TIC    Re:Inforce

AWS se refuerza como proveedor de seguridad con un marketplace y un chip propio para encriptar

La primera edición de Re:Inforce celebrada en Boston llama a democratizar la seguridad y presenta una solución para securizar el uso de satélites as a service

26 JUN. 2019 - BOSTON (EEUU)
7 minutos

Debemos interpretar que el hecho mismo de que Amazon Web Services haya celebrado su primer gran evento global en materia de seguridad, bautizado como Re:Inforce, era el mensaje. Los principales anuncios se formularon en la edición de noviembre de Re:Invent en Las Vegas y sólo se ha constatado, al respecto, la disponibilidad de nuevos servicios como el AWS Marketplace Procurement System Integration, presentado como una puerta abierta para que las startup de seguridad puedan expandir sus servicios a todo el mundo, sello de identidad de la división de comercio minorista, o el AWS Control Tower, que facilita el aterrizaje de los datos de las empresas en la nube.

La gran novedad del evento se llama Traffic Mirror, “un desarrollo diseñado específicamente para el despliegue de nuestros partners, a los que damos las herramientas para construir la puerta de entrada a la infraestructura del cliente”, según ha explicado a los medios desplazados al evento el chief information security officer (CISO) de AWS, Steve Schmidt. El objetivo es visibilizar el flujo de información cuando el cliente opera a través de una VPC (Virtual Private Cloud) de Amazon. Una tarea menos sencilla de lo que cabría suponer, porque “cuando tienes una red increíblemente grande que intencionalmente has diseñado para que el tráfico sea difícil de cortar, es un reto de ingeniería muy significativo”, según Schmidt.

Desde el punto de vista estratégico, destaca el subrayado a la apuesta de la compañía por la comunicación vía satélite, mediante la plataforma AWS Ground Station, cuya finalidad es explotar el negocio as a service de las estaciones de base que controlan y descargan los datos de los sistemas satelitales. “Las estaciones base son importantes porque se trata de un equipamiento que no ha sido diseñado con la seguridad en mente”, afirma el CISO de AWS. “Tenemos que hacer un enorme rediseño de acuerdo con los fabricantes, para que cualquiera que use nuestros servicios tenga garantizada la encriptación, para que podamos hacer la validación e integridad, y sobre todo permitir que las estaciones de base puedan usarse on demand, es el elemento que cambia las reglas de juego”.

Y la tercera gran aportación de Re:Inforce ha sido conocer más aspectos del proyecto Nitro, especialmente los que proporciona el propio Steve Schmidt: “El motivo por el que lo hicimos es porque los sistemas de virtualización existentes dan por hecho que el acceso de las personas al control de una parte física del hardware. No me gusta cuando la gente tiene acceso al host, porque pueden cometer errores. Hace unos años iniciamos un proceso de inversión con el objetivo de que ningún miembro del equipo de AWS pueda iniciar sesión en un host que contenga datos de los clientes. Es muy difícil, porque significa por ejemplo que no podemos reparar cosas, pero desde una perspectiva del cliente esto es genial. Es una mejora de la disponibilidad, porque los humanos cometemos errores, y apartarlos de las cajas las hace más fiables”.

El caso es que para el desarrollo de Nitro es fundamental la aportación de los procesadores Graviton diseñados por Annapurna Labs, empresa adquirida hace unos años por AWS. Se trata de una apuesta de la compañía por disponer de chips alternativos -o al menos inicialmente complementarios- a los de AMD y, sobre todo, Intel. Schmidt ha revelado de forma explícita que aquella compra “forma parte de esta inversión en Nitro, específicamente porque queríamos construir nuestros propios chips”.

El procesador de Annapurna “permite mejorar el control de las máquinas, porque controlamos las tarjetas de Nitro completamente. Y nos permite hacer cosas como reforzar la encriptación de todos los contenidos en el disco. Era una tarea complicada antes, porque encriptar contenidos siempre tiene una penalización en el rendimiento. Pero mover esos procesos a tarjetas que nosotros hemos construido con ese propósito, porque no estamos en el sistema operativo general, permite operar a la misma velocidad que los discos, no ralentizamos el trabajo del cliente”.

 Schmidt ha presentado, por último, la estrategia de AWS como un modelo de traslación del concepto experiencia de usuario a los desarrolladores, con una deliberada voluntad de democratización de la tecnología, para que las pequeñas y medianas empresas no se queden fuera. “Somos muy buenos proporcionando bloques de construcción a los equipos, componentes para generar servicios de una forma segura. La democratización de la seguridad es muy importante, porque muchas empresas no pueden pagarse un ingeniero desarrollador dedicado, es muy caro, tenemos que darte herramientas que te permitan tener el mismo nivel de seguridad que las grandes compañías. Si lo hacemos bien podremos hacer que todo el mundo pueda estar mejor como las grandes compañías”, ha dicho.