Seguridad en la nube, API y arquitecturas serverless E-Book

Seguridad en la nube, API y arquitecturas serverless

© 2026 José Manuel Ortega Candel

Primera edición, 2026

© 2026 MARCOMBO, S. L. www.marcombo.com

Gran Via de les Corts Catalanes 594, 08007 Barcelona

Contacto: [email protected]

Ilustración de cubierta: Jotaká

Corrección: José López Falcón

Maquetación: Reverté-Aguilar, S.L.

Directora de producción: M.a Rosa Castillo

Cualquier forma de reproducción, distribución, comunicación pública o transformación de esta obra solo puede ser realizada con la autorización de sus titulares, salvo excepción prevista por la ley. Diríjase a CEDRO (Centro Español de Derechos Reprográficos, www.cedro.org) si necesita fotocopiar o escanear algún fragmento de esta obra.

ISBN del libro en papel: 978-84-267-4114-1

ISBN del libro electrónico: 978-84-267-4202-5

Producción del ePub: booqlab

Dedicado a los lectores. Su curiosidad y pasión por el conocimiento hacen que la escritura cobre vida.

Contenido

Cubierta

Título

Créditos

Contenido

Introducción

CAPÍTULO 1

Introducción a la computación en la nube

1.1. Introducción

1.2. Tipos de servicios en la nube

1.2.1. Nube privada

1.2.2. Nube pública

1.2.3. Nube híbrida

1.2.4. Nube híbrida vs multinube

1.2.5. Software como servicio (SaaS)

1.2.6. Plataforma como servicio (PaaS)

1.2.7. Infraestructura como servicio (IaaS)

1.2.8. Funciones como servicio (FaaS)

1.3. Importancia de la computación en la nube

1.3.1. Ventajas y desventajas de la computación en la nube

1.4. Seguridad en los proveedores cloud

1.4.1. El modelo de responsabilidad compartida

1.5. Supervisión en la nube

1.5.1. Tipos de supervisión en la nube

1.5.2. Ventajas de la supervisión en la nube

CAPÍTULO 2

Seguridad en la nube

2.1. Introducción

2.2. Objetivos de la seguridad en la nube

2.3. Seguridad en la nube vs seguridad tradicional

2.4. Principales amenazas a la seguridad en la nube

2.4.1. Gestión insuficiente de identidades, credenciales, accesos y claves

2.4.2. Interfaces y API inseguras

2.4.3. Configuraciones incorrectas y control de cambios inadecuado

2.4.4. Falta de arquitectura y estrategia de seguridad en la nube

2.4.5. Desarrollo de software inseguro

2.4.6. Vulnerabilidades del sistema

2.4.7. Grupos APT

2.4.8. Exfiltración de datos en la nube

2.5. Amenazas de la Cloud Security Alliance (CSA)

2.5.1. Violaciones de datos

2.5.2. Gestión insuficiente de identidad, credenciales y acceso

2.5.3. API inseguras

2.5.4. Mal uso de los servicios en la nube

2.5.5. Denegación de servicio (DoS)

2.6. Prácticas recomendadas de seguridad para los clientes de la nube

2.6.1. Protección de datos en la nube

2.6.2. Almacenamiento y uso compartido de archivos en la nube

2.7. Estrategias de seguridad entornos cloud

2.8. Principios de diseño para la seguridad en la nube

2.8.1. Controles de detección

2.8.2. Protección de la infraestructura

2.8.3. Respuesta ante incidentes

CAPÍTULO 3

Frameworks y metodologías cloud

3.1. Introducción

3.2. Cyber Kill Chain

3.3. MITRE ATT&CK FRAMEWORK

3.3.1. MITRE ATT&CK en entornos cloud

3.4. Implementación estratégica del MITRE ATT&CK

3.4.1. Mapping de técnicas y tácticas en la seguridad operacional

3.4.2. Creación de simulacros de amenazas realistas

3.4.3. Mejora continua del programa de seguridad operacional

3.5. Posibles usos de las matrices de MITRE

CAPÍTULO 4

Sistemas de gestión de accesos e identidades (IAM)

4.1. Introducción

4.2. Características de los sistemas IAM

4.3. Soluciones IAM

4.3.1. Ventajas de las soluciones IAM

4.4. Estándares de gestión de identidad y accesos cloud

4.5. Administrar usuarios e identidades para infraestructuras cloud

4.5.1. Brokers de identidad (Identity Brokers)

4.6. Autenticación cloud y credenciales

4.7. AWS Identity and Access Management (IAM)

4.7.1. Usuarios IAM

4.7.2. Grupos IAM

4.7.3. Roles IAM

4.7.4. Políticas IAM

4.7.5. Tipos de políticas de identidad y administración de acceso (IAM)

4.7.6. Amazon Resource Names (ARN)

4.7.7. Prácticas recomendadas para el servicio de IAM

4.8. Escalada de privilegios basada en IAM

4.8.1. Permisos de IAM en otros usuarios

4.8.2. Permisos sobre políticas

4.8.3. Permiso IAM:PassRole

CAPÍTULO 5

Servicios de seguridad en AWS

5.1. Introducción

5.2. Modelo de madurez en seguridad de AWS

5.3. Accediendo a los servicios de AWS

5.3.1. AWS CLI

5.3.2. Autenticación en AWS CLI

5.4. Cuentas de usuario en AWS

5.4.1. Autenticación multifactor (MFA)

5.4.2. Claves de acceso (access keys) y par de claves (key pairs)

5.5. Enumeración de usuarios, grupos y roles con AWS CLI

5.5.1. Enumeración de usuarios

5.5.2. Enumeración de grupos

5.5.3. Enumeración de roles

5.6. Enumeración automatizada por medio de fuerza bruta

5.6.1. Enumerate-IAM.py

5.6.2. CLIAM

5.6.3. IAMFinder

5.7. Protección contra ataques DDoS

5.7.1. Defensa de la capa de infraestructura

5.7.2. Detectar y filtrar peticiones web malintencionadas

5.8. Ofuscación de los recursos en AWS

5.8.1. Ofuscación de Buckets S3

5.8.2. Ofuscación de direcciones IP y endpoints en AWS

5.8.3. Ofuscación de credenciales y secretos

5.9. Amazon S3 (Simple Storage Service)

5.9.1. Objetos en Amazon S3

5.9.2. Extracción de archivos de buckets de S3 a través de AWS CLI

5.9.3. Políticas de buckets

5.9.4. Identificando vulnerabilidades en S3

5.10. AWS Elastic Compute Cloud (EC2)

5.10.1. Grupos de seguridad

5.10.2. Enumeración de instancias de EC2 con AWS CLI

5.11. AWS CloudFront

5.12. AWS CloudTrail

5.12.1. Configuración de CloudTrail

5.13. AWS CloudWatch

5.14. AWS Cognito

5.14.1. Cognito Scanner

5.15. AWS API Gateway

5.16. AWS GuardDuty

5.17. AWS Secrets Manager

5.17.1. Enumeración de secretos con AWS CLI

5.18. Amazon Detective

5.19. Análisis de vulnerabilidades con herramientas automatizadas

5.19.1. Prowler: análisis de seguridad en AWS

5.19.2. Cloudsplaining

5.19.3. Cloud Custodian

5.19.4. CloudMapper

5.19.5. PACU

5.19.6. Cloud Container Attack Tool

CAPÍTULO 6

Seguridad en Google Cloud Platform (GCP)

6.1. Introducción

6.2. Google IAM

6.3. Google Resource Manager

6.4. Security Command Center

6.5. Google Security Operations (SecOps)

6.6. Google Cloud Security Scanner

6.7. GCP Scanner

6.8. PurplePanda

6.9. Hayat

6.10. GCP IAM Collector

6.11. GCP Firewall Enum

6.12. GCPbucketBrute

CAPÍTULO 7

Seguridad en Azure Cloud

7.1. Introducción

7.2. Beneficios de Azure para las empresas

7.3. Microsoft Defender for Cloud

7.4. Microsoft Entra ID

7.5. Azure Resource Manager (ARM)

7.6. Azure Application Gateway

7.6.1. Web Application Firewall

7.7. Azure Load Balancer

7.8. Azure Traffic Manager

7.9. Azure Key Vault

7.10. Monkey365

CAPÍTULO 8

Arquitecturas Zero Trust

8.1. Introducción

8.2. Modelo Zero Trust

8.2.1. Necesidad de un nuevo modelo de seguridad Zero Trust

8.3. Seguridad sin perímetro (perimeterless security)

8.3.1. Componentes clave del modelo Zero Trust

8.4. Principios del modelo de Zero Trust

8.4.1. Pilares del modelo de madurez de Zero Trust

8.5. Ventajas de la arquitectura Zero Trust

8.6. Tipos de arquitectura Zero Trust

8.6.1. Acceso a la red de confianza cero (ZTNA)

8.6.2. Protección de datos de confianza cero (ZTDP)

8.7. El uso de la inteligencia artificial en Zero Trust

CAPÍTULO 9

Seguridad y auditorías en arquitecturas serverless

9.1. Introducción

9.2. Arquitectura monolítica vs microservicios vs serverless

9.3. Casos de uso en computación serverless

9.4. Plataforma serverless de AWS

9.4.1. AWS Lambda

9.4.2. Enumeración de AWS Lambda con AWS CLI

9.4.3. Funciones lambda

9.4.4. Modelos de invocación para ejecutar funciones lambda

9.5. Nuevos vectores de ataque en arquitecturas serverless

9.6. OWASP Serverless Top 10

9.6.1. Function Event Data Injection

9.6.2. Broken Authentication (autenticación rota)

9.6.3. Insecure Serverless Deployment Configuration (configuración insegura de la implementación serverless)

9.6.4. Over-Privileged Function Permissions and Roles (permisos y roles excesivos)

9.6.5. Inadequate Function Monitoring and Logging (monitorización y registro inadecuado de funciones)

9.6.6. Insecure 3rd Party Dependencies (dependencias inseguras de terceros)

9.6.7. Insecure Application Secrets Storage (almacenamiento inseguro de secretos en la aplicación)

9.6.8. Denial of Service and Financial Resource Exhaustion (denegación de servicio y agotamiento de recursos financieros)

9.6.9. Serverless Function Execution Flow Manipulation (manipulación del flujo de ejecución de las funciones serverless)

9.6.10. Improper Exception Handling and Verbose Error Messages (manejo inadecuado de excepciones y mensajes de error)

9.7. Ataques DDoS

9.8. Ataques DoW (Denial of Wallet)

9.9. Damn Vulnerable Serverless Application

9.10. Auditorías en arquitecturas serverless

CAPÍTULO 10

Seguridad y auditorias en API

10.1. Introducción

10.2. Principales riesgos de seguridad en API

10.3. Introducción al OWASP API Security Top 10

10.3.1. Broken Object Level Authorization

10.3.2. Broken Authentication

10.3.3. Broken Object Property Level Authorization

10.3.4. Unrestricted Resource Consumption

10.3.5. Broken Function Level Authorization

10.3.6. Unrestricted Access to Sensitive Business Flows

10.3.7. Server Side Request Forgery (SSRF)

10.3.8. Security Misconfiguration

10.3.9. Improper Asset Management

10.3.10. Unsafe Consumption of API

10.4. Inyección de datos en API

10.4.1. Inyección SQL

10.4.2. Inyección GraphQL

10.4.3. Mejores prácticas para prevenir inyección de datos en API

10.5. Autenticación y autorización para la seguridad en API

10.6. Herramientas para la seguridad en API

10.6.1. OWASP ZAP

10.6.2. Burp Suite

10.6.3. API Security Scanner

10.7. Mitigar las amenazas de las API

Glosario

Guide

Cubierta

Título

Start

Introducción

La computación en la nube, las interfaces de programación de aplicaciones (API) y las arquitecturas serverless se han convertido en pilares fundamentales de la infraestructura digital moderna. Su agilidad, escalabilidad y eficiencia han revolucionado la forma en que las organizaciones desarrollan, implementan y gestionan sus aplicaciones y servicios. Sin embargo, esta transformación también ha introducido un nuevo conjunto de desafíos en el ámbito de la seguridad.

A medida que las empresas migran sus cargas de trabajo a la nube, exponen sus activos de información a un panorama de amenazas en constante evolución. Las API, que actúan como puentes entre diferentes sistemas y servicios, se han convertido en objetivos atractivos para los ciberatacantes. Por su parte, las arquitecturas serverless, aunque ofrecen numerosos beneficios operativos, requieren un enfoque de seguridad diferente, debido a su naturaleza efímera y distribuida.

Este libro surge de la necesidad de proporcionar una guía completa y práctica para abordar los desafíos de seguridad inherentes a estos tres pilares de la tecnología actual. A través de los diferentes capítulos, exploramos las amenazas específicas a las que se enfrentan los entornos en la nube, las API y las arquitecturas serverless. También presentaremos estrategias, técnicas y mejores prácticas para mitigarlas de manera efectiva.

Dirigido a profesionales de la seguridad, desarrolladores, arquitectos de soluciones en la nube y cualquier persona interesada en comprender y fortalecer la seguridad de las aplicaciones y servicios modernos, esta obra busca ofrecer un conocimiento exhaustivo y aplicable para construir sistemas robustos y resilientes en el panorama digital actual.

Entre los principales objetivos de aprendizaje que persigue este libro podemos destacar:

● Comprender los fundamentos de la seguridad en la nube, entre los que están los modelos de responsabilidad compartida, las amenazas específicas de entornos cloud y las principales consideraciones de seguridad para diferentes proveedores de nube.

● Identificar y analizar las vulnerabilidades comunes en las API, tanto en su diseño como en su implementación, y aplicar medidas de seguridad para protegerlas contra ataques como la inyección, la manipulación de parámetros y la denegación de servicio.

● Conocer en profundidad las arquitecturas serverless, sus componentes clave (como las funciones lambda, los contenedores serverless y las bases de datos NoSQL) y los modelos de seguridad específicos que requieren.

● Implementar estrategias de seguridad efectivas para proteger las aplicaciones y servicios construidos con arquitecturas serverless, abordando aspectos como la gestión de identidades y accesos, la seguridad de las funciones, la protección de datos y la monitorización.

● Aplicar las mejores prácticas para asegurar la comunicación entre servicios en la nube a través de API, utilizando protocolos seguros, mecanismos de autenticación y autorización robustos, también las técnicas de cifrado adecuadas.

● Entender los aspectos de cumplimiento normativo y las consideraciones legales relevantes para la seguridad en la nube, las API y las arquitecturas serverless.

● Adquirir el conocimiento necesario para diseñar, implementar y operar soluciones seguras utilizando tecnologías de nube, API y arquitecturas serverless.

CAPÍTULO 1

INTRODUCCIÓN A LA COMPUTACIÓN EN LA NUBE

1.1. Introducción

El NIST (National Institute of Standards and Technology) define así el término computación en la nube (cloud computing): «Es un modelo para habilitar acceso conveniente bajo demanda a un conjunto compartido de recursos computacionales, por ejemplo, redes, servidores, almacenamiento, aplicaciones y servicios, que pueden ser rápidamente provisionados y liberados con un esfuerzo mínimo de administración con el proveedor de servicios».

La computación en la nube se refiere a la prestación de servicios de computación en Internet, como aplicaciones de software, redes, almacenamiento o servidores. A diferencia de lo que ocurre con los sistemas tradicionales, en los que el alojamiento de los datos, los servidores y las aplicaciones son locales, a través del cloud computing los proveedores de servicios en la nube alojan los datos en sus propios centros, que se ubican en un lugar diferente, y es posible acceder a estos datos a través de Internet. Entre las ventajas de la computación en la nube figuran:

●Reducción de costes: la utilización en este ámbito del proveedor de servicios permite utilizar un gran número de productos desde el ordenador del usuario.

●Gestión: la idea aquí es que la gestión se encuentre completamente automatizada, para transmitir la sensación al cliente, que no tiene que preocuparse por nada.

●Prestaciones: aquí encontramos un mundo de utilidades que ofrece el paradigma cloud. Por un lado, la gran adaptación elástica a la demanda dinámica de recursos; es decir, si en un momento el cliente precisa de un mayor número de recursos, el proveedor de servicios los puede ofrecer sin problema. Esto es lo que se conoce como escalabilidad dinámica. Por otro lado, nos permite una capacidad de almacenamiento ilimitada, siguiendo en la misma línea que lo anterior. Además, ofrece una disponibilidad de los recursos (casi) permanente, desde cualquier sitio, cualquier dispositivo y a cualquier hora.

También es posible recibir asistencia de profesionales especializados en la materia para gestionar las operaciones de TI, lo que elimina la necesidad de contar con un equipo de este tipo completamente desarrollado que pueda encargarse de la instalación y el mantenimiento de los sistemas. Al mismo tiempo, los riesgos y amenazas en cloud computing se incrementan, ya que se están compartiendo los datos con un centro que también utilizan otras empresas. No existe control alguno ni es posible saber cómo se gestiona el centro de datos, ni cómo ni dónde se almacenan nuestros datos.

En resumen, el cloud computing es un modelo para hacer posible el acceso bajo demanda a un conjunto de recursos de computación configurables y compartidos (por ejemplo, redes, servidores, almacenamiento, aplicaciones y servicios...) cuyo aprovisionamiento y liberación puede realizarse con rapidez y con un mínimo esfuerzo de gestión e interacción por parte del proveedor del cloud. Los recursos de computación (hardware y software) de estos modelos están disponibles a través de Internet.

1.2. Tipos de servicios en la nube

En la actualidad, una de las tendencias del mercado de los sistemas de información es la proliferación de los servicios que operan en la nube. Estos servicios permiten la asignación dinámica de recursos en función de las necesidades de los clientes y aportan una reducción de costes en infraestructuras considerable.

Las ofertas de SaaS, el almacenamiento y diversos servicios de infraestructura y plataforma están disponibles a través de proveedores de servicios de nube pública como Amazon Web Services (AWS), Microsoft Azure y Google Cloud. Hay cuatro subtipos de despliegue de infraestructura en la nube:

●Nube privada: infraestructura exclusiva que utiliza una sola organización propiedad de un tercero o de la propia organización, que es responsable de todos los aspectos de la gestión de la seguridad. Los usuarios habituales suelen ser los Gobiernos, las empresas financieras y otras instituciones que tienen que proteger datos especialmente confidenciales.

●Nube pública: infraestructura propiedad de un tercero, y compartida entre varias organizaciones, que también comparte las responsabilidades de seguridad con el proveedor de acuerdo con un modelo de responsabilidad compartida. Los servicios de la nube pública, como Google Workspace y Microsoft 365, son muy utilizados en todo el mundo.

●Nube híbrida: una combinación de implementación privada y pública en la que una organización utiliza cada una de sus ventajas, como la escalabilidad (nube pública) o los controles más estrictos (nube privada). Los usuarios habituales son los equipos de DevOps y otros equipos que necesitan sistemas flexibles y configurables.

●Multinube: infraestructura compartida que generalmente usan las organizaciones que necesitan acceder a las mismas aplicaciones y/o tienen los mismos requisitos de segmentación y privacidad (por ejemplo, PCI DSS). Hay empresas de todo el mundo que usan entornos multinube para acceder a los servicios de numerosos proveedores.

Hay cinco modelos principales de servicio en la nube:

●Infraestructura como servicio (IaaS): infraestructura virtualizada, gestionada por un tercero, en la que una organización puede instalar software. Ejemplos: Amazon Web Services (AWS), Microsoft Azure, Google Compute Engine (GCE).

●Contenedores como servicio (CaaS): permiten gestionar e implementar aplicaciones utilizando el aislamiento de contenedores. Los proveedores ofrecen el marco, o la plataforma de la organización, donde se realiza toda la implementación y gestión de los contenedores, y proporcionan de esta manera la automatización de funciones TI. Este es uno de los servicios más utilizados por los desarrolladores, ya que facilita el diseño de aplicaciones escalables y seguras mediante contenedores. Ejemplos: Amazon Elastic Container Service (ECS), Azure Container Instances (ACI).

●Plataforma como servicio (PaaS): herramientas en la nube que los desarrolladores pueden utilizar para crear, probar e implementar aplicaciones en un entorno escalable. Ejemplos: AWS Elastic Beanstalk, Windows Azure, Google App Engine.

●Función como servicio (FaaS): es similar a PaaS, pero en este caso adaptado a las funciones individuales de las aplicaciones, que se pueden activar o desactivar muy rápido. Ejemplos: AWS Lambda, Microsoft Azure Functions, Google Cloud Functions.

●Software como servicio (SaaS): soluciones completas de software suministradas desde la nube, que pueden ser gratuitas o de pago. Ejemplos: Google Workspace, Microsoft Dynamics CRM, IBM Watson Assistant, Salesforce, Dropbox.

Figura 1.1 Modelos de computación en la nube

En la siguiente tabla se pueden ver de forma resumida los tres tipos de servicios que se pueden ofrecer como computación en la nube, además de algunas soluciones ejemplo que permiten desplegar nubes para prestarlos.

Tipo de servicio

Servicios ofrecidos

Ejemplos

Infraestructura como servicio – IaaS

Hosting: capacidad de cómputo, conexión y almacenamiento

Amazon Web Services EC2 y S3, Chef, Puppet, OpenNebula, OpenStack

Plataforma como servicio – PaaS

Construcción: entorno de desarrollo y prueba de software

Microsoft Windows Azure, Google App Engine, Force

Software como servicio - SaaS

Consumo: aplicaciones finales

Salesforce, Google Apps, BitNami

1.2.1. Nube privada

La nube privada es propia de cada empresa o corporación, que es la responsable de garantizar la seguridad y la recuperación de los datos contenidos en esa nube. La nube privada puede alojarse en las instalaciones de la propia empresa y también es posible contratar con un proveedor de Internet este servicio (servidor virtual). En cualquier caso, es responsabilidad de la empresa el mantenimiento tanto del sistema operativo instalado en estos como de las aplicaciones y actualizaciones necesarias para que todo funcione, por lo que requiere ciertos conocimientos para gestionar correctamente la información contenida en estos espacios (gestión de copias de seguridad, antivirus, cortafuegos, etc.).

Al contrario que la nube pública, la nube privada es administrada por el propio usuario, que tiene todo el control sobre ella. Las ventajas iniciales que aportan las nubes públicas desaparecen por tanto y el usuario debe realizar un esfuerzo inicial de instalación y configuración de la nube en su propio data center, más la administración y el mantenimiento posterior.

Este tipo de infraestructuras cloud se crean con los recursos propios de la empresa que lo implanta, generalmente con la ayuda de empresas especializadas en este tipo de tecnologías.

Ventajas

Inconvenientes

Cumplimiento de las políticas internas

Costes más elevados

Facilidad para trabajo colaborativo entre sedes distribuidas

Dependencia de la infraestructura contratada

Control total de los recursos

Retorno de inversión lento dado su carácter de servicio interno

1.2.2. Nube pública

En el caso de la nube pública, los recursos informáticos de los que hacemos uso son propiedad de un proveedor de servicios externos, que pueden resultar de pago o no, en función de su uso. La principal característica de la nube pública es que se comparte con otros usuarios y que estos pueden hacer uso de ella.

En este caso, la infraestructura y los recursos lógicos que forman parte del entorno se encuentran disponibles para el público en general a través de Internet. Suele ser propiedad de un proveedor que gestiona la infraestructura y el servicio o servicios que se ofrecen.

Ventajas

Inconvenientes

Escalabilidad

Se comparte la infraestructura con más organizaciones

Eficiencia de los recursos mediante los modelos de pago por uso

Poca transparencia para el cliente, ya que no se conoce el resto de servicios que comparten recursos, almacenamiento, etc.

Gran ahorro de tiempo y costes

Dependencia de la seguridad de un tercero

Estas nubes son al cien por cien administradas por una tercera parte, el proveedor del servicio, por lo que su puesta en marcha, administración y mantenimiento no suponen un esfuerzo para sus usuarios. Además, el acceso y utilización de los servicios es prácticamente inmediato. Como inconveniente, los recursos de computación, almacenamiento, etc. que ofrece el data center sobre el que está instalada la nube del proveedor son compartidos entre sus usuarios.

1.2.3. Nube híbrida

Los espacios de nube híbrida se caracterizan por combinar uno o varios servicios de la nube pública y privada, con el objetivo de obtener todos aquellos servicios que se necesitan minimizando los costes económicos. En lugar de tener que contratar una nube privada con mucho espacio para almacenar la información que necesitemos, podemos optar por ubicar la información pública (poco sensible) en una nube pública, y los datos sobre estrategias, investigaciones, CRM, etc. en una nube privada en la que se incluyan sistemas de seguridad avanzados.

Como su nombre indica, se trata de una solución cloud intermedia entre nubes públicas y privadas, una combinación de ambas. En este tipo de nubes el cliente tiene el control solamente sobre las aplicaciones y servicios principales de la nube, mientras que la administración del resto es delegada.

Esto precisamente es lo que puede añadir cierta complejidad a su implantación, por lo que su uso actual se encuentra en prueba, sobre todo para aplicaciones y servicios que precisan sincronización o el uso de sistemas de almacenamiento y bases de datos complejos. Sí son más comunes los casos de utilización de nubes de almacenamiento híbridas o de nubes de hosting web híbridas, en las que existen equipos del clúster que son físicos y otros que son máquinas virtuales.

1.2.4. Nube híbrida vs multinube

Otro concepto relacionado con el almacenamiento en la nube es el entorno multinube. En ocasiones se confunde con nube híbrida, pero son términos totalmente diferentes —que en algunas ocasiones pueden darse conjuntamente, eso sí—. Ya hemos dicho que la nube híbrida es una combinación de nube pública y nube privada. El entorno multinube hace referencia al proveedor de servicios en la nube. Cuando utilizamos un entorno en el que tenemos dos o más proveedores de servicios en la nube, se define como multinube. Estos servicios pueden ser de nubes públicas o privadas, o incluso nubes híbridas.

Un entorno multinube puede utilizar diferentes proveedores de nube para diferentes cargas de trabajo o aplicaciones, de modo que pueda aprovechar los puntos fuertes de cada entorno de nube. Aunque la multinube puede ofrecer mayor control, flexibilidad y rentabilidad que un entorno de nube única, la gestión de un entorno multinube puede ser compleja, por lo que es importante asegurarse de que los distintos entornos de nube se integran correctamente.

1.2.5. Software como servicio (SaaS)

El software como servicio (SaaS) es un modelo de implementación de software en el que el proveedor de la nube aloja las aplicaciones del cliente en su entorno y da acceso a ese cliente a través de Internet. Incluye una oferta completa de software que corre en la nube. Los clientes pueden acceder a la aplicación en la nube para ejercer el uso de esta. El acceso a la aplicación se suele hacer normalmente a través de Internet y es completamente administrada (actualización, configuración, despliegue, auditoría...) por el proveedor de servicio.

Este modelo consiste en un despliegue de software en el cual las aplicaciones y los recursos computacionales se han diseñado para ser ofrecidos como servicios de funcionamiento bajo demanda, con estructura de servicios llave en mano. De esta forma se reducen los costes tanto de software como hardware, así como los gastos de mantenimiento y operación. Las consideraciones de seguridad son controladas por el proveedor del servicio. El suscriptor del servicio únicamente tiene acceso a la edición de las preferencias y a unos privilegios administrativos limitados. Las características fundamentales de este modelo se pueden resumir en:

● El software está disponible globalmente a través de Internet y bajo demanda.

● El modelo de subscripción suele ser mediante licencias o basado en uso y se cobra por meses.

● Todo lo relativo a operaciones es responsabilidad del proveedor.

● Las actualizaciones, mejoras, evoluciones o parches en las aplicaciones deben ser siempre transparentes para el usuario y por supuesto no debe hacer ningún tipo de configuración.

● SaaS soporta múltiples usuarios generalmente con un modelo multitenant.

Desde el punto del cliente que va a adquirir los servicios de una aplicación ofrecida como servicio, existen una serie de requisitos mínimos necesarios que un SaaS debe ofrecer:

●Rendimiento: un SaaS debe ofrecer un rendimiento mínimo y aceptable para que sea atractivo adquirirla. El problema aquí es definir mínimo y aceptable. Aunque es un concepto subjetivo puede ser medible en tiempos de respuesta en el acceso a los datos, de ejecución los procesos de negocio y de comunicación a la propia aplicación.

●Acuerdo de nivel de servicio (Service Level Agreement): el proveedor de la aplicación SaaS debería ofrecer varios niveles de servicio a los clientes. Habrá algunos que necesitan su aplicación disponible 8×5 (5 días a la semana, 8 horas) y habrá clientes que necesiten 24×7 (7 días a la semana, 24 horas). El proveedor deberá instalar en sus sistemas los mecanismos necesarios para poder ofrecer este tipo de acuerdo en forma de servicios como backups, clústeres de alta disponibilidad de datos y aplicación, etc.

●Privacidad en las comunicaciones: debido a la importancia de los datos que puedan albergar las aplicaciones, es necesario que la comunicación que se realiza a través de Internet sea segura, esto es, debe realizarse a través de https u otra forma de comunicación que asegure la privacidad de las comunicaciones.

●Privacidad de los datos: el proveedor también debería asegurar que los datos estén seguros y accesibles única y exclusivamente por el dueño de los datos.

●Monitorización de la aplicación: el cliente debe saber de alguna forma qué ocurre en su aplicación, por ejemplo, quién accede, a qué procesos, a qué datos, etc. Esto es obligado cuando el pago por el uso de la aplicación se realiza a través de conceptos como horas de utilización de la aplicación, consumo de espacio de disco o cualquier otra forma que sea variable.

●Acceso de los datos: el resto de las aplicaciones de la organización deben acceder, a través de API o de Web Services, a los datos y lógica de negocio que se utilizan y generan por el uso del SaaS, sobre todo en clientes que tengan adoptada la arquitectura SOA en su sistema de información.

Cuando tenemos que elegir qué aplicación queremos que cubra cierta funcionalidad para nuestra empresa o área funcional, debemos saber qué nos ofrece el proveedor desde diferentes puntos de vista. Por ejemplo, no es lo mismo que el software lo ofrezca a un único cliente o que lo comparta con otros clientes; tampoco es lo mismo que el recurso que comparta sea el código de la aplicación que la base de datos donde lo almacenas.

Para decidir qué nos interesa más desde el punto de cliente, antes analizaremos qué nos podemos encontrar actualmente en el mercado, tomando como referencia lo que Microsoft definió como «modelo de madurez de SaaS»:

●Nivel 1 de madurez: en este nivel, el cliente tiene su propia versión personalizada de la aplicación alojada. Corre su propia instancia de la aplicación en los servidores del proveedor.

●Nivel 2 de madurez: en este nivel, hay un vendedor (propietario) y un cliente (arrendatario). El proveedor aloja una instancia independiente para cada aplicación de cada cliente. En este nivel todas las implementaciones son del mismo código y el proveedor conoce las necesidades de los clientes, proporcionando opciones detalladas de configuración que permiten al cliente cambiar la forma en la que la aplicación se ve y se comporta para sus usuarios. Los cambios realizados por el arrendatario pueden permitir la disponibilidad de diversas opciones de personalización para sus clientes.

●Nivel 3 de madurez: en este nivel, el vendedor, en lugar de acoger una instancia independiente de la solicitud de cada cliente, alberga una sola instancia. Las políticas de autorización y de seguridad garantizan que los datos de cada cliente se mantienen separados de los de otros clientes.

●Nivel 4 de madurez: en este nivel, el proveedor agrupa a varios clientes en una granja con equilibrio de carga para instancias idénticas, donde los datos de cada uno se mantienen separados. Los metadatos configurables proporcionan una experiencia de usuario única y un conjunto de características para cada cliente.

Figura 1.2 Niveles de madurez en SaaS

Como se puede ver en la figura anterior, a medida que aumenta el nivel de madurez se obtiene un mayor aprovechamiento de las economías de escala provenientes de la reducción en cada nivel de los recursos necesarios que componen la solución y, por tanto, del menor mantenimiento.

1.2.6. Plataforma como servicio (PaaS)

La plataforma como servicio (PaaS) proporciona a los clientes el acceso a herramientas de desarrollador necesarias para crear y gestionar aplicaciones (móviles o web) sin tener que invertir en la infraestructura subyacente, y evitar con ello los procesos de mantenimiento que conlleva.

El proveedor aloja los componentes de infraestructura y middleware. Por otro lado, el cliente puede acceder a estos servicios a través de un navegador web. Proporciona una plataforma que permite a los clientes desarrollar, ejecutar y administrar aplicaciones sin la complejidad de construir, desplegar ni mantener la plataforma.

El servicio proporcionado por la nube es un entorno completo, sobre el que puede trabajar con el software, aplicaciones, servicios, etc. que consideramos necesarios en la organización; es decir, la abstracción de un ambiente de desarrollo junto a una serie de servicios es encapsulada y entregada al cliente/usuario, lo cual permite llevar a cabo cada una de las fases de desarrollo y prueba del software tanto de forma genérica como especializada.

De esta forma, se reducen los costes y la complejidad de la compra, el mantenimiento, el almacenamiento, y el control del hardware y el software que componen la plataforma. El suscriptor del servicio tiene control parcial sobre las aplicaciones y la configuración del entorno, ya que la instalación de los entornos dependerá de la infraestructura que el proveedor del servicio haya desplegado. La seguridad se comparte entre el proveedor del servicio y el suscriptor.

1.2.7. Infraestructura como servicio (IaaS)

La infraestructura como servicio (IaaS) permite a los clientes acceder a servicios de infraestructura a través de Internet bajo demanda. Una de sus mayores ventajas es que el proveedor de la nube aloja los componentes de la infraestructura que proporcionan capacidad de cálculo, almacenamiento y red para que los suscriptores puedan ejecutar sus cargas de trabajo.

El suscriptor es el responsable de instalar, configurar, proteger y mantener el software de la infraestructura basada en la nube (por ejemplo: bases de datos, middleware, aplicaciones). Proveen interfaces de alto nivel para gestionar virtualización de recursos hardware (CPU, espacio de disco, RAM, componentes de red...) como servicio. El acceso a estos recursos es total y es responsabilidad del cliente el mantenimiento (actualización, configuración, despliegue, auditoría...) de toda la infraestructura que haga uso de esos recursos hardware.

El servicio ofrecido a los usuarios de la nube consiste en la infraestructura necesaria para utilizar el entorno de ejecución y el software deseados. Fundamentalmente consta de recursos de capacidad de computación, conexión y almacenamiento como servicio (servidores, sistemas de almacenamiento local y compartido, conexiones de red, routers...), por lo que en ocasiones también es denominado como HaaS (Hardware as a Service).

1.2.8. Funciones como servicio (FaaS)

Las funciones como servicio (FaaS) también se conocen como arquitecturas serverless. Indican que los servidores se utilizan como un elemento más de la infraestructura. Este tipo de arquitectura permite la ejecución de aplicaciones a través de contenedores creados en el instante de ejecución de las funciones, de manera que el desarrollador no ha de preocuparse por la gestión de la infraestructura donde se está ejecutando la función, centrándose únicamente en la funcionalidad. Así se simplifica el ciclo de desarrollo, especialmente en arquitecturas basadas en microservicios.

1.3. Importancia de la computación en la nube

La importancia del cloud computing en el panorama actual de tecnologías de la información (TI) ha transformado la manera en que las organizaciones desarrollan, implementan y escalan las aplicaciones y servicios. Algunos de los aspectos clave que destacan la relevancia del cloud computing en el ámbito actual son:

●Agilidad y flexibilidad: el cloud computing permite a las empresas desplegar y escalar recursos de TI rápidamente según las necesidades del negocio. Esto se traduce en una mayor agilidad para responder a las demandas del mercado, lanzar nuevos productos y adaptarse a cambios repentinos.

●Reducción de costes: con modelos de pago por uso, las empresas pueden ahorrar significativamente en costes operativos y de capital. No necesitan invertir en hardware costoso ni en su mantenimiento, lo cual es especialmente beneficioso para pequeñas y medianas empresas, que pueden acceder a tecnologías avanzadas sin grandes inversiones iniciales.

●Innovación y acceso a tecnologías avanzadas: los proveedores de cloud ofrecen una amplia gama de servicios y tecnologías: inteligencia artificial, aprendizaje automático, análisis de big data, etc. Esto pone a disposición de las empresas herramientas para innovar y mejorar sus procesos y productos.

●Escalabilidad global: el cloud computing facilita la expansión de las operaciones de las empresas a un nivel global. Pueden desplegar sus servicios en múltiples regiones alrededor del mundo con facilidad, asegurando así una mejor experiencia para los usuarios finales mediante la reducción de la latencia.

●Continuidad del negocio y recuperación ante desastres: la nube ofrece soluciones robustas para la copia de seguridad y recuperación de datos. En caso de fallos de hardware o desastres naturales, los datos y aplicaciones pueden restaurarse rápidamente, lo cual asegura la continuidad del negocio.

●Mayor colaboración: las herramientas basadas en la nube facilitan la colaboración en tiempo real entre equipos dispersos geográficamente. Esto es particularmente relevante en el contexto del trabajo remoto y los equipos globales.

●Seguridad y cumplimiento: aunque la seguridad en la nube es un desafío, los proveedores de servicios en la nube invierten significativamente en sistemas de seguridad avanzados y cumplimiento de normativas, lo que puede proporcionar un nivel de seguridad que sería difícil de alcanzar para una empresa individual.

●Sostenibilidad: la nube contribuye a una mayor eficiencia energética al centralizar los recursos de TI en centros de datos optimizados, lo que puede tener un impacto positivo en la huella de carbono de las organizaciones.

1.3.1. Ventajas y desventajas de la computación en la nube

A primera vista, una tecnología como la computación en la nube modifica los modelos de negocio existentes, aportando numerosas ventajas tanto a los proveedores de los servicios de la nube como a los usuarios de esos servicios. Por ejemplo, a los primeros permite ofrecerles un mayor número de servicios en la red, de forma estandarizada, rápida y eficiente en su despliegue; a los segundos les ofrece el acceso a servicios de forma inmediata, configurados y de forma transparente. Por el contrario, en ocasiones esta tecnología genera desconfianza y cierto escepticismo en algunos aspectos de seguridad y es además un modelo dependiente del estado de la red. Las ventajas más importantes que reporta este modelo son:

● Ahorro generalizado en costes: administración, mantenimiento, monitorización, recuperación ante desastres, políticas de seguridad, etc.

● Gran escalabilidad, debido al aprovisionamiento dinámico de recursos.

● Fiabilidad, gracias a la presencia de recursos redundantes.

● Abstracción del hardware.

● Agilidad en la producción y puesta en marcha de servicios (los recursos pueden ser provisionados sin coste y de forma rápida).

● Integración garantizada de servicios de red.

● Capacidad de adaptación de los modelos de negocio.

● Alta disponibilidad y alto rendimiento.

● Aprovisionamiento dinámico y rápido de servicios y sus actualizaciones.

● Aumento de la eficiencia energética.

● Independencia de la localización y de los dispositivos para los usuarios de la nube, que solo precisan acceso web.

Por el contrario, también tenemos desventajas, casi todas derivadas de la seguridad y la desconfianza que puede generar:

● Dependencia de una conexión a Internet, debido a la localización en red de los servicios.

● Dependencia de los proveedores del servicio, al centralizar datos y aplicaciones.

● Confiabilidad del servicio prestado dependiente del estado tecnológico y financiero del proveedor.

● Aparición de posibles amenazas de seguridad, debido a la arquitectura multinodo de la nube.

● Disminución de la velocidad si se sobrecarga la red utilizando protocolos para el encriptado de las comunicaciones.

● Degradación del servicio si la infraestructura de la nube no escala a medida que crece el número de usuarios de esta.

1.4. Seguridad en los proveedores cloud

Los sistemas cloud deben aplicar medidas de seguridad similares al resto de los sistemas informáticos, con la excepción de que estas en este tipo de sistemas deben ser divididas entre dos actores principales, normalmente presentes en todo servicio cloud:

●Proveedor de servicio cloud: brinda el servicio cloud como tal, posee las máquinas, discos duros, infraestructura de red, los sistemas de virtualización, la infraestructura de gestión de los servicios gestionados, entre otros. El proveedor de servicio debe comprometerse a garantizar la seguridad física y lógica que afecte a todos los servicios que ofrece y que se adapte a la normativa legal vigente de origen de sus usuarios, aportando mecanismos que faciliten a estos y en concreto a sus servicios el cumplimiento.

●Usuario del servicio cloud: utiliza los servicios ofrecidos por el proveedor cloud. Dispone de aplicaciones en la nube, bases de datos, sistemas de procesamiento, servicios gestionados y máquinas virtuales, que puede utilizar para su propio aprovisionamiento o para ofrecer servicios a terceros. Tanto en su papel de proveedor de servicios como de usuario de servicio, ha de cumplir con las medidas de seguridad que se deriven de sus propios servicios y debe verificar que su proveedor de servicio también lo hace.

En la relación proveedor-cliente que encontramos en el uso de proveedores cloud, es obligatorio conocer cuáles son las competencias en materia de seguridad que recaen en cada actor (cliente y proveedor). Dada la enorme cantidad de servicios y tipos de servicios que van surgiendo cada día, responder a la pregunta de si una determinada tarea de seguridad en un determinado servicio corresponde al proveedor o al cliente puede resultar muy complejo.

Una mala gestión de las competencias en este punto puede acarrear problemas tales como la duplicidad de competencias, el bloqueo de estas por recaer en el actor inadecuado o la dejadez de competencias por no recaer en ninguno de los actores.

1.4.1. El modelo de responsabilidad compartida

El modelo de responsabilidad compartida es un principio fundamental en la seguridad de la nube que define cómo se distribuyen las responsabilidades de seguridad entre el proveedor de servicios en la nube y el cliente. Este modelo varía según el tipo de servicio de nube utilizado (IaaS, PaaS, SaaS), pero la premisa básica es que, mientras el proveedor es responsable de la seguridad de la nube, el cliente es responsable de la seguridad en la nube.

Para evitar problemas de reparto de competencias, los proveedores cloud disponen del modelo de responsabilidad compartida, en el que se encuentran detallados, para cada tipo de servicio, cuáles son los roles existentes para la gestión de competencias y cuáles corresponden a cada rol. En definitiva, permite responder de forma clara qué acciones relacionadas con la gestión de la seguridad debe hacer cada uno de los actores implicados en el proceso.

Los proveedores tienen la obligación de cumplimentar el modelo de responsabilidad compartida, hacerlo llegar a sus clientes y cumplir con las competencias acordadas en este que recaigan de su lado. Los clientes (usuarios del proveedor cloud), por su parte, deben encargarse de evaluar este modelo para identificar cuáles son sus competencias. Normalmente, el modelo de competencias es aceptado por el usuario durante la firma del acuerdo de inicio de aprovisionamiento del servicio. En la siguiente imagen podemos ver el modelo de responsabilidad compartida en el proveedor de AWS (Amazon Web Services).

Figura 1.3 Modelo de responsabilidad compartida en AWS

En este caso, las responsabilidades se dividen entre el proveedor de la nube y el cliente. Entre las responsabilidades del proveedor de la nube podemos destacar:

●Seguridad de la infraestructura de la nube: el proveedor es responsable de proteger la infraestructura que ejecuta todos los servicios ofrecidos en la nube. Esto incluye el hardware, el software, las redes y las instalaciones que soportan los servicios de nube.

●Gestión física del centro de datos: incluye la protección física de los data centers, el mantenimiento de la infraestructura de hardware y la gestión de desastres.

●Segmentación y aislamiento de recursos: asegurar que los datos y aplicaciones de un cliente estén aislados y protegidos de los de otros clientes.

●Seguridad a nivel de plataforma y aplicación: en los modelos PaaS y SaaS, el proveedor también es responsable de asegurar la plataforma o las aplicaciones que gestiona.

Entre las responsabilidades del cliente podemos destacar:

●Seguridad de los datos: el cliente es responsable de proteger la integridad, la confidencialidad y la disponibilidad de sus datos en la nube.

●Control de acceso: habrá de implementar y gestionar controles de acceso adecuados, como la autenticación, la autorización y la gestión de identidades.

●Gestión de interfaces y endpoints de API: tendrá que asegurar las interfaces y puntos de conexión que se utilizan para interactuar con los servicios en la nube.

●Cifrado de datos: decidirá qué datos deben ser cifrados, en qué momento (en tránsito, en reposo) y gestionar las claves de cifrado.

●Configuración y parches de seguridad: mantendrá y gestionará la configuración de seguridad de las aplicaciones y los sistemas operativos, y aplicará parches de seguridad de manera oportuna.

●Seguridad a nivel de aplicación: en el caso de IaaS y PaaS, el cliente es responsable de asegurar las aplicaciones que implementa en la nube.

El modelo de responsabilidad compartida es un concepto importante en la seguridad cloud, ya que define las responsabilidades de los proveedores de servicios de cloud y de los usuarios para garantizar la seguridad. Mientras que el proveedor es responsable de la seguridad de la infraestructura que ejecuta todos los servicios ofrecidos en cloud, el cliente lo es de cualquier cosa que construya o conecte.

1.5. Supervisión en la nube

La nube es un entorno complejo. Para garantizar que su organización aproveche todas sus capacidades para el crecimiento empresarial, es fundamental comprender lo que está ocurriendo en todo momento. La supervisión de la nube le permite controlar sus datos y procesos.

La supervisión de la nube hace referencia a las estrategias, herramientas y métodos utilizados para acceder, supervisar y gestionar datos, procesos o flujos de trabajo dentro de una infraestructura de nube. Proporciona un análisis detallado de la eficacia y el estado operativo de cada componente y dispositivo basado en la nube. Los datos operativos críticos recopilados por las herramientas de supervisión se presentan al administrador en forma de tablas, registros, gráficos y alertas.

1.5.1. Tipos de supervisión en la nube

La supervisión de la nube adopta diferentes formas, para garantizar que sus iniciativas funcionen eficazmente. Los tipos más comunes de supervisión son:

●Del sitio web: la supervisión de sitios web basada en la nube prioriza la experiencia del usuario, la disponibilidad y el acceso a recursos importantes. Además, realiza un seguimiento del tráfico del sitio web, el uso de recursos, la visibilidad en las búsquedas y el tiempo en la página.

●De bases de datos: los datos son el componente central de cualquier organización moderna. Por lo tanto, es importante encontrarlos y gestionarlos en la nube con rapidez. La supervisión impulsada de la nube accede a la integridad de los datos, realiza un seguimiento de las consultas, revisa el proceso y mantiene un registro del uso de los recursos de la base de datos en la nube, para que las operaciones de su empresa sigan funcionando sin problemas. Además, también ayuda a realizar un seguimiento de las solicitudes de acceso a los datos e informa sobre las actualizaciones, lo que lo convierte en un activo de seguridad importante para su organización.

●Del almacenamiento en la nube: la supervisión del almacenamiento en la nube se utiliza habitualmente en los modelos de alojamiento de infraestructura como servicio (IaaS) y software como servicio (SaaS), proporcionando información sobre el almacenamiento disponible, las actividades de los usuarios, los procesos y las métricas de rendimiento.

●De redes virtuales: la supervisión de redes virtuales en la nube crea versiones virtuales de componentes de red esenciales, como cortafuegos, enrutadores y equilibradores de carga. Estos elementos basados en software proporcionan amplios datos operativos, disponibles en tiempo real, mediante el escrutinio de la red virtual.

●De máquinas virtuales: es una parte importante de la infraestructura como servicio (IaaS) e implica el alojamiento de un servidor virtual que soporta múltiples escritorios virtuales. El sistema de supervisión de máquinas virtuales rastrea principalmente la actividad de los usuarios y el tráfico de red, y supervisa la infraestructura, junto con el estado general de cada máquina virtual asociada. De este modo, la supervisión de máquinas virtuales también cumple la función de supervisión de la infraestructura de TI para escritorios virtuales.

1.5.2. Ventajas de la supervisión en la nube

La supervisión en la nube, también conocida como cloud monitoring, es el proceso de observar, analizar y gestionar el rendimiento, la seguridad y la disponibilidad de la infraestructura y las aplicaciones que se ejecutan en entornos de nube. Esta práctica ofrece una serie de ventajas para las organizaciones que utilizan la computación en la nube:

●Alertas en tiempo real: los sistemas de supervisión pueden detectar anomalías y fallos de rendimiento al instante y enviar alertas a los equipos de TI para que puedan actuar antes de que los problemas afecten a los usuarios finales.

●Análisis predictivo: al analizar los datos históricos, las herramientas de supervisión pueden identificar tendencias y predecir posibles problemas futuros, como cuellos de botella en la capacidad o picos de tráfico, lo cual permite una planificación proactiva.

●Visibilidad completa: la supervisión en la nube proporciona una visión integral de la infraestructura, las aplicaciones y los servicios, lo que permite a los equipos identificar cuellos de botella, problemas de latencia y áreas de mejora.

●Gestión de recursos: permite a las empresas optimizar la asignación de recursos, asegurándose de que las aplicaciones tengan el poder de procesamiento, la memoria y el almacenamiento necesarios sin incurrir en costes innecesarios por recursos subutilizados.

●Detección de amenazas: las herramientas de supervisión de seguridad pueden identificar actividades maliciosas, intentos de acceso no autorizados y configuraciones incorrectas que podrían exponer datos sensibles.

●Cumplimiento normativo: la supervisión continua y la generación de informes ayudan a las empresas a cumplir con los estándares de seguridad y las regulaciones de la industria, como GDPR, HIPAA o ISO 27001.

●Disponibilidad y fiabilidad: la supervisión garantiza que los servicios y aplicaciones estén siempre disponibles y funcionen de manera óptima, lo que se traduce en una mejor experiencia para el usuario final.

●Acuerdos de nivel de servicio (SLA): ayuda a las empresas a monitorear y garantizar que cumplen con los SLA acordados con sus clientes, evitando penalizaciones y mejorando la reputación de la marca.

CAPÍTULO 2

SEGURIDAD EN LA NUBE

2.1. Introducción

La seguridad en la nube es un aspecto crítico de la gestión de infraestructuras y servicios basados en cloud computing. A medida que las organizaciones van migrando datos y aplicaciones a la nube, entender y aplicar conceptos básicos de seguridad es fundamental para proteger recursos y mantener la integridad de los datos.

Con la computación en la nube, la propiedad de estos componentes puede variar ampliamente. Esto puede hacer que no esté claramente definido el alcance de las responsabilidades de seguridad del cliente. Dado que asegurar la nube puede parecer diferente en función de quién tenga autoridad sobre cada componente, es importante entender cómo se suelen agrupar. Para simplificar, los componentes en la nube están asegurados desde dos puntos de vista principales:

1. Los tipos de servicios en la nube son servicios ofrecidos por proveedores externos como módulos utilizados para crear el entorno de la nube. Dependiendo del tipo de servicio, se puede gestionar un grado diferente de los componentes dentro del servicio:

● El núcleo de cualquier servicio de la nube de terceros implica que el proveedor administre la red física, el almacenamiento de datos, los servidores de datos y las plataformas de virtualización de los ordenadores. El servicio se almacena en los servidores del proveedor y se virtualiza a través de su red administrada internamente para entregarse a los clientes para su acceso remoto. Esto transfiere los costes de hardware y otras infraestructuras para proporcionar a los clientes acceso a sus necesidades desde cualquier lugar a través de su conexión a Internet.

● Los servicios en la nube de software como servicio (SaaS) proporcionan a los clientes acceso a aplicaciones que están alojadas y se ejecutan en los servidores del proveedor. Los proveedores administran las aplicaciones, los datos, el tiempo de ejecución, el middleware y el sistema operativo. Los clientes solamente se encargan de obtener y utilizar las aplicaciones. Algunos ejemplos de SaaS son Google Drive, Slack, Salesforce, Microsoft 365, Cisco WebEx y Evernote.

● Los servicios en la nube de plataforma como servicio (PaaS) proporcionan a los clientes un host para el desarrollo de sus propias aplicaciones, que se ejecutan dentro del propio espacio sandbox del cliente en los servidores del proveedor. Los proveedores administran el tiempo de ejecución, el middleware y el sistema operativo. Los clientes se encargan de gestionar sus aplicaciones, datos, acceso de usuarios, dispositivos de usuarios finales y redes de usuarios finales. Google App Engine y Windows Azure son ejemplos de PaaS.

● Los servicios en la nube de infraestructura como servicio (IaaS) ofrecen a los clientes hardware y plataformas de conectividad remota para alojar la mayor parte de sus tareas informáticas, incluido el sistema operativo. Los proveedores solo administran los servicios básicos en la nube. Los clientes se encargan de asegurar todo lo que se apila en un sistema operativo, incluidas las aplicaciones, los datos, los tiempos de ejecución, el middleware y el propio sistema operativo. Además, los clientes deben gestionar el acceso de los usuarios, los dispositivos de usuarios finales y las redes de usuarios finales. Algunos ejemplos de IaaS son Microsoft Azure, Google Compute Engine (GCE) y Amazon Web Services (AWS).

2. Los entornos de la nube son modelos de implementación en los que uno o más servicios en la nube crean un sistema para los usuarios finales y las empresas. Estos segmentan las responsabilidades de gestión, incluida la seguridad, entre los clientes y los proveedores. Los entornos de la nube que se utilizan en la actualidad son:

●Entornos de nubes públicas: están compuestos por servicios en la nube de varios usuarios en los que un cliente comparte los servidores de un proveedor con otros, como un edificio de oficinas o un espacio de trabajo. Se trata de servicios de terceros dirigidos por el proveedor para dar acceso a los clientes a través de la web.

●Entornos de nubes privadas de terceros: se basan en el uso de un servicio en la nube que proporciona al cliente el uso exclusivo de su propia nube. Estos entornos de un solo usuario normalmente son propiedad de un proveedor externo, y se administran y operan fuera del sitio.

●Entornos de nubes privadas internas: también se componen de servidores de servicios en la nube de un solo usuario, pero se operan desde su propio centro de datos privado. En este caso, este entorno de la nube es gestionado por las propias empresas para permitir la configuración completa de cada elemento.

●Entornos de varias nubes: son el uso de dos o más servicios en la nube de proveedores independientes. Estos pueden ser cualquier combinación de servicios públicos o privados en la nube.

●Entornos de nubes híbridas: consisten en el uso de una combinación de nube privada de terceros o centro de datos de nubes privadas in situ con una o más nubes públicas.

2.2. Objetivos de la seguridad en la nube

Los objetivos de la seguridad en la nube tienen que ver con la protección de los datos y los sistemas en entornos de computación en la nube. Estos objetivos se basan en tres principios fundamentales, también denominados la tríada de la CIA: confidencialidad, integridad y disponibilidad.

La confidencialidad es el objetivo de proteger la información contra el acceso no autorizado. Esto significa garantizar que solo las personas o sistemas autorizados puedan ver o acceder a los datos. En la nube, esto se logra mediante:

●Cifrado de datos: