“Si no tuviéramos una seguridad del más alto nivel, no existiríamos como negocio”. Así de claro lo tiene Carlos Sanchiz, Senior Solutions Architect de AWS, que detalla en esta entrevista la estrategia de seguridad que siguen en la compañía, basada en una operación excelente y en el feedback de los clientes.
En la base de muchos de sus productos, además, se encuentran la inteligencia artificial y el deep learning, que permiten entrenar las soluciones para descubrir, clasificar y proteger datos confidenciales en la nube pública.
¿Es la seguridad un factor decisivo al seleccionar un proveedor cloud?
Yo no diría que es un factor decisivo, pero sí fundamental. Dentro de los análisis de mercado a la hora de seleccionar un proveedor los clientes valoran la seguridad. Pero realmente esa pregunta ya está fuera de la mesa: ahora todo el mundo entiende que no sólo es que el cloud sea seguro, sino que hay proveedores que aportan más seguridad en la nube que la que puede tener una empresa en su propio entorno on premise.
Para AWS la seguridad es la razón fundamental por la que existimos: si no tuviéramos una seguridad del más alto nivel, no existiríamos como negocio. Por eso, no solo desde nuestra fundación, sino a medida que vamos desarrollando la plataforma de nuevos servicios, ponemos la seguridad por delante de cualquier otra cosa, escuchamos a nuestros clientes siempre entendiendo que el roadmap de nuestros productos y servicios va en un 90% asociado a lo que nos dice la gente.
¿Qué parte de la seguridad es responsabilidad del proveedor y qué parte del cliente?
Nosotros funcionamos en un modelo de seguridad compartida. En ese modelo, nos ocupamos de la seguridad del cloud y el cliente se encarga de la seguridad dentro del cloud. Hacemos cosas como las que podría hacer una empresa tradicional en su data center a la hora de securizar su entorno: control de acceso físico, vigilancia 24x7, separación dentro de la red, del almacenamiento y del hipervisor, etc.
Todas esas tareas las hace Amazon automáticamente. Ahora bien, a partir de cierto nivel y dependiendo de los servicios, hay cierta seguridad que recae de la mano del cliente. Eso no significa que nosotros les dejemos ahí, sino que trabajamos con ellos creando nuevos servicios para mejorar esa seguridad que pueden utilizar. Un ejemplo es AWS Key Management Service, que permite utilizar un servicio seguro de encriptación para poder cifrar los datos.
También disponemos del servicio Amazon VPC –virtual private cloud–, que permite crear un entorno aislado dentro de la nube de AWS donde definir aspectos como la seguridad, las reglas del firewall, el direccionamiento IP, etc.
A la hora de utilizar la nube híbrida, se exige el mismo nivel de seguridad dentro y fuera de la empresa. ¿Cómo se consigue esto?
Dada la escala en la que trabajamos, tenemos la capacidad de dedicar unos recursos enormes a la seguridad, muchos más de los que podría dedicar una empresa cualquiera. Tenemos unos estándares muy altos. Aparte, por los requisitos que tienen todos nuestros clientes, estas inversiones van en beneficio de otros usuarios que a lo mejor no tienen esa necesidad tan alta de seguridad. Todos nos beneficiamos de este ecosistema.
Para el caso concreto de entornos híbridos, nosotros creamos funcionalidades y servicios para facilitar esa conexión entre entornos tradicionales y entornos de AWS.
Por ejemplo, comentaba Amazon VPC, puedes conectarte a través de líneas dedicadas o VPNs tradicionales a tu entorno on premise de forma segura con licitación en tránsito, de modo que el data center de AWS sea una extensión de tu data center tradicional.
Entendemos que esto es un cambio de paradigma dentro de la tecnología, y durante unos años habrá entornos que funcionen en una situación híbrida. Estamos comprometidos en ayudar a nuestros clientes en esa transición al cloud.
El panorama de la seguridad ha ido cambiando a lo largo de los años. ¿Cómo han adaptado los proveedores de cloud sus medidas de seguridad?
Nosotros no nos hemos conformado nunca, siempre estamos desarrollando innovaciones y dando robustez a nuestra infraestructura. Hemos lanzado servicios como AWS Shield, que todos los clientes reciben en todos los servicios que utilizan. Es una capa de seguridad añadida en los servicios que utilizan para ataques de denegación de servicio y otros más estándares. Con servicios como AWS WAF (Web Application Firewall), los clientes son capaces de construir modelos de seguridad ante ataques mucho más complejos. Son servicios que se pueden consumir vía API, y que se pueden automatizar y customizar para cada aplicativo.
Ha mencionado algunas de las soluciones de seguridad que ofrece AWS. ¿Qué otros servicios destacaría de su oferta?
Tenemos una categoría específica sólo en seguridad en compliance. Por ejemplo, AWS Identity and Access Management, un servicio para controlar el acceso a la plataforma, con políticas de seguridad, que te da un control muy detallado de lo que se puede hacer con la infraestructura.
AWS Key Management Service permite hacer encriptación de datos en reposo, algo que en un momento u otro vas a necesitar.
Cuando trabajamos en entornos muy regulados, ofrecemos servicios como AWS CloudHSM, un dispositivo para la gestión de claves. AWS no tiene acceso a la gestión y el dispositivo está protegido contra manipulación. Así conseguimos cumplir con los estándares de la industria y obtener certificaciones.
Ligado con la inteligencia artificial, el reciente servicio Amazon Macie lleva por debajo un motor de deep learning y utiliza el aprendizaje automático para descubrir, clasificar y proteger datos confidenciales en AWS. Esta herramienta reconoce datos confidenciales y proporciona alertas sobre cómo se están trasladando estos datos o se está accediendo a ellos.
Muchas de las innovaciones de AWS van centradas en el tema de la seguridad. ¿Hacia dónde se dirigen esas innovaciones?
Trabajamos en dos líneas. Una de ellas es la operación: la forma de gestionar nuestra infraestructura tiene que ser siempre excelente desde el punto de vista de la seguridad y cumplir con las regulaciones. En segundo lugar, creamos nuevos servicios en base al feedback de nuestros clientes.
Seguiremos desarrollando nuevos servicios desde el punto de vista de la seguridad, abstrayendo cada vez más al usuario de la gestión no diferencial de la seguridad. Y seguiremos trabajando en temas como Macie, soluciones que digan cuáles son los riesgos que tengo en mi infraestructura. Tenemos un servicio muy parecido, llamado AWS Inspector, a través del cual, utilizando agentes que instalamos en los servidores, somos capaces de dar recomendaciones de seguridad y de compliance en base a lo que se está utilizando dentro de ese servidor.
Ahí es donde vamos a seguir sacando servicios, sencillos de utilizar para el cliente, que se pueden hacer de manera automatizada y que están siempre alineados con los costes.
¿La inteligencia artificial está en la base de esos productos?
Efectivamente. En AWS y Amazon como compañía tenemos miles de personas dedicadas a la inteligencia artificial, y eso nos da una capacidad de poder entrenar modelos de manera muy rápida y eficiente. Nosotros creamos todos estos servicios para que sea sencillo para el cliente consumirlos.
En materia de legislación, hace un par de años había quejas con respecto a que los contratos con proveedores no locales, como AWS o Azure, no cumplían con las normativas de la UE. ¿Cuál es la situación ahora con la GDPR? ¿Ha cambiado esto?
Para los clientes ha dejado de ser un problema, han perdido el miedo. Desde el punto de vista de la regulación, Amazon como grupo está comprometido a cumplir con la legislación allá donde tenga negocios. Por tanto, en el momento en que esta legislación entre en vigor, AWS cumplirá con ella y tendrá el sello de la Unión Europea. Es nuestro compromiso.
De cara al futuro, ¿hacia dónde se orientarán las estrategias de seguridad de los proveedores cloud?
Nosotros estamos muy lejos de haber terminado con la seguridad, es un desarrollo que no tiene fin porque irán saliendo nuevas aplicaciones, nuevas formas de consumir tecnología, nuevos proveedores de autenticación, etc. Somos muy ágiles a la hora de desplegar nuevos servicios y estaremos atentos para incorporar nuevas funcionalidades y seguir con el ritmo de innovación, con funcionalidades orientadas a la seguridad.