Seguridad y privacidad por diseño en el cloud privado

El problema de la seguridad añadida

La mayoría de los marcos de seguridad cloud parten de una infraestructura de propósito general y le añaden controles encima. Se añaden capas de cifrado. Se definen políticas de acceso. Se configuran registros de auditoría. El resultado es un despliegue conforme en el sentido de que pasa una lista de verificación. Pero la infraestructura subyacente no se diseñó teniendo esos requisitos en mente, y los controles se asientan sobre decisiones arquitectónicas que se tomaron sin ellos.

La privacidad por diseño (el principio de que las propiedades de privacidad y seguridad deben integrarse en los sistemas desde el inicio en lugar de añadirse después) está bien entendida como concepto en el desarrollo de software. En la infraestructura cloud, sigue siendo más principio que práctica.

El Private Cloud de GreenPow adopta un enfoque distinto. Las propiedades de seguridad y privacidad del despliegue no son configuraciones aplicadas a una plataforma genérica. Son requisitos arquitectónicos que dan forma a cómo se construye la plataforma.

Soberanía y residencia como propiedades de la infraestructura

La residencia de datos suele tratarse como una restricción geográfica: los datos permanecen dentro de un país o región especificados. Esto es necesario pero no suficiente.

La verdadera soberanía en la infraestructura cloud significa tres cosas:

Control jurisdiccional: el marco legal que rige los datos y la infraestructura que los procesa es inequívoco y conocido de antemano. Esto importa para las industrias reguladas, la TI pública y cualquier organización sujeta a la legislación transfronteriza de protección de datos.

Residencia por aplicación: la residencia de datos se aplica a nivel de infraestructura, no solo se declara en un acuerdo de servicio. Las cargas no pueden escapar del límite de residencia debido a configuraciones incorrectas, eventos de conmutación por error o decisiones del proveedor.

Control de personal: las personas con acceso operativo a la infraestructura son conocidas, evaluadas y sujetas a controles apropiados. Esto cubre tanto al personal del propio cliente como a cualquier personal del proveedor de infraestructura con acceso a las capas físicas o lógicas del entorno.

El Private Cloud de GreenPow proporciona los tres como propiedades de infraestructura de primer nivel, no como declaraciones de política.

Marcos de cumplimiento y lo que realmente exigen

DORA, NIS2 y el Reglamento de IA son los tres marcos europeos que más directamente afectan a las decisiones de infraestructura cloud para organizaciones reguladas.

Exigen, de distintas maneras:

• Marcos documentados y probados de gestión de riesgos TIC
• Capacidades de detección, respuesta y notificación de incidentes
• Gestión de riesgos de terceros, incluyendo a los proveedores cloud como terceros críticos
• Para el Reglamento de IA, requisitos específicos de documentación y supervisión para los sistemas de IA de alto riesgo que utilizan infraestructura cloud

Cumplir estos requisitos en infraestructura multi-tenant de hyperscalers es posible pero difícil. El cliente comparte la infraestructura con vecinos desconocidos, tiene visibilidad limitada de la capa física y depende de la postura de seguridad del proveedor para los componentes compartidos.

En una tenencia dedicada y propiedad del cliente, la superficie de cumplimiento es más limpia. El cliente controla el límite físico de la infraestructura. El rastro de auditoría cubre cada acción tomada dentro de ella. El acceso de terceros se rige por acuerdos documentados en lugar de modelos de responsabilidad compartida con amplias excepciones.

Las cargas sensibles a la privacidad necesitan un runtime privado

La aparición de cargas de IA en entornos regulados añade un desafío específico de privacidad. Los sistemas de IA entrenados con datos de clientes, que manejan datos personales o que generan resultados que afectan a personas están sujetos a requisitos de minimización de datos, limitación de la finalidad y auditabilidad bajo el RGPD y el Reglamento de IA.

Ejecutar estas cargas en infraestructura compartida de hyperscalers implica aceptar que el proveedor tiene visibilidad sobre los datos de entrenamiento, los pesos del modelo y las solicitudes y salidas de inferencia. Para muchos casos de uso regulados, esto no es aceptable.

El Private Cloud de GreenPow proporciona un entorno de runtime dedicado donde las cargas de IA se ejecutan sin acceso del proveedor a los datos ni al modelo. Combinado con Cortex para memoria de agentes aislada por tenant, proporciona la pila completa para una IA que preserva la privacidad en entornos regulados.

Conciencia del carbono dentro del límite de seguridad

Los requisitos de seguridad del cloud privado no eliminan la posibilidad de optimización consciente del carbono. MAIZX opera dentro de los límites de cumplimiento, no a su alrededor. Las cargas que deben permanecer en una jurisdicción específica permanecen allí. El desplazamiento temporal y la optimización de utilización de recursos que reducen las emisiones ocurren dentro de ese límite.

El Carbon Ledger registra las emisiones de Alcance 2 de la infraestructura dentro del perímetro de seguridad. Esto produce datos de emisiones verificables que satisfacen los requisitos de reporte sin necesidad de que ningún dato o carga abandone su límite requerido.

Seguridad, soberanía y sostenibilidad no son requisitos en competencia en el Private Cloud de GreenPow. Se resuelven juntos, desde la misma base arquitectónica.