Las empresas pueden querer pasar a la nube, pero aún tienen muchos recursos de TI. Para que sea más fácil de manejar, a menudo los mueven a espacios de colocación. Una encuesta de 2017 realizada por Vertiv descubrió que el 57 por ciento de las empresas planeaban aumentar su tercerización de centros de datos, mientras que la investigación de Technavio predice que el mercado de colocación crecerá en alrededor de un nueve por ciento hasta 2022.

Mientras tanto, gran parte de la nube se encuentra en el espacio de colocación, donde gigantes como AWS utilizan grandes cantidades de instalaciones compartidas para llenar los vacíos en su cobertura.

Para ambos clientes, el sector ofrece una reducción en los costos de capital, la capacidad de escalar y una distribución geográfica útil. Pero hay un inconveniente: debe confiar en el proveedor que se ocupa de su hardware y sus datos. Tienes que saber que se mantiene a salvo de posibles atacantes.

"Los usuarios del centro de datos realmente valoran la seguridad", dice Russell Poole, director gerente de Equinix UK y los países nórdicos. "Es el requisito principal de todos nuestros clientes cuando buscan implementar con nosotros".

Una alta prioridad para los proveedores de colo

Un incidente de seguridad en un sitio de colo es tan perjudicial para el cliente como si sucediera en un sitio de su propiedad y operación. Pero las fallas de seguridad pueden ser aún más vergonzosas para el proveedor de colo afectado, ya que representan una falla en su negocio principal.

Un sitio colo con sede en Chicago alojado por C I Host se dividió en cuatro veces en un período de dos años entre 2005-2007, con ladrones que huyeron con servidores por valor de decenas de miles de dólares. En diciembre de 2018, el proveedor australiano de telecomunicaciones Vocus fue criticado cuando un cliente se quejó de que una puerta de la instalación había quedado abierta y desbloqueada durante meses. Además del robo de la infraestructura física, el acceso no autorizado a los servidores podría permitir a los intrusos robar datos o realizar cambios en los datos y procesos que se ejecutan en ese hardware.

Si bien las dos empresas anteriores todavía están en el negocio, no mantener una ubicación segura podría ser potencialmente ruinoso. Incluso si sus términos de servicio son herméticos cuando se trata de responsabilidad por incidentes de seguridad, la pérdida de confianza podría conducir fácilmente a un éxodo de clientes, especialmente en un panorama altamente competitivo con tantos proveedores alternativos.

"En un mundo donde las violaciones de datos pueden hacer que un negocio global se desplome de la noche a la mañana, los centros de datos tienen un papel fundamental que desempeñar en la protección contra esto", dice Poole. "Las implicaciones de una violación de seguridad son catastróficas para la reputación no solo de la empresa del centro de datos, sino de cualquier empresa que aloje sus datos dentro de las instalaciones".

Desafíos únicos

Los sitios de colocación tienen todas las preocupaciones de seguridad de las instalaciones internas que son propiedad y están operadas por una organización. Pero tienen otro gran conjunto de desafíos porque tienen múltiples usuarios y, potencialmente, una puerta giratoria de inquilinos que van y vienen al sitio en todo momento.

Las cercas perimetrales, las señales de advertencia genéricas y los puntos externos mínimos de entrada / salida ayudarán a disuadir los intentos oportunistas de entrada. Los guardias, las barreras, el monitoreo como CCTV y los controles de acceso potenciales, como las tarjetas clave, reducirán la cantidad de personas que incluso llegan a las puertas de entrada de la instalación.

Sin embargo, aunque asegurar el perímetro externo es importante, internamente es donde debe estar la mayor parte del enfoque. La pisada adicional en comparación con un centro de datos propio y operado significa que el personal debe permanecer más atento y deben existir controles más estrictos; los empleados pueden acostumbrarse a ver rostros desconocidos en varias partes de la instalación que realizan trabajos aparentemente inocentes, pero en realidad podría ser un atacante dirigido a un cliente.

Cuando se le preguntó sobre ejemplos de posibles métodos de ataque contra clientes que alquilan espacio dentro de sitios de colocación, Holly Grace Williams, directora técnica de la firma de pruebas de penetración Secarma, dijo que una forma es simplemente alquilar espacio dentro de la misma instalación.

“Si se dirige a un negocio que aloja en un colo, puede ocupar un espacio allí y obtener acceso a las instalaciones. Entonces puedes intentar apuntar a otras personas dentro de ese espacio; si hay puertos expuestos en las jaulas y tiene una ventana de tiempo, probablemente pueda insertar cables en esos puertos”.

Debido a esto, dice, la segmentación adecuada entre las áreas de clientes, junto con un monitoreo adecuado y personal capacitado es clave.

"Los proveedores de colocación deben tener trampas para hombres, que solo permiten el paso de una persona a la vez, y en el espacio de alojamiento deben tener segmentación de bastidores, segmentación de habitaciones y jaulas sólidas con malla estrecha".

“Debe tener mecanismos antisabotaje para poder detectar cuándo se ha abierto el bastidor de un cliente e integrarlo con un sistema que le informa al instante si el personal de ese cliente está presente. La apertura de cerraduras y la apertura forzada de jaulas pueden suceder.

"El equipo del proveedor de colo debe vigilar a cualquiera que trabaje en las habitaciones para asegurarse de que solo accedan a su propio kit y estar allí para tomar medidas si se ha abierto un estante cuando el personal de la empresa inquilina no está en el edificio".

Dentro del edificio en sí, los huéspedes solo deben ser aceptados si están programados y confirmados con la compañía, con la documentación e identificación relevantes en la mano. Los controles de acceso tales como la biometría y las tarjetas clave deben estar en uso en toda la instalación, con registros para mantener un historial de quién fue a dónde y cuándo. El monitoreo interno, como el CCTV, también debe implementarse en toda la instalación y contar con personal las 24 horas, los 7 días de la semana.

"Cuando los posibles inquilinos visiten un centro de datos para revisar su idoneidad", aconseja Poole de Equinix, "deberían preguntarse '¿qué tan difícil sería para mí entrar aquí si hubiera olvidado mi llavero o mi pase? 'Deberías ser imposible'."

En los sitios de Equinix, explica, el acceso es solo con cita previa y la entrada se obtiene a través de una serie de lectores de geometría manual y biométrica que reconocen las huellas y la autoridad de una base de datos cifrada.

“Una vez dentro, un procedimiento de inicio de sesión y una confirmación visual por parte de guardias de seguridad capacitados aseguran que la entrada solo se dé a los visitantes autorizados. Cientos de cámaras de seguridad y lectores de mano están estacionados en los Intercambios comerciales internacionales para proporcionar una vigilancia detallada y el archivo de las áreas críticas de infraestructura y todas las jaulas de los clientes”.

Todos los guardias y el personal en el sitio deben estar bien entrenados y ser conscientes de los posibles intentos de asalto. Todos los controles y defensas del mundo fallarán si en el sitio están dispuestos a mantener las puertas abiertas o ignorar los procesos regulares para un atacante inteligente y decidido. Asegurarse de que el personal tenga la confianza suficiente para cumplir con el protocolo incluso ante la presión, no tenga miedo de hacer preguntas o verificar dos veces cualquier cosa de la que no esté seguro, y desconfiar de los intentos de manipulación es clave para garantizar que los intentos de ingeniería social sean menos probables para triunfar.

Es recomendable también fomentar pruebas de penetración periódicas realizadas por el proveedor de colo y los inquilinos para no solo garantizar que los controles de seguridad se apliquen correctamente, sino que también sean efectivos, así como encontrar posibles lagunas o deficiencias y realizar mejoras. Del mismo modo, se debe alentar a los clientes a realizar sus propias inspecciones y asegurarse de que el sitio cumpla con los estándares que esperan o requieren.

"Hay una diferencia entre un color seguro y un color muy seguro", explica Secarma's Williams, "pero la mayoría de las personas no harían esa distinción en las sensaciones viscerales, lo harían en función de algún cumplimiento o requisito reglamentario".