Cloud híbrido y multicloud: estrategia, seguridad y soberanía del dato en la empresa

La adopción de la nube es un imperativo estratégico, pero muchas organizaciones siguen lejos de exprimir todo su potencial. Para analizar cómo diseñar y operar de forma correcta en entornos de nube híbrida y multicloud, Byte TI, junto con Arsys y Var Group, un webinar en el que se ofrecieron las principales claves.

Las claves son alinear tecnología y negocio, controlar costes, reforzar la seguridad y dar respuesta a la creciente preocupación por la soberanía del dato. En opinión de Julián Sanz, Solution Specialist de Arsys Cloud Solutions, “el multi-cloud ya es prácticamente inevitable para garantizar disponibilidad y resiliencia”, mientras que Alberto Barros, Infrastructure & Operations Technical Leader de Var Group Iberia, subrayó que “la clave está en una estrategia global, apoyada en FinOps, automatización y una visión de seguridad zero trust”. Ambos coincidieron en que la combinación adecuada de cloud público, cloud privado y on-premise, junto con herramientas de orquestación y observabilidad, es la base para asegurar independencia tecnológica y cumplimiento normativo en el nuevo escenario regulatorio europeo.

La decepción

En muchas ocasiones la nube, independientemente del sabor, no ha cubierto las expectativas. Según Alberto Barros, uno de los problemas de origen es que “la migración a la nube muchas veces viene promovida por el departamento financiero y no como una decisión tecnológica y de negocio bien alineada. Cuando la migración se impulsa solo por el atractivo del paso de CAPEX a OPEX, sin un análisis profundo de la estrategia de subida a la nube, se generan silos aumentando la complejidad operativa y de gobernanza”.

Para Barros este enfoque fragmentado desencadena varios efectos: “sobrecostes inesperados por un mal dimensionamiento, retorno de inversión inferior al esperado y equipos que no están adaptados para ir de un entorno on-premise al entorno cloud”. Tal y como expuso, la adopción del cloud es “un cambio de paradigma en la empresa” y debe ser una decisión del CEO y del conjunto de la organización, con FinOps implantado para imputar costes por servicio y procesos de automatización y DevOps maduros que reduzcan la carga administrativa.

Multicloud: de opción a necesidad

El multicloud se ha convertido en un paradigma dentro del mundo cloud. Desde la perspectiva del proveedor, Julián Sanz de Arsys explicó que han visto “varias tendencias” y que la adecuada es una “estrategia global de la compañía, en la cual primero se piensa y después se actúa”. En su opinión, el multi-cloud ya es obligatorio”porque “un único proveedor no nos garantiza todo, especialmente cuando se han vivido caídas prolongadas de grandes proveedores que han paralizado organizaciones completas. Cada vez más clientes diseñan su arquitectura para distribuir cargas de trabajo entre varios proveedores y contar con una capacidad real de reacción.

Para Barros, “lo ideal es disponer de un cloud híbrido multicloud, donde lo más crítico reside en un entorno on-premise o de data center privado controlado por la compañía, y donde se descargan cargas de trabajo a distintos proveedores en función de criterios de costes y servicios.

Para ilustrar las implicaciones del modelo, Julián Sanz fue claro: “tener un único proveedor significa que yo me tengo que adaptar al proveedor. Esto implica curvas de aprendizaje largas, dependencia del modelo de servicios y precios del proveedor y menor margen de maniobra en la gestión de costes. En cambio, con múltiples proveedores, yo no me adapto al proveedor, sino que yo busco en el mercado quién tiene solución que se adapta a mi necesidad”

El portavoz de Var Group introdujo un matiz importante: “alcanzar este escenario exige un alto nivel de automatización, herramientas centralizadas de orquestación y capacidades DevOps internas que muchas medianas empresas no pueden asumir por coste o complejidad. Por ello, Var Group Iberia ofrece servicios gestionados que permiten a estas organizaciones orquestar y gestionar, gobernar clouds híbridos”.

¿Y cómo se elige un proveedor? Si una empresa parte de cero, Alberto Barros insistió en que el primer criterio es el alineamiento entre la estrategia IT propia y la propuesta del proveedor. “Ese proveedor se tiene que ajustar a los requerimientos estratégicos y a las capacidades técnicas internas, ya sea que la empresa trabaje con virtualización de servidores, contenedores u otros modelos”, afirmó. Otros factores clave para el portavoz de Var Group son los niveles de disponibilidad históricos del proveedor, la estabilidad de sus políticas comerciales, la calidad del soporte y la proximidad.

Desde Arsys, Julián Sanz subrayó que la elección debe partir de una estrategia clara y de hitos definidos: “El proveedor me tiene que solucionar una serie de situaciones. Entre los requisitos básicos que hay que pedirle figuran herramientas de automatización, capacidades de observabilidad , soporte en seguridad y servicios que respondan al auge de las nubes soberanas y la soberanía del dato”.

Migrar de un proveedor a otro: del “vendor lock-in” a la independencia

Una de las grandes quejas de los CIO es la dificultad para migrar cargas entre proveedores, hasta el punto de que “algunos dicen incluso que la nube es el nuevo on-premise”. Para Julián Sanz, la migración “debería ser posible”, pero reconoce que la realidad del mercado es desigual. Puso como ejemplo que Arsys incorpora en los paneles de cliente herramientas “tanto para entrar como para salir”. Sin embargo, no todos los proveedores operan así: “Te lo ponen muy fácil para entrar y muy difícil para salir, lo que complica cualquier cambio motivado por cercanía, ampliación de capacidades o ventajas de costes detectadas por iniciativas de FinOps”, afirmó

Por su parte, Alberto Barros recalcó que, en cualquier consultoría de migración al cloud, “uno de los apartados más importantes es definir desde el inicio cómo se va a salir: retorno a on-premise o a otro cloud, para evitar el bloqueo”. El portavoz de Var Group enumeró enfoques técnicos a tener en cuenta como migraciones completas de discos, uso de soluciones de backup y restore independientes del cloud o reconstrucción de infraestructuras en otro proveedor mediante automatización e infraestructura como código siempre que la organización tenga maduro su modelo DevOps.

La seguridad como fundamento

En materia de seguridad, Alberto Barros fue tajante: “no por estar en cloud, se está más seguro”. Para él, “el principio de zero-trust debe ser básico, con herramientas de análisis de vulnerabilidades en on-premise y cloud, gestión de identidades centralizada bajo el control de la empresa y no del proveedor y cifrado extremo a extremo de todas las comunicaciones y datos en reposo”. Además, considera fundamental que la gestión de claves sea siempre propiedad de la compañía, como parte de su soberanía sobre el dato.

Julián Sanz coincidió en el diagnóstico y recordó que el multicloud “genera una superficie mayor de ataque, por lo que las empresas deben tomar medidas proactivas”. El portavoz de Arsys reivindicó la necesidad de automatización y de una visión de todos los multicloud a la vez, advirtiendo de que “no sirve de mucho gestionar con gran seguridad un entorno si se dejan puertas abiertas en otros clouds. En el caso de las pymes, lo mínimo imprescindible es el doble factor de autenticación, el cifrado de todos los datos y el uso consistente de las herramientas de seguridad ya disponibles”.

Soberanía del dato y nuevo marco regulatorio

La soberanía del dato ha pasado a primer plano por la combinación de nuevas regulaciones europeas y tensiones geopolíticas. Alberto Barros recordó que, además del conocido GDPR, han ganado peso instrumentos como el Data Governance Act y, sobre todo, el IA Act, lo que está generando una “tendencia a la localización más próxima de las cargas y de los datos a las empresas. En algunos casos, esta sensibilidad se traduce incluso en una cierta repatriación de los datos desde clouds públicos a on-premise o cloud privado”. Por su parte, Julián Sanz habló de un “mix muy claro entre normativa, desconfianza y movimientos geopolíticos que llevan a muchas empresas a replantearse su modelo actual. Además, la inteligencia artificial está acelerando este proceso, porque para cumplir las normativas muchas organizaciones van a tener que tener los datos cerca y no podrán permitirse alojarlos en proveedores cuya localización o jurisdicción no esté clara”.