Repaso al AWS Summit París 2024, el evento que reúne a la comunidad del cloud computing para dar a conocer las últimas innovaciones de AWS. David NEYRON, ingeniero de DevOps/Cloud, y Lionel GAIROARD, líder de prácticas de DevSecOps, acudieron al evento para recabar la información más reciente sobre soberanía en la nube, IA y datos. Nos comparten sus impresiones y lo que les ha inspirado tras esta jornada dedicada a la experiencia. Empecemos con David, que nos plantea preguntas sobre la soberanía digital de la nube y la confianza que se puede depositar en los proveedores.
La soberanía digital de la nube
«De todas formas, en la nube, los estadounidenses ven todo lo que pasa. Tienen acceso a ella gracias a la Patriot Act, así que te lo digo yo: no estamos ni cerca de poder guardar nuestros datos ahí», exclamaba Jean-Michel esta mañana junto a la máquina de café.
Si se indaga un poco, se ve que Jean-Michel no es el único al que le preocupa lo que se conoce como la soberanía digital de la nube.
Entonces, ¿es justificada esta preocupación? Si es así, ¿existen soluciones para mantener la privacidad de nuestros datos? La respuesta, con información de laAWS Summit 2024.
El tema de la soberanía digital de la nube no es nuevo. Pero, antes de nada, ¿qué entendemos por ello? En pocas palabras, se divide en dos partes:
La soberanía de los datos
De hecho, al trabajar en la nube, almacenamos y utilizamos datos —en ocasiones sensibles— en infraestructuras que no nos pertenecen. Por lo tanto, es lógico que surjan dudas sobre la ubicación de nuestros datos, sobre cómo se utilizan y sobre su cifrado.
Si es así, ¿están en tránsito? ¿O «en reposo»? ¿Tienen acceso a nuestros datos los empleados del cloud?
La soberanía operativa.
Como decíamos antes, las infraestructuras que utilizamos no nos pertenecen. Por lo tanto, también en este caso cabe preguntarse por su resiliencia, su independencia, la jurisdicción aplicable en función de la ubicación del equipo, etc.
Estos dos conceptos se engloban dentro del concepto general de soberanía digital de la nube. Y las cuestiones que plantea cobran aún más importancia cuando se trata de datos personales sensibles, como los datos sanitarios o bancarios, por ejemplo. Dado que las empresas utilizan cada vez más la nube, resulta fundamental que los clientes se planteen la soberanía digital de estas nubes públicas.
SecNumCloud
Para hacer frente a estos problemas, algunos países, entre ellos Francia, han promulgado leyes para regular el uso de la nube mediante la creación, entre otras medidas, de la certificación SecNumCloud. Se trata de un conjunto de requisitos que deben cumplirse para poder ser seleccionados por entidades públicas o privadas que deseen externalizar el tratamiento y el almacenamiento de sus datos sensibles.
Entre los diversos requisitos técnicos, como la ubicación de los datos en la Unión Europea, algunos tienen por objeto establecer una protección frente a la legislación no europea al exigir que «la sede social, la administración central y el establecimiento principal del prestador de servicios estén ubicados en un Estado miembro de la Unión Europea».
Vaya... ¿Entonces Jean-Michel tenía razón? Si nos protegemos con leyes como esas, ¿significa que los principales actores del cloud estadounidense realmente pueden verlo todo y que nuestros datos en la nube nunca estarán seguros? En realidad, es un poco más complicado.
Lo que, en cambio, es muy concreto es el mercado que representa precisamente la Unión Europea para estos actores estadounidenses del sector del cloud: cerca de 58 000 millones de dólares en 2024. Así que, ante tales perspectivas de ganancias, no redunda realmente en interés de los gigantes estadounidenses del cloud facilitar nuestros datos a su Gobierno, sino más bien hacer la vista gorda ante las exigencias de los Estados y de sus clientes, así como ante Jean-Michel, para tranquilizarlos. En la práctica, esto supone muchas innovaciones técnicas; estas son algunas de las presentadas en la AWS Summit 2024:
- Mayor seguridad para la virtualización.
En una infraestructura de virtualización convencional, los distintos componentes del hipervisor necesarios para la virtualización suelen encontrarse en el mismo hardware físico, por lo que comparten una superficie de ataque común. AWS ha optado por separar sus componentes en soportes físicos dedicados, reduciendo así el riesgo de que se vea comprometido el hipervisor en su totalidad, que ya no es una única instancia, sino una multitud de tarjetas físicas dedicadas y aisladas entre sí. Este es el sistema AWS Nitro.
- Un alto nivel de supervisión y control de la infraestructura.
Con el servicio ControlTower y su integración con otros servicios como CloudTrail y CloudFormation, AWS permite prevenir, detectar y, en caso necesario, eliminar el uso de recursos que puedan suponer un riesgo para la seguridad.
- XKS de KMS.
KMS, el servicio de gestión de claves de cifrado de AWS, ofrece ahora XKS, un servicio de control de hardware de cifrado externo. Se trata de transferir la responsabilidad del almacenamiento de las claves de cifrado a otro proveedor que pueda cumplir más fácilmente con los requisitos legales vigentes. De este modo, AWS actúa únicamente como intermediario y se elimina la posibilidad de que AWS pueda leer los datos cifrados, ya que ya no dispone de las claves.
Sin embargo, hay que tener cuidado con el modelo de responsabilidad compartida (shared responsibility model) si se decide asumir la totalidad del cifrado. De hecho, con tal nivel de externalización, AWS no podrá ser considerada responsable en caso de que surjan problemas.
Las zonas locales dedicadas de AWS
Se trata de infraestructuras gestionadas por AWS y reservadas para el uso exclusivo del cliente. Pueden estar ubicadas en el país para cumplir con los requisitos normativos, y ser gestionadas por personal local de AWS, también con el fin de cumplir con las restricciones legales.
Infraestructuras de AWS adaptadas a normativas específicas
Al igual que las zonas de AWS anunciadas en Alemania para 2025, estas zonas no son zonas locales dedicadas como las que describíamos anteriormente, pero cumplen criterios muy específicos para satisfacer los requisitos de determinadas leyes. Las garantías de resiliencia y seguridad son las mismas que las de las zonas AWS clásicas, pero están ubicadas allí donde lo exige la normativa. Contarán con su propia instancia IAM, su propio sistema de cuentas, su propio seguimiento del consumo, etc.
La cuestión de la confianza
En resumen, estas zonas presentan ciertas características que permiten cumplir con requisitos de seguridad especiales.
Gracias a todas estas innovaciones técnicas, los grandes nombres del cloud, como AWS, intentan tranquilizar a sus clientes para así recuperar la mayor cuota de mercado posible y, por ende, aumentar sus beneficios.
Sin embargo, aunque Jean-Michel se siente algo más tranquilo al respecto, ya que ha comprendido que a los proveedores de servicios en la nube no les interesa dar acceso a sus datos, lo cierto es que, a pesar de todas las medidas adoptadas por estos proveedores, los organismos jurídicos y las políticas de seguridad de los clientes, los datos sensibles se confían a terceros, en quienes, en última instancia, recae toda la confianza.
Dejaremos, pues, que cada uno decida por sí mismo este último parámetro.
David NEYRON
Ingeniero de DevOps/Cloud
