¿Qué es la seguridad en la nube?

La seguridad en la nube consiste en una serie de pasos que se toman para proteger un entorno en la nube, ya sea privado o público, contra amenazas de seguridad internas y externas.

La computación en la nube es un método para almacenar datos, infraestructura y aplicaciones a través de Internet. La seguridad en la nube es un medio para proteger la nube contra ataques, tanto externos como internos. Normalmente, se rige por una serie de controles, procedimientos y políticas que funcionan en conjunto para proteger todos los activos dentro de la nube. Estos protocolos, cuando se implementan, también pueden ayudar al cumplimiento normativo y a la reducción de los gastos generales administrativos.

La seguridad en la nube es fundamentalmente una seguridad de TI, pero ubicada en un lugar centralizado. Las medidas y la protección son las mismas, pero la seguridad en la nube está alojada en el software. El software de computación en la nube es fácilmente escalable, portátil y dinámico, lo que le permite responder a un entorno y acompañar a los flujos de trabajo asociados. Esto también reduce exponencialmente el riesgo de pérdida o corrupción de datos.

Confianza cero y por qué debes adoptarla

De forma predeterminada, los profesionales de seguridad no deben confiar automáticamente en nada dentro o fuera de la red. Las políticas de confianza cero aplican principios de privilegio mínimo cuando los usuarios solo reciben la menor cantidad posible de acceso y recursos necesarios para desempeñar su función. También se utiliza microsegmentación, que descompone la seguridad en la nube mediante la creación de zonas seguras que segmentan las cargas de trabajo entre sí.

  • Nube privada interna: utilizada por el personal interno que opera el entorno virtual.
  • Nube privada del proveedor de nube pública: un tercero proporciona el entorno informático, en el que un entorno sirve a un cliente.
  • Nube pública: software como servicio (SaaS), infraestructura como servicio (IaaS) y plataforma como servicio (PaaS).
  • Nube híbrida: proveedores públicos y privados comparten sistemas en la nube privada y pública, divididos según el coste, los gastos generales y las cargas de trabajo.

Seguridad centralizada

La seguridad en la nube centraliza las medidas de seguridad de la misma manera que la computación en la nube centraliza los datos. El análisis del tráfico, la supervisión de eventos de red y el filtrado web se pueden gestionar de forma centralizada, lo que requiere menos actualizaciones de políticas y software; el resultado es que se puede optimizar el proceso de TI y liberar tiempo para realizar más trabajo técnico en lugar de supervisar varios sistemas.

Redireccionamiento de costes

La seguridad en la nube reduce la necesidad de hardware específico, lo que puede reducir drásticamente los costes, incluidos los gastos generales administrativos. Los equipos de TI también trabajaban de forma reactiva contra las amenazas a la seguridad, lo que puede llevar más tiempo que las medidas de seguridad proactivas de la seguridad en la nube que ofrecen una supervisión constante y casi ninguna interacción humana.

Reducción de la administración

La seguridad en la nube reduce la necesidad de intervención e interacción humanas. No hay configuraciones y actualizaciones de seguridad manuales que puedan consumir tiempo y otros recursos valiosos. Toda la administración de seguridad se gestiona automáticamente en una ubicación central.

Fiabilidad

Las medidas correctas de computación en la nube pueden permitir que los usuarios accedan de forma segura a los activos desde varias ubicaciones con muy pocos problemas.

Las vulnerabilidades pueden surgir de las siguientes maneras, en los siguientes lugares y por los siguientes motivos:

Aumento de la superficie de ataque

Cada vez más, los entornos en la nube son el objetivo de los ataques de hackers que buscan explotar vulnerabilidades mal protegidas, lo que les da la capacidad de acceder a los datos e interrumpir los procesos. Los ataques comunes incluyen malware, ataques de día cero y apropiación de cuentas.

Falta de visibilidad y control

Puede ser difícil para los clientes de la nube cuantificar sus activos o visualizar sus entornos cuando los proveedores de nube tienen el control total y no exponen la infraestructura a sus clientes.

Cargas de trabajo en constante cambio

Puede haber dificultades con las herramientas de seguridad tradicionales, ya que normalmente no son capaces de aplicar políticas en entornos en la nube dinámicos. Los activos en la nube se modifican rápida y dinámicamente, lo que puede contribuir a este problema.

DevOps, DevSecOps y automatización

Las organizaciones están adoptando gradualmente DevOps y DevSecOps como parte de su cultura. Ambos sistemas están automatizados y trabajan para incorporar controles y protocolos de seguridad en cada paso del proceso de desarrollo, lo que significa que los cambios de seguridad después del desarrollo del producto pueden socavar el ciclo y aumentar el plazo de comercialización.

¿Qué es DevOps?

Privilegio granular y gestión de claves

Las sesiones se pueden exponer a riesgos de seguridad cuando hay claves mal configuradas. Los programas en la nube pueden, de forma predeterminada, ofrecer demasiados permisos a una cuenta, lo que infringe el principio de privilegio mínimo.

Entornos complejos

Las empresas tienden a favorecer los entornos híbridos y de varias nubes. Estos métodos suelen requerir herramientas que pueden funcionar en todos los tipos de modelos de nube, incluidos los públicos y privados, y las herramientas no siempre se implementan ni configuran fácilmente.

Gobierno y cumplimiento en la nube

Las organizaciones deben encargarse de garantizar que sus procesos estén alineados con programas de acreditación como HIPAA, FDPR, PCI 3.2 y NIST 800-53. Esto puede ser difícil, ya que no siempre hay una gran visibilidad de los entornos en la nube. Por lo general, se requieren herramientas especializadas para las auditorías y para garantizar el cumplimiento continuo.

Las nubes públicas, aunque generalmente son seguras, no tienen el mismo factor de aislamiento que las nubes privadas. Son de tenencia múltiple, lo que significa que una empresa puede alquilar espacio para servidores de un sistema que también aloja a otros inquilinos con su propio espacio para servidores. Por lo general, la empresa anfitriona supervisa las medidas de seguridad y garantiza que cada empresa tenga la privacidad adecuada.

Sin embargo, el factor de tenencia múltiple puede representar su propia amenaza. Si otro inquilino permite algo perjudicial o actúa de forma descuidada, se pueden propagar ataques como los ataques de denegación de servicio distribuidos (DDoS).

El cifrado y la seguridad se aplican a diferentes cargas de trabajo en diferentes niveles de acuerdo con diferentes demandas. Las nubes híbridas ofrecen la capacidad de mitigar mejor el riesgo; la combinación de dos entornos en la nube permite diversificar y decidir colocar cargas de trabajo en ciertos lugares, según los diferentes requisitos. Por ejemplo, las cargas de trabajo y los datos más sensibles se pueden almacenar en una nube privada, y las cargas de trabajo más estándar se pueden colocar en una nube pública. Si bien hay dificultades, como una mayor superficie de ataque y la migración de datos, la diversificación con una nube híbrida es una excelente manera de mitigar los riesgos de seguridad.

IAM granular y basada en políticas y controles de autenticación en infraestructuras complejas
Es recomendable trabajar por grupos y roles en lugar de trabajar a nivel individual en la gestión de identidad y acceso. Los grupos y roles pueden facilitar la actualización de los requisitos y las reglas del negocio, ya que, de manera ideal, los principios de privilegio mínimo se aplican a cada grupo o rol. Una buena higiene en la gestión de identidad y acceso tiene sólidas políticas de contraseña y tiempos de espera para los permisos.

Controles de seguridad de red en la nube de confianza cero en redes aisladas lógicamente y microsegmentos
Aísla lógicamente los recursos dentro de la red de una nube, así como los recursos de microsegmentos, mediante subredes para establecer una política de seguridad a nivel de subred. Utiliza configuraciones estáticas definidas por el usuario y una WAN específica para personalizar el acceso de los usuarios.

Aplicación de procesos y políticas de protección de servidores virtuales como gestión de cambios y actualizaciones de software
Los proveedores de la nube aplican de manera sistemática reglas de cumplimiento cuando se configura un servidor virtual.

Protección de todas las aplicaciones (especialmente aplicaciones distribuidas nativas de la nube) con un cortafuegos de aplicación web de última generación
Inspección granular y control de tráfico de servidores, actualizaciones automáticas de reglas de WAF y microservicios que ejecutan cargas de trabajo.

Mejora de la protección de datos
Cifrado en todas las capas de transporte, gestión continua de riesgos, comunicaciones seguras y mantenimiento de la higiene en el almacenamiento de datos.

Inteligencia de amenazas que detecta y remedia amenazas conocidas y desconocidas en tiempo real
Los proveedores de la nube hacen referencia cruzada a los datos de registro agregados con datos internos y datos externos para añadir contexto a diversos flujos de registros nativos. También hay sistemas de detección de anomalías de IA que pueden detectar amenazas para análisis forenses a fin de determinar el nivel de amenaza. Las alertas en tiempo real pueden visualizar un panorama de amenazas para lograr tiempos de respuesta más rápidos.

  • SaaS: los clientes deben proteger sus propios datos y el acceso de usuarios.
  • PaaS: los clientes protegen sus propios datos, el acceso del usuario y las aplicaciones.
  • IaaS: los clientes protegen sus datos, el acceso del usuario, los sistemas operativos, el tráfico de red virtual y las aplicaciones.

Utiliza software fiable

Utiliza solo software de fuentes conocidas y fiables. Es importante comprender lo que se está implementando en la nube, de dónde proviene y si existe o no una posibilidad de que sea código malicioso.

Comprende el cumplimiento

Existen estrictas leyes de cumplimiento que regulan la forma en que se utilizan los datos, lo que incluye la información personal y financiera. Verifica las normativas necesarias y comprende si el entorno de nube puede ayudarte a cumplirlas o no.

Gestiona los ciclos de vida

La gestión de los ciclos de vida puede ayudar a evitar instancias descuidadas. Las instancias desactualizadas pueden representar un riesgo de seguridad, ya que no hay parches de seguridad implementados.

Considera la portabilidad

Siempre debe existir la posibilidad de migrar cargas de trabajo a otra nube, aunque no haya un plan para hacerlo.

Realiza una supervisión continua

La supervisión constante de los espacios de trabajo puede ayudar a prevenir las infracciones de seguridad.

Elige a las personas correctas

El personal debe ser fiable y estar altamente cualificado. Es esencial que todo el personal comprenda las complejidades de la seguridad en la nube. Si existe la posibilidad de pasar a un proveedor externo, asegúrate de que su equipo esté bien equipado e informado.

Primeros pasos con SecOps

Identifica, prioriza y responde a las tareas de forma más rápida.