivo separado para proteger las claves criptográficas utilizadas para el cifrado.

"Puede ver que hay un tema aquí. Brinde a los clientes las herramientas para crear una infraestructura de encriptación que les permita garantizar que solo las personas que quieran, ya sea en su organización o en la nuestra, tengan acceso a esa información ", dijo Schmidt.

Certificaciones

Una parte clave de los esfuerzos de seguridad de Amazon ha estado recibiendo varios tipos de certificaciones.

"Para algunas industrias, es absolutamente imprescindible. Por ejemplo, para que Amazon.com se mueva a AWS teníamos que cumplir con PCI, debido a los volúmenes de transacción de la tarjeta de crédito. Para que las organizaciones del gobierno de EE. UU. Se mudaran a AWS, teníamos que cumplir con sus reglas y regímenes y para el gobierno del Reino Unido teníamos que cumplir con las suyas ", dijo Schmidt.

Para organizaciones donde el cumplimiento no es obligatorio, entonces las certificaciones, incluyendo ISO 27001, todavía funciona como una forma de que entiendan cómo Amazon practica la seguridad, según Schmidt.

Una certificación Amazon todavía está trabajando en es Riesgo Federal y Autorización de Gestión de Programas (FedRAMP), un programa de gobierno que tiene como objetivo estandarizar la evaluación de la seguridad, autorización y supervisión continua de servicios en la nube, según Amazon.

“Es un proceso evolutivo. El gobierno de Estados Unidos bastante no ha decidido lo que quiere hacer con FedRAMP, y sigue cambiando algunos de los criterios de evaluación, pero es de esperar que será liquidado pronto porque estamos muy ansiosos de que uno “, dijo Schmidt.

Las organizaciones y agencias gubernamentales pueden confiar en FedRAMP en lugar de hacer sus propias evaluaciones, lo que resulta en ahorros de costos y evaluaciones uniformes. Hoy en día algunas organizaciones son más capaces de realizar una buena opinión que otros son, pero el programa se FedRAMP limar esas diferencias y elevar el nivel de seguridad en todo el espacio de gobierno, según Schmidt.