En este artículo revisamos por qué hace sentido pensar en repatriar cargas de trabajo críticas a infraestructura controlada por el Estado, bajo un modelo de Cloud Privado.
José Miguel Guzmán Cassanello
- TABLA DE CONTENIDO
Introducción
Los recientes incidentes presentados en la plataforma de Mercado Público de Chile, que tendrían origen en Ransomware en máquinas virtuales de IFX (propietaria en Chile de la firma Netglobalis), empresa que informó que parte de su infraestructura de Colombia sufre actualmente un evento de ransomware, vuelven a abrir el debate en relación a la necesidad de “localidad” de los procesos del Estado, y la normativa de seguridad que debe regular la externalización de los servicios Cloud.
Las compras y pagos del Estado chileno han estado detenidas desde el 12 de septiembre, hasta la fecha de publicación de este artículo, debido a que su plataforma de e-commerce www.mercadopublico.cl (alojada en servidores que parecen estar en Colombia) está indisponible. Situación similar sufren instituciones del Gobierno Colombiano, y centenas de clientes en toda LATAM, que han visto impactadas sus operaciones debido al efecto dominó que produjo el ataque.
Es claro que en la medida que las tecnologías Cloud fueron avanzando, las organizaciones se comenzaron a beneficiar del ejercicio de la externalización de la complejidad operativa, e iniciaron una migración masiva hacia el Cloud de terceros, produciendo una enorme concentración de sistemas críticos de negocio, bajo una misma administración (tercerizada).
¿Será esa externalización una buena idea en grandes organizaciones, o en el propio Estado?
¿Existen formas más seguras de operar sistemas tan críticos como los gubernamentales?
¿Qué ocurrió con MercadoPublico.cl?
Sin pretender realizar un análisis forense detallado, entendiendo que finalmente cualquiera de estos incidentes son multidimensionales, y que el real análisis lo realizará el Gobierno de Chile en conjunto con IFX Networks, es importante explicar qué sabemos hasta ahora.
Varias fuentes (no confirmadas en Internet) e incluso algunas capturas de pantalla publicadas de lo que parece ser el ataque a IFX, apuntaría a un ransomware de RansomHouse, organización que obtiene información para luego venderla, o solicitar un rescate para recuperarla. El ransomware en cuestión sería llamado MarioLocker, que afecta a sistemas VMWare ESXi encriptando los archivos, de modo de poder cobrar un rescate monetario para permitir desencriptarlos.
Como consecuencia de lo anterior, el sitio de mercadopublico.cl no resuelve correctamente la dirección IP de sus servicios, con lo cual están totalmente inaccesibles.
El 12 de septiembre el equipo de Respuesta ante Incidentes de Seguridad Informática (CSIRT) del Ministerio del Interior y Seguridad Pública de Chile, emitió la alerta 10CND23-00108-01.
¿Qué ocurrió con Colombia?
En Colombia el impacto fue más amplio, y afectó Rama Judicial, la Superintendencia de Industria y Comercio, Supersalud y el Ministerio de Salud. El Consejo Superior de la Judicatura determinó que se suspendieran los términos judiciales en Colombia desde el pasado jueves 14 de septiembre hasta el miércoles 20 de septiembre.
Como consecuencia, el Gobierno colombiano instaló un Puesto de Mando Unificado (PMU), para conocer los daños y solucionar las afectaciones generadas por el incidente cuyo impacto afectó a varias entidades. El PMU está presidido por el auto consultor para la transformación digital Saul Kattan, el Comité Nacional de Seguridad Digital y el proveedor de servicios IFX; y ha emitido comunicado: Situación Alerta Ciberseguridad de ataque a IFX Networks S.A.S.
MarioLocker ransomware
MarioLocker no es un ataque muy original, ya que es un ransomware aparentemente basado en el código Babuk, uno de los primeros ransomwares en explotar vulnerabilidades de VMware ESXi, y cuyo código fuente fue filtrado al público en una conferencia de hackers de 2021 (Ver: Babuk ransomware’s full source code leaked on hacker forum).
El código permite crear un ransomware funcional, que es desde donde habría nacido MarioLocker. Se cree que existen a lo menos nueve bandas de ransomware que utilizan variantes de este código para actuar sobre plataformas de virtualización de Vmware ESXi (Ver: Babuk code used by 9 ransomware gangs to encrypt VMWare ESXi servers).
Las vulnerabilidades que se explotan ya son conocidas, y VMware dispone de parches de seguridad que las eliminan.
La evolución del Cloud
El Cloud produjo una gran disrupción muy fuerte en las industrias TI durante la década pasada, liderado principalmente por los grandes proveedores (hiper escalables) de Cloud Pública. Como consecuencia se han vivido varias olas sucesivas de migración al Cloud Público (desde inicios muy tímidos con aplicaciones experimentales, hasta progresivamente un convencimiento de beneficiar las aplicaciones más críticas del negocio con los beneficios del Cloud).
Sin embargo, en la madurez del Cloud se comienzan a identificar patrones de riesgo muy claros asociados a la externalización de la infraestructura del negocio. Comienzan a re-evaluarse los costos, así como el uso de herramientas que en esta década se han consolidado como mejores caminos para adoptar Cloud Privados más seguros.
Hipnosis por los beneficios del Cloud
El Cloud introdujo un cambio de paradigma importante con respecto a las tecnologías de virtualización vigentes hace más de 25 años. Con la virtualización, las organizaciones pudieron reducir el costo de inversión en hardware, pero no redujeron la complejidad.
Es más, al poder crecer la cantidad de aplicaciones (mediante muchas más máquinas virtuales), creció la complejidad, sin que existieran metodologías que permitieran abstraerse de tal complejidad.
Una de las primeras organizaciones que enfrentó tal complejidad fue la NASA (estatal), y que en el año 2008 lanzó un proceso de transformación (proyecto Nebula) que involucró crear su propio software de cloud, que más tarde se convertiría en uno de los proyectos open source más exitosos de la historia: OpenStack (que permite implementar Cloud Públicos y Privados).
Paralelamente, grandes organizaciones que resolvieron problemas similares para sus procesos de negocio lanzaron ofertas de Cloud Público (es decir, abiertas a cualquier organización privada o estatal del mundo) y que adoptaron también modelos de operación con altos niveles de abstracción, donde es el Cloud el que se hace cargo de los tecnicismos.
El Cloud, y en particular el proyecto OpenStack, trae un nuevo modelo operativo con más abstracción de los pormenores, donde es el Cloud quien se hace cargo de explotar la virtualización de modo que todos los procesos de “placement” de las máquinas virtuales es automatizado. También se hace cargo de automatizar la red (resuelve el gran dolor de cabeza) y los sistemas de almacenamiento. Esto permite operaciones de muy alto nivel (como mover una aplicación completa a otro datacenter) con total y natural simplicidad, y en pocos minutos.
Así, a fines de la década pasada se consolidó un nuevo modelo de operación Cloud (con más abstracción para las operaciones de alto nivel), en sus variantes Cloud Pública (donde esta infraestructura se externaliza a terceros) o Cloud Privada (donde las organizaciones despliegan el modelo Cloud con software en sus propias dependencias).
La estandarización del Cloud
A mediados de la década pasada, y frente a la proliferación de diversas soluciones de Cloud, Google decidió emprender un proyecto para estandarizar la forma en que un Cloud operaba.
La idea era que todos los Clouds fueran idénticos (desde el punto de vista de las aplicaciones), y que basado en el modelo de Contenedores, mover una aplicación desde el proveedor de Cloud Público A, hacia el proveedor de Cloud Público B, o hacia un Cloud Privado C, fuera trivial.
Este proyecto de Google se materializó mediante el modelo de orquestación de contenedores Kubernetes (el estándar de facto actual para el despliegue y operación de aplicaciones basada en microservicios), y dio origen a la Cloud Native Computing Foundation, la organización (sin fines de lucro) que regula que se sigan modelos de despliegue “cloud-native” que aseguren la interoperabilidad entre Clouds.
Desde hace algunos años, no hace sentido desarrollar una aplicación que no adhiera a estos principios Cloud-Native. Por un lado, estos principios aseguran el poder desplegar y operar la aplicación en cualquier cloud, pero por otro lado, este nuevo modelo vino a poner orden en algo que cada organización hacía de una manera diferente. Kubernetes vino a ordenar un proceso que no escalaba, haciéndolo universalmente claro, ordenado, y altamente escalable.
Movimiento de Workload Repatriation
Lo que al inicio fue muy atractivo por su simplicidad y baja inversión, hoy tiene muy complicadas a las organizaciones que consumen mucho cómputo, y que fueron creciendo lentamente en Cloud Públicos (operados por terceros).
Durante la década de los 2000s y 2010s, y solo a merced de lo que la virtualización podía ofrecer, los costos operativos de los aplicaciones de misión crítica aumentaron. Se concluyó que no era buena idea operar centros de datos propios, y comenzó una migración masiva a Cloud públicos, operados por terceros (incluso en el extranjero, bajo legislaciones foráneas y con tiempos de respuesta más altos).
Según el artículo The Cost of Cloud, a Trillion Dollar Paradox de Andreessen Horowitz (la firma de capital de riesgo fundada por Marc Andreessen, autor del primer navegador del mundo y co-fundador de Netscape), aquellas empresas que se iniciaron con el Cloud Público, a poco andar se enfrentaron a un problema no solo operativo, sino que económico. La mochila de OPEX que siguen arrastrando durante su crecimiento les ha quitado una parte importante del negocio, con costos operativos que ya superan los de operar sus propios centro de datos.
Los altos costos, y la disponibilidad de nuevas soluciones de software que permiten construir Cloud Privados a costos menores (en centros de datos propios o arrendados), ha dado inicio al movimiento de “Workload Repatriation” en los más grandes consumidores de cómputo del mundo. La política de repatriación trae como primer impacto un ahorro importante en costo, que se traslada a mejores utilidades y valorización bursátil.
“We estimate the recaptured savings in the extreme case of full repatriation, and use public data to pencil out the impact on share price. We show (using relatively conservative assumptions!) that across 50 of the top public software companies currently utilizing cloud infrastructure, an estimated $100B of market value is being lost among them due to cloud impact on margins— relative to running the infrastructure themselves”, indican Sarah Wang y Martín Casado en el estudio de Andreessen Horowitz.
Sin embargo, no es solo costo. La repatriación de las cargas de trabajo trae consigo beneficios de directo impacto en el negocio:
- Mayor control, reduciendo la dependencia del negocio en terceros.
- Mejor Planificación, es posible planificar los crecimientos en base a criterios de cada negocio (sin depender de los deseos de crecimiento del tercero).
- Menor Latencia, ya que un Cloud Privado presenta tiempos de acceso de 5ms, comparados con los 100ms desde Chile hacia Colombia, o los 150ms hasta un Cloud Público alojado en EEUU.
- Legislación, y esto es particularmente importante para el sector financiero o para el Estado: mantener la información de sus clientes o contribuyentes bajo la legislación que les corresponda.
La soberanía de los datos
La soberanía de los datos (Data Sovereignty) es el concepto legal que describe los aspectos legales que afectan a los datos.
El acto de externalizar el almacenamiento y procesamiento de los datos fuera de la legislación del propietario de la información, trae implicancias que podrían poner en riesgo el acceso a la información o la privacidad de la misma.
Históricamente, siempre ha habido una preocupación por la “Data in Rest” (almacenada en sistemas persistentes), pero hoy se agregan las dimensiones de “Data in Use” o “Data in Motion“, que por las capacidades tecnológicas actuales, tiene dimensiones sin precedentes. El flujo de información entre países vecinos (por ejemplo, Chile y Argentina), podría estar siendo cursada por Estados Unidos, o (¿por qué no?) Europa o Asia.
United States vs. Microsoft
En 2013 Microsoft se vió envuelta en un conflicto con el gobierno de Estados Unidos, luego que se negara a cumplir una solicitud del FBI a dar acceso a los e-mails de algunas cuentas vinculadas a casos de narcotráfico. La argumentación de Microsoft se fundamentó en que esa información no residía en Estados Unidos, sino que en Irlanda, y que la legislación vigente (el Stored Communications Act de 1986) no considera casos cuando la información reside en el extrajero.
El juicio fue complejo, duró varios años, con apelaciones, y finalmente fue resuelto por la creación de legislación más específica. El CLOUD Act (Clarifying Lawful Overseas Use of Data Act) de 2018, actualizó la legislación para permitir que una orden judicial pueda acceder a información almacenada en servidores en cualquier parte del mundo, bajo condiciones que eviten conflictos con la legislación del país donde los datos residen.
GRPD Europea
La GRPD (o RGPD por Reglamento General de Protección de Datos), aprobada por el parlamento europeo en 2016, prohíbe en su Artículo 45 la transferencia de los datos personales de los interesados de la UE a países fuera del Espacio Económico Europeo a menos que se impongan las salvaguardias apropiadas, o que la Comisión Europea considere formalmente adecuadas las normas de protección de datos del tercer país.
The EU-U.S. Privacy Shield
Fue un marco legal que regulaba el intercambio de información entre la Unión Europea y los Estados Unidos, aprobado en 2016, con el fin de facilitar que información europea (protegida por la legislación de privacidad de datos europea) pudiera residir en Estados Unidos.
Sin embargo, en 2020 el Tribunal de Justicia de la Unión Europea declaró invalido el Escudo de Privacidad, debido a incompatibilidades entre la GPRD y la legislación de EEUU. El gatillante del fin del escudo fue una demanda de Maximilian Schrems, residente de Irlanda, que impugnó que sus datos de Facebook fueran transferidos a servidores en EEUU. (Ver: El Tribunal de Justicia invalida la Decisión 2016/1250 sobre la adecuación de la protección conferida por el Escudo de la privacidad UE-EE. UU.
GAIA-X
Gaia-X es una iniciativa europea del sector privado para la creación de una infraestructura de datos abierta, federada e interoperable, constituida sobre los valores de soberanía digital. Destacan los siguientes puntos (extraídos de su página web, en su idioma original):
- The exchange of data across organisations is currently constrained by proprietary, non-transparent, non-interoperable technologies that do not provide the necessary level of trust.
- Our concept of sovereignty translates into the autonomy and self-determination users need to operate their technology choices. Gaia-X enables and boosts the creation of Data Spaces through trusted platforms that comply with common rules, allowing users and providers to trust each other on an objective technological basis, to safely and freely share and exchange data across multiple actors.
Se teoriza que GAIA-X nació como consecuencia de la regulación de protección de datos no europea (como el US CLOUD Act), para definir una infraestructura alternativa a la oferta de proveedores de cloud (hyperscalers) norteamericanos, que provea un alto estándar de seguridad intra-europea.
El proyecto agrupa más de 1800 contribuidores, 350 miembros, y basa su tecnología en el modelo de desarrollo Open source, un repositorio público. Así las cosas, el proyecto no ha liberado aún tal infraestructura.
Clouds Gubernamentales
El concepto de un Cloud gubernamental no es nuevo, y se ha adoptado en los países más industrializados por medio de una serie de prácticas que permiten abstraerse de los riesgos más comunes, ya sea por medio de infraestructura física dedicada, mediante estrictas políticas de seguridad, con capas de software que permitan cierto nivel de abstracción y mitigación del riesgo, o una combinación de todas ellas.
Ya sea operado por el propio estado (Cloud Privado), externalizado a terceros (Cloud Público) o un modelo híbrido, un Gov Cloud es un Cloud que cumple con una serie de requisitos para no exponer la seguridad de la información o la continuidad de los procesos.
Canadá
El Gobierno de Canadá ha adoptado un modelo de cloud que delega en SSC (Shared Services Canada) y PSPC (Public Services and Procurement Canada) la negociación de acuerdos Cloud que cumplan con las estrictas políticas de seguridad definidas por el gobierno, y que queden disponibles (cuando validados) para ser consumidos por las distintas reparticiones.
En Requirement 4.4.3.14 in the Directive on Service and Digital, se establece como requerimiento “Ensuring computing facilities located within the geographic boundaries of Canada or within the premises of a Government of Canada department located abroad…“, como un intento de mantener la información canadiense bajo leyes canadienses, y minimizar el riesgo de acceso.
Según Government of Canada White Paper: Data Sovereignty and Public Cloud:
- Moving the GC’s data outside of the geographic boundaries of Canada could impact the GC’s access to data and services that are vital to its business continuity.
- Regardless of where the cloud resources are physically located, when data is stored in a cloud environment, the stored data may be subject to the laws of other countries. As previously mentioned, CSPs are hyper-scale providers that have global deployment. A CSP with foreign operations could be required to comply with a warrant, court order or subpoena request from a foreign law enforcement agency seeking to obtain GC data.
- This means that Canada cannot ensure full sovereignty over its data when it stores data in the cloud. Lack of full data sovereignty has the potential to damage the GC and third parties. Sensitive GC data could be subject to foreign laws and be disclosed to another government. Under some foreign laws, disclosure of GC data could take place without notice to the GC.
Estados Unidos
Por ejemplo, en Estados Unidos el gobierno definió una Federal Cloud Computing Strategy en 2019, llamada Cloud Smart. En ella se busca racionalizar los costos, moviéndose de un modelo “buy before build” a uno “solve before buy”.
Para su implementación, la General Services Administration creó un servicio cloud.gov, que provee servicios cloud a las instituciones gubernamentales. Éste corre en infraestructura virtual de uno de los grandes proveedores de cloud norteamericanos, pero usando software Open source de Cloud Foundry, lo que le daría al gobierno independencia para poder cambiar esa infraestructura a cualquier otro proveedor.
Además, habilita (y requiere) que las aplicaciones del gobierno sean desplegadas bajo principios cloud-native (lo que también entrega garantías de bajas barreras de entrada o salida).
Reino Unido
El gobierno británico declara en su Government Cloud Strategy:
- G-Cloud is not a single entity; it is an ongoing and iterative programme of work which will enable the use of a range of cloud services, and changes in the way we procure and operate ICT, throughout the public sector.
- Cloud computing will be enabled via the creation of a Government Application Store. This will take the form of an online portal, and will provide an open marketplace displaying services that will be able to be procured, used, reviewed and reused across the public sector.
En su Cloud security guidance el gobierno británico define 14 principios de seguridad para la contratación de servicios en el Cloud, y que intentan homogeneizar la oferta disponible.
España
El gobierno de España ha publicado su Estrategia de servicios en la nube híbrida para las administraciones públicas, y que se basa en su NubeSARA, formada por la combinación de varias tipologías de nube interconectadas entre sí:
- Nubes Privadas de la administración del estado español,
- Nubes Privadas de otras administraciones públicas españolas o de la Unión Europea,
- Nubes públicas de terceros (para aplicaciones menos sensibles)
- Capacidades de Edge Computing (combinado de elementos anteriores).
Todo esto con un adecuado marco de interoperabilidad entre estos elementos, que permita la compatibilidad o reversibilidad de las cargas de trabajo.
La NubeSARA dispondrá de una Tienda, a través de la cual las administraciones públicas dispondrán de un catálogo de soluciones ya disponibles.
La política busca disponer de autonomía tecnológica, en particular, con capacidades en España, ya que tiene implicaciones, no sólo en cuanto a la posibilidad de poder ejercer un control directo sobre los datos y los servicios, sino también en cuanto a promover un ecosistema de tecnologías necesarias para la transformación digital.
Se trata de disponer de criterios en relación con la ubicación y gestión de los datos de forma que se garantice en todo momento la soberanía digital, la jurisdicción, la seguridad y su protección dentro de la normativa vigente.
Comisión Europea
La Comisión Europea también ha actualizado su EC Cloud Strategy (planteada originalmente en 2012), planteando un modelo Cloud-First, que implica que todo nuevo proyecto de desarrollo debe preferentemente ser cloud-native, y que los sistemas actuales deben planificar para su transformación a cloud-native.
La oferta de servicios cloud disponibles para la CE deberán ser Seguros (y compatible con la legislación de datos europea); Híbrida (usando un mix de Cloud Público y Privado on-prem), Multi-cloud (no amarrando a la CE a un solo proveedor de cloud) y Eficiente energéticamente.
China
En el caso de China, el enfoque va más allá que solo legislación.
Su estrategia principal se enmarca dentro del plan de construcción de un “National Integrated Government Big Data System”. Este plan es crítico, ya que las extranets gubernamentales han crecido mucho (dice haber logrado un 100% de cobertura geográfica de los gobiernos a nivel condado y superiores, y un 96% de cobertura de gobiernos municipales), lo que hace imperiosa la necesidad de expandir las capacidades cloud.
Su proyecto “Eastern Data, Western Computing” (EDWC) ha planteado la construcción masiva de datacenters e infraestructura cloud en el Oeste del país (donde los costos de energía y espacio son menores), con el fin de procesar los datos del Este. Ver: Understanding China’s “Eastern Data Western Calculation” project.
En cuanto a los proveedores de Cloud Pública para empresas, Alibaba Cloud es el actor dominante, seguido por Tencent Cloud, Los hyperscalers tradicionales, no alcanzan siquiera un dígito de participación porcentual en el mercado chino. En China, un proveedor de Cloud debe ser una empresa china con hasta un 50% de capital extranjero, lo que complica el establecimiento de proveedores de cloud globales.
Desde 2021, múltiples fuentes indican que la reglamentación china está forzando a las empresas estatales chinas a moverse desde proveedores chinos de cloud comerciales (incluidos Alibaba y Tencent) al cloud del estado (ver: Data security law: China orders state firms to migrate to government cloud services).
La experiencia Telco Cloud
Cloud optimizados para ciertas verticales de negocio, son cada vez más comunes, incluso en América Latina.
El caso más reciente es la inauguración del Telco Cloud de Telefónica, que fue desplegado en varios datacenters Tier-1 de la operadora de telecomunicaciones, para permitirle desplegar sus servicios de red de manera más dinámica y segura.
La industria de telecomunicaciones presenta varias similitudes con las necesidades gubernamentales. Por cuestiones técnicas, de volúmen y de legislación, las Telcos (que son grandes consumidores de cómputo y red) no pueden externalizar su infraestructura a terceros fuera de la legislación. Esto las ha convertido en una industria de especial interés para las tecnologías de Cloud Privado. Ver: Telefónica Hispanoamérica lanza su TCloud con Whitestack y una decena de fabricantes de servicios de telecomunicaciones.
Conclusiones
El modelo cloud es muy atractivo, ya que permite un alto nivel de abstracción del ciclo de vida de las aplicaciones (despliegue y operación). No fue solo una moda, sino que realmente fue una revolución en la forma de explotar aplicaciones.
Durante la década pasada, Cloud fue un sinónimo de Cloud Público, hacia las cuales se produjo una migración masiva, ya que todos necesitaban materializar los beneficios del cloud, en un mercado con pocos actores.
Durante esta década se ha comenzado a identificar escenarios en los cuales en Cloud Público no parece ser la única o la mejor opción. Se piensa en repatriar workloads, y diversas tecnologías open source han estandarizado la forma de construir Clouds privados, permitiendo volver a modelos on-prem, sin perder los beneficios del Cloud.
Gobiernos de todo el mundo están observando esta divergencia en las tendencias Cloud, y en varios casos han planteado estrategias de Cloud híbridos o privados, que permitan mayor control sobre la soberanía de los datos, basado en código abierto.
Los gobiernos de latinoamérica deben mirar estos modelos, para disponer de modelos más diversificados, que permitan mitigar riesgos que la prensa nos muestra que no son sólo hipotéticos, sino que tremendamente reales. Las aplicaciones del estado se van a beneficiar de adoptar modelos cloud-native, que permitan portabilidad de aplicaciones entre clouds de diferentes proveedores.
Quizás un buen inicio es la divulgación de estrategias cloud claras y contundentes, que permitan allanar el camino para clouds gubernamentales de alto estándar, seguras, confiables y sin dependencias comerciales (sobre la base de código open-source).
José Miguel Guzmán Cassanello
Acerca de Whitestack
Whitestack es una empresa líder en el despliegue productivo de soluciones basadas en tecnologías y código abierto, con un fuerte foco en la industria de telecomunicaciones.
¡Contáctanos para conocer más!
