Cuando ya finalmente creíamos que la nube era segura, nos damos cuenta de que no es así. Para explicar el agujero de seguridad, es preciso hablar de cómo se veía la seguridad antes y cómo es que esos modelos ya no sirven.
Al diseñar servicios en la nube, se solía usar el modelo Model–view–controller que divide la aplicación en segmentos, y aplicaba lógica de negocios para asegurar la seguridad de la aplicación. Era un modelo que trabajaba en varias capas:
- Usuario
- Presentación
- Negocios
- Servicios
- Análisis
- Almacenamiento de datos
El problema de este modelo es que no es "nativo de la nube" porque los mecanismos de seguridad asumen que el tráfico viaja de cierta manera y usando recursos específicos. Además, dar seguridad a la aplicación requería conocer detalles específicos de cómo funciona la aplicación, así como un control total de lo que ocurre entre las diferentes capas. Es decir, se asume que existe control total sobre la manera en que las capas fueron segmentadas, donde cada capa está estrictamente separada. Esencialmente era exportar el modelo de seguridad de los centros de datos a la nube.
Con la entrada del modelo de Platform-as-a-Service (PaaS) que parece estar grandes resultados en materia de eficiencia, tiene varios problemas. Anteriormente todos los elementos funcionales de las distintas capas estaban bajo el control de la empresa, pero ahora esas funciones se pasan a los cloud service provider (CSP), de modo que ya no se tiene control total. La entrada de CSPs y de herramientas de terceros, complica mucho el problema de seguridad.
De esta manera, la nube ahora tiene un problema de riesgo con una arquitectura sin servidores. Las empresas deben estar atentas a estos problemas.