Más seguridad para el almacenamiento de objetos definido por software
- Noticias y Actualidad
El almacenamiento de objetos está pasando de usarse únicamente para el archivo de datos a nuevos casos de uso, en los que los datos se usan con frecuencia para cargas de trabajo primarias y aplicaciones diversas. Paralelamente, en las empresas se expande el uso del almacenamiento definido por software, y la convergencia de ambos conceptos requiere nuevas estrategias de seguridad y protección de datos.
En sus inicios el almacenamiento de objetos se expandió para el archivo de datos a los que se accede con poca frecuencia. Pero con la migración hacia la nube las organizaciones se ven en la necesidad de dar uso a estos datos para alimentar diferentes aplicaciones, y están adoptando el almacenamiento de objetos definido por software. Este es un paso más en la expansión que está teniendo el concepto software defined en los entornos de TI empresariales, que abarca el almacenamiento, las redes, y otras tecnologías.
Pero la naturaleza del almacenamiento de objetos definido por software requiere consideraciones específicas en materia de seguridad y protección de datos. Los expertos de DCIG han elaborado una lista con las 7 características de seguridad y protección de datos que requieren los nuevos entornos de almacenamiento de objetos SDS, especialmente con las modernas plataformas basadas en unidades flash. Todd Dorsey, analista de DCIG, comenta que esta lista de requisitos tiene como objetivo proteger los datos contra el acceso no autorizado y contra la posible pérdida de datos.
La primera función de seguridad fundamental es un control de acceso que garantice que solo las personas autorizadas puedan administrar la solución SDS y acceder a los datos. Esto se puede lograr mediante la integración de servicios de directorio. Dorsey recomienda a las organizaciones que autentiquen a sus usuarios y administradores de datos mediante la aplicación de servicios de directorio existente. Para ello pueden emplear los protocolos de servicio como AD, LDAP, la autenticación IAM y las listas de control de acceso a nivel de objeto.
El segundo punto clave es el cifrado de datos, que requiere el uso de una clave específica para acceder a la información. El nivel básico es el cifrado de los datos en reposo, pero es conveniente cifrar también los datos en tránsito que viajan a través de la red. Y un punto importante es emplear un sistema que admita claves AES con longitud de hasta 256 bits.
Por otor lado, DCIG explica que muchas organizaciones necesitan conta con soluciones de almacenamiento que incluyan características de arrendamiento múltiple para aislar los datos de sus diferentes unidades de negocio, lo que impone un muro de protección adicional. Así es posible mantener segregados los datos de los clientes o de ciertos departamentos, con sus propias medidas de seguridad, algo a tener en cuenta a la hora de escoger un proveedor de almacenamiento de objetos SDS.
En cuanto a la protección de datos, hay tres características fundamentales que deben tener estas soluciones de almacenamiento de objetos definidas por software. La primera es la replicación, que permite proteger los datos mediante copias redundantes guardadas en diferentes ubicaciones físicas. Así, como en otras infraestructuras de almacenamiento, se puede garantizar el acceso a los datos para los usuarios y aplicaciones, aunque se produzca un fallo de hardware, del sitio o una interrupción en la red.
La segunda característica en cuanto a la protección de los datos es la codificación de borrado, que protege los datos dividiéndolos, expandiéndolos, codificándolos y almacenándolos como fragmentos distribuidos por diferentes unidades. Así, si se produce un fallo en los datos o en el hardware, se pueden reconstruir los datos a partir de los demás fragmentos. A continuación, los expertos destacan la inmutabilidad de los datos como una característica imprescindible para proteger la información.
En las soluciones de almacenamiento de objetos SDS existen diferentes herramientas y perfiles de inmutabilidad que pueden proporcionar beneficios para garantizar el cumplimiento normativo en materia de protección de datos. Y añaden que esta capacidad puede ser clave para minimizar el impacto que puede tener un ataque de ransomware, proporcionando medios de recuperación que no se verían afectados por el bloqueo que impone este tipo de malware.
Finalmente, Dorsey incluye en su lista el concepto AAA (API, Análisis y Auditoría) como funciones complementarias a las capacidades de seguridad y protección de datos. Las API permiten la integración en los marcos de automatización existentes. Los análisis proporcionan la capacidad de emitir alertas cuando se detectan actividades sospechosas, y las funciones de auditoría permiten rastrear quién, qué y cuándo se accede a los datos o se modifican. Así es posible saber qué archivos deben revertirse a su versión anterior, y se puede identificar la ruta empleada por los atacantes para acceder a los datos, pudiendo mejorar la seguridad tras sufrir un incidente.