La seguridad en la nube es una colección de procedimientos, políticas y tecnologías que fortalecen a los ambientes de cómputo basado en la nube contra amenazas potenciales de ciberseguridad. En la práctica, asegura la integridad y la seguridad de los modelos de cómputo en la nube durante cualquier ataque o brecha. Los proveedores de servicios en la nube establecen una infraestructura de nube segura.
La protección de la nube no es tan compleja como pudiera parecer. Hay varias formas de proteger su negocio mientras mantiene segura su nube, y aprovecha de forma simultánea todo lo que puede ofrecer.
La seguridad en la nube comienza con la selección del modelo de servicio correcto que se ajusta a las necesidades de su organización. Existen tres modelos de servicio únicos y cuatro opciones de despliegue en términos de la oferta disponible de seguridad en la nube. Las opciones de modelos de servicio incluyen lo siguiente:
Software as a Service (SaaS): Con el modelo SaaS, los clientes obtienen software que no requiere el uso de una computadora o un servidor para desarrollarlo. Ejemplos incluyen Microsoft 365 (antes Office 365) y Gmail. Con estas opciones, los clientes solamente necesitan una computadora, tablet o teléfono para acceder a cada aplicación. Las empresas usan una variedad de términos para destacar sus productos, desde DRaaS (recuperación ante desastres) hasta HSMaaS (módulo de seguridad de hardware), DBaaS (bases de datos) y, finalmente, XaaS (cualquier cosa). Dependiendo de lo que una empresa esté promocionando, puede ser difícil determinar si un producto es SaaS o PaaS pero, al final, comprender cuáles son las responsabilidades contractuales del proveedor de la nube es más importante. Los proveedores de la nube extienden sus contratos para agregar la seguridad en las formaciones de la nube a través de servicios como HSMaaS (hardware security module) o DRMaaS (digital rights management).
Los cuatro modelos de despliegue son:
Todos los aspectos de la seguridad en la nube son importantes, pero hay ciertos pilares que cualquier proveedor debe de ofrecer. Estos son considerados esenciales y unos de los aspectos más importantes de la seguridad para la infraestructura de nube. Es importante asegurar que el proveedor que elija cubra todos estos pilares para lograr la estrategia de seguridad de la nube más completa que sea capaz de implementar.
Monitoreo continuo: Los proveedores de seguridad en la nube pueden ofrecer un vistazo a lo que está sucediendo en sus plataformas de la nube al mantener logs todo el tiempo. En caso de ocurrir un incidente, su equipo de seguridad puede inspeccionar y comparar logs internos con los registros del proveedor para obtener insights sobre cambios o ataques potenciales. Esto puede ayudar a detectar y responder rápidamente a cualquier incidente que pudiese ocurrir.
Administración de cambios: Su proveedor de seguridad de la nube debe de ofrecer protocolos de administración del cambio para monitorear los controles de cumplimiento cuando se solicitan los cambios, se mueven o alteran los activos, o se aprovisionan o deshabilitan los servidores. Es posible desplegar aplicaciones dedicadas a la administración de cambios para monitorear automáticamente el comportamiento inusual, para que usted y su equipo puedan actuar rápidamente y mitigarlo o corregirlo.
Controles de seguridad zero-trust: Aíslan sus activos y aplicaciones de misión crítica del resto de su red de nube. Mantener privados e inaccesibles los workloads ayudará a reforzar las políticas de seguridad que protegen su ambiente basado en la nube.
Protección integral de datos: su proveedor debe ofrecer protección mejorada de datos con encripción adicional para todas las capas de transporte, logrando una buena higiene de datos, monitoreo continuo de administración de riesgos, seguridad para archivos compartidos y comunicaciones seguras. En resumen, su proveedor debe de estar al 100% cuando se trata de proteger los datos de su negocio en cualquier forma o circunstancia.
Pregúntese a sí mismo: “¿Qué es lo que más me preocupa?” Esto le ayudará a determinar cuáles son las preguntas que debe de hacer a su proveedor de la nube para ayudarle a entender cuáles son los aspectos más importantes que debe tener en mente.
La arquitectura de la nube, en su forma más sencilla, es el resultado de la unión de múltiples ambientes para compartir recursos escalables a lo largo de aplicaciones de software, bases de datos y otros servicios. Esencialmente, el término se refiere a la infraestructura y los componentes que trabajan juntos para conformar la "nube" como la conocemos.
Los componentes básicos que se requieren para crear una nube incluyen redes, routers, switches, servidores, firewalls y sistemas de prevención de intrusiones. La nube también incluye todos los elementos dentro de los servidores: el hipervisor y las máquinas virtuales, por ejemplo, y, por supuesto, el software. La arquitectura de la nube también requiere de un proveedor de la nube, un arquitecto de la nube y un broker de la nube para crear, administrar, vender y comprar servicios de la nube. Existe un ecosistema completo del cual tener el control, pero cuando la gente dice “la nube”, se refieren esencialmente a la arquitectura de nube.
Muchos términos relacionados con la arquitectura de la nube sólo agregan la palabra “nube” a un término ya familiar, como “consumidor de la nube”. Si usted entiende la definición de “consumidor”, entonces el nuevo término es claro; se refiere a un consumidor de los servicios de la nube en lugar de, digamos, servicios telefónicos.
Algunos ejemplos básicos:
La seguridad en la nube inicia con la arquitectura de la seguridad de la nube, la cual agrega elementos de seguridad a la arquitectura básica. Los elementos tradicionales de seguridad incluyen firewalls (FW), anti-malware y sistemas de detección de intrusiones (IDS). Los auditores de la nube, arquitectos de seguridad e ingenieros de seguridad también son actores necesarios para diseñar infraestructuras seguras dentro y a través de la nube.
En otras palabras, la arquitectura de la seguridad de la nube no está limitada al hardware o al software.
La arquitectura de la seguridad de la nube inicia con la gestión de riesgos. Saber qué es lo que puede salir mal y cómo un negocio puede verse impactado negativamente ayuda a las empresas a tomar decisiones más responsables. Tres áreas críticas de discusión son la continuidad de negocio, la cadena de suministro y la seguridad física.
Por ejemplo, ¿qué le sucedería a su negocio si su proveedor de la nube presenta una falla? Poner servidores, servicios y datos en la nube no elimina la necesidad de la continuidad de negocio y/o la planeación de la recuperación de desastres.
¿Qué pasaría si cualquiera pudiera simplemente entrar al data center del proveedor de la nube? Con los “tres grandes” – AWS, GCP y Azure – esto no sería sencillo, y ese es justamente el punto. Ellos han invertido fuertemente en la seguridad del data center.
¿Qué hay de los otros proveedores de la nube? Solicite un tour del data center de cualquier proveedor potencial de la nube y pida estar involucrado en una auditoría. Note su respuesta. ¿Estaban dispuestos a dejarle revisar el data center al día siguiente? Si es fácil entrar al data center, tal vez necesite volver a considerar si el proveedor es una buena idea.
Los proveedores de la nube más pequeños pueden no contar con un data center físico. Es más probable que efectivamente estén revendiendo la capacidad de los grandes proveedores de la nube. Esa es una ventaja y parte de la belleza de usar la nube. Si la relación entre los proveedores de la nube es desconocida, eso podría crear problemas adicionales respecto a leyes, regulaciones y contratos. Haga esta simple pregunta: ¿Dónde están mis datos? Si el proveedor de la nube cuenta con múltiples niveles, podría ser difícil determinar la respuesta. También podría haber consecuencias legales, como un problema con GDPR (European General Data Protection Regulation).
Los elementos que comprenden la arquitectura de seguridad de la nube de un negocio también podrían tener servicios en la nube. Es posible comprar servicios como la prevención de filtraciones de datos (DLPaaS). Otras herramientas pueden ayudar con la seguridad, como una herramienta de escaneo que busque información personalmente identificable para que pueda ser protegida adecuadamente. La administración de la seguridad en la nube es necesaria para asegurar que estos servicios están funcionando de la forma en que deben.
CNAPP es un grupo de soluciones de seguridad que asiste en la identificación, abordaje, priorización y adaptación del riesgo en un rango de aplicaciones nativas de la nube.
Como tal, CNAPP reúne varias de las características más importantes acumuladas de productos y plataformas en silos: Escaneo de Artefactos, Protección en Runtime y Configuración de la Nube. Esto puede incluir lo siguiente:
Trend Micro puede considerarse como un vendor de CNAPP, y productos como Trend Micro Cloud One™, la plataforma de servicios de seguridad para desarrolladores de la nube, puede ajustarse perfectamente a una arquitectura CNAPP.
Las empresas deben cumplir con varias leyes, regulaciones y contratos. Cuando pone sus datos y servicios en la posesión de alguien más, hay ciertos requerimientos que deben estar vigentes para asegurar el cumplimiento.
Desde un punto de vista lega, las organizaciones deben cumplir con EU GDPR (European Union General Data Protection Regulation), SOX (Sarbanes-Oxley - US financial data protection), HIPAA (Health Information Portability and Accountability Act – US healthcare) y otras. Además, la protección de las tarjetas de crédito caen bajo la ley contractual con PCI-DSS (Payment Card Industry - Data Security Standard).
Una vez que se identifica el sujeto del cumplimiento, se pueden tomar varias acciones, una de las cuales es la auditoría. La auditoría debe conducirse usando un enfoque estandarizado y metodología comprobada, como el Accountants’ SSAE 18 (Statement of Standards on Attestation Agreements, No. 18). Los hallazgos de la auditoría indicarán qué podría no estar en cumplimiento. Al decidir por un proveedor de la nube, es importante leer estos reportes para saber el nivel de seguridad del DC y qué puede esperar.
Artículos Relacionados
Investigaciones Relacionadas