Un día se anuncia que Facebook mantuvo durante años millones de contraseñas de sus usuarios visibles para sus empleados. Otro día, que MySpace, la que fuera red social líder hace una década, ha perdido por completo todas las fotos, vídeos y ficheros de sus sonidos de unos 50 millones de sus más recalcitrantes usuarios que fueron subidos a su nube desde hace más de tres años: hizo una migración de servidores y, por lo que se ve, no tenía los backups en orden…

No son exactamente modelos de lo que ahora se interpreta como el cloud profesional, pero si Amazon Web Services (AWS) programa una sesión para explicar su seguridad y robustez, preguntar es obligado. "Cada cliente tiene la libertad de definir cómo quiere hacer su política de backup y de recuperación ante desastres", responde Carlos Sánchiz, manager solutions architecture de AWS, a INNOVADORES.

"Como compañía nosotros garantizamos que el dato siempre es del cliente, siempre mantiene su propiedad, y nosotros no lo movemos a no ser que él lo diga. Si pones tus datos en Frankfurt, nadie en AWS lo va a mover a menos que tú lo quieras. Dicho esto, hemos construido un montón de servicios por encima, para ayudar a los clientes a mover ese dato siempre que quiera. Intentamos educar a los clientes para que construyan sus infraestructuras teniéndolo en cuenta. Que todo puede fallar. Tenemos que diseñar nuestras aplicaciones para que puedan superar esos fallos y al mismo tiempo los clientes tienen que usarlas".

¿Hay por defecto una copia de seguridad de todos los datos que cada cliente tiene en AWS? "Pues, por ejemplo, en el servicio S3 que es de alta disponibilidad, todo dato que se guarda en la modalidad estándar tiene 11 'nueves' de durabilidad, lo cual significa que, si almacenas 10.000 objetos, puedes perder uno cada millón de años", asegura.

"Cuando construimos nuestras regiones [áreas geográficas que comparten gestión de almacenamiento] lo hacemos con el concepto de 'zona de disponibilidad'. Si tuviéramos una región en Madrid, que no es el caso, pondríamos, por ejemplo, una zona de disponibilidad en Alcobendas, otra en Getafe y otra en Majadahonda. Muchos servicios de alta disponibilidad de AWS, como el S3, se benefician de esta arquitectura. Y si pones un dato en S3, no lo estás poniendo en Alcobendas o Getafe: estás poniendo una copia en varios sitios de cada una de estas zonas de disponibilidad de manera automática y sin sobrecoste. En una base de datos no SQL como DynamoDB, que es plenamente escalable y la utiliza amazon.com y es capaz de superar los prime days y los cyber Mondays sin ningún tipo de problema, cuando pones un dato ocurre exactamente lo mismo, lo estás almacenando en múltiples dispositivos, dentro de múltiples zonas de disponibilidad. Por eso somos capaces de garantizar que este dato no lo vas a perder".

En cuanto a la seguridad interna de la información que es por donde empezaba Sánchiz sus explicaciones, mostrando una consola de gestión de S3, el mensaje es que "todo, por defecto, está denegado en el cloud. Sólo se permite algo si alguien [con credenciales para ello] así lo ha cambiado". "Nuestros clientes están entendiendo que el cloud es un sitio seguro, incluso más seguro que un almacenamiento tradicional", añade, mientras va cambiando sucesivas autorizaciones en su demostración en pantalla, para acreditar "lo difícil que es hacer público un contenido en nuestro servicio. La gente tiene todo el control de la seguridad y para hacer las cosas públicas tiene que hacerlo a conciencia".

"Trabajamos en un modelo de seguridad compartida", dice. "Nos ocupamos de la seguridad física de los data centers, de la separación de la información entre los clientes y de la separación de responsabilidades, también. Sólo entra en nuestros data centers quien tenga una justificación de negocio para ello. Luego los clientes son responsables de hacer sus datos seguros: yo puedo poner una puerta de seguridad en mi casa, pero si dejo las llaves puestas cualquiera puede entrar...".

"Hay muchas cosas que hay que tener en cuenta: la pieza física, redes, bases de datos, computación, almacenamiento, encriptación de los datos, parcheo de los sistemas operativos…" En un entorno tradicional todo recae sobre el propio cliente, que tiene que ocuparse de la seguridad de principio a fin. "En el entorno AWS nosotros nos ocupamos y, con el paso de los años, los clientes nos han ido pidiendo más y hemos ido construyendo servicios, subiendo por la capa de tecnología", indica.

Sánchiz detalla que muchas de las nuevas funcionalidades que AWS ofrece año tras año, en 2018 sumaban ya 1.857, están orientadas a la seguridad, que se articula sobre cinco aspectos básicos:

-   La seguridad de identidades y controles sobre quién tiene acceso a qué, para hacer qué, e incluso a qué horas (con la app IAM), o la autenticación cruzada con otros autenticadores (app Cognito).

-   La auditoria de uso de las máquinas, con herramientas como Guard Duty, que usa deep learning, para revisar el uso y las posibles amenazas, y Cloud Trail, que toma en cuenta las operaciones que se hacen, nuevos usuarios y contraseñas.

-   Para proteger la infraestructura, además de un par de aplicaciones de firewall, aplica VPC, para servicios propios en entorno virtual; Shield, que protege contra ataques de denegación de servicio (DoS); e Inspector, para detectar brechas de seguridad.

-   En la protección de los propios datos, KMS sirve para crear llaves encriptadas, modificarlas, rotarlas y auditarlas, mientras CloudHSM es la herramienta con la que "industrias hiperreguladas", como los bancos, guardan sus claves. También ofrece Certificate Manager para generar SSL.

-   Y ante incidentes, Config Rules es capaz de dar respuesta automatizada a situaciones de riesgo (como, por ejemplo, si se lanza un servidor donde no se debe), y Lambda maneja la infraestructura para ejecutar software escalar, con diversos lenguajes e incluso motores de ejecución de proveedores distintos de AWS, lo que facilita al cliente usar soluciones de terceros, que ya conocía.

Sánchiz habla del cumplimiento estricto de regulaciones y estándares en todo el mundo, incluido el GDPR europeo, "que ha desbloqueado conversaciones" con clientes que se han decido ahora, para tener la certeza de ajustarse a las normas de privacidad de la UE. También se refiere a grandes clientes de todo el mundo que se basan en los servicios de AWS, como el juego online de moda, Fortnite, y entidades como la autoridad reguladora financiera de EEUU (Finra), General Electrics y, en España, Mpafre, Securitas Direct y Open Bank…

Y hasta la tecnológicamente puntera Agencia Espacial estadounidense. "Puedo garantizar que en la NASA no es que no sepan garantizar seguridad. Tiene ingenieros más que de sobra para hacer un entorno [de informática y datos] completamente seguro", asevera Sánchiz, "pero ha entendido que ese no es su foco como compañía y que pueden tener una posición de seguridad mucho más robusta en el cloud que lo que podrían hacer en sus datacenters".