- Descripción general de Qué es
- ¿Qué es la seguridad en la nube?
La seguridad en la nube es la acción de garantizar que todos los servicios y datos que residen en la nube permanecen protegidos frente a filtraciones o ataques a la confidencialidad, integridad o disponibilidad. Los proveedores de servicios de nube proporcionan una infraestructura en la nube segura. No obstante, a través del modelo de responsabilidad compartida, los clientes son responsables de proteger los workloads, aplicaciones y datos que ejecutan en la nube.
La seguridad en la nube puede parecer inalcanzable, sin embargo, la nube sencillamente se compone de servidores, redes y conmutadores en posesión de otra organización. Existen numerosas formas de proteger su negocio y asegurarse de que cumple con su parte del modelo de responsabilidad. Puede mantener su nube protegida mientras aprovecha al máximo todo lo que la nube puede ofrecer.
Antes de que analicemos cómo proteger las arquitecturas de la nube, echemos un vistazo a la estructura de la nube. El entorno de nube actual ofrece muchas opciones entre las que elegir. Existen tres modelos de servicio y cuatro modelos de implementación. Estos están definidos por el National Institute of Standards and Technology (NIST) en su SP 800-145.
Los modelos de servicio son:
Las empresas utilizan una amplia variedad de términos para destacar sus productos, a diferencia de las descripciones más clínicas del NIST, desde DRaaS (recuperación ante desastres), HSMaaS (módulo de seguridad de hardware) hasta DBaaS (base de datos) y, finalmente, XaaS (todo aquello que implica la modalidad «como servicio»). Dependiendo de lo que comercializa una empresa, puede resultar difícil determinar si un producto es SaaS o PaaS, no obstante, al fin y al cabo, es mucho más importante comprender las responsabilidades contractuales del proveedor de nube. Los proveedores de nube amplían sus contratos para añadir seguridad en las formaciones de nube mediante servicios como HSMaaS (módulo de seguridad de hardware) o DRMaaS (gestión de derechos digitales).
Los cuatro modelos de implementación son:
La arquitectura de la nube es la organización de los componentes y subcomponentes en una estructura lógica y, con suerte, eficaz y eficiente. Esta estructura debería posibilitar que tales componentes trabajen conjuntamente en un mismo objetivo, fortaleciendo los puntos fuertes y minimizando los puntos débiles. Entre los componentes básicos necesarios para crear una nube están las redes, enrutadores, conmutadores, servidores y otros, como los firewalls y los sistemas de detección de intrusiones. La nube también incluye todos los elementos en los servidores: el hipervisor y las máquinas virtuales, sin olvidar el software. La arquitectura de la nube también necesita un proveedor de nube, un arquitecto de nube y un mediador de nube para crear, gestionar, vender y comprar servicios en la nube.
Muchos términos relacionados con la arquitectura de la nube simplemente añaden la palabra «nube» a un término antiguo y ya familiar, como es el caso de cliente de nube. Si comprende la definición de cliente, entonces el nuevo término está bastante claro, hace referencia al cliente de servicios en la nube en contraposición a, por ejemplo, servicios de telefonía.
La terminología básica que se encuentra en el NIST SP 500-299 incluye:
La seguridad en la nube comienza con la arquitectura de la seguridad en la nube, la cual añade elementos de seguridad a la arquitectura básica. Los elementos de seguridad tradicionales incluyen firewalls (FW), anti-malware y sistemas de detección de intrusiones (IDS). También son necesarios aquellos que diseñan una estructura segura en y a través de la nube, entre quienes se incluyen auditores de nube, arquitectos de seguridad e ingenieros de seguridad.
En otras palabras, la arquitectura de la seguridad en la nube no está limitada al hardware ni al software.
La arquitectura de la seguridad en la nube comienza con la gestión de riesgos. Conocer qué podría ir mal y cuáles serían las repercusiones negativas para la empresa ayuda a las compañías a tomar decisiones responsables. Las tres principales áreas de análisis son la continuidad de la actividad, la cadena de suministro y la seguridad física.
¿Qué ocurrirá a su empresa si su proveedor de nube tiene una incidencia? Colocar servidores, servicios y datos en la nube no evita la necesidad de contar con una planificación para la recuperación ante desastres y continuidad de la actividad.
¿Qué ocurriría si cualquier persona pudiera acceder al datacenter del proveedor de nube? En los tres más grandes, AWS, GCP y Azure, esto no sería nada fácil, pero precisamente esto es lo más importante. Ellos han invertido considerablemente en la seguridad del datacenter. ¿Qué hay acerca de otros proveedores de nube? Solicite un recorrido por el datacenter de cualquier posible proveedor de nube y solicite participar en una auditoría. Tome nota de su respuesta. ¿Estaban dispuestos a dejarle comprobar el datacenter al día siguiente? Si resulta sencillo acceder al datacenter, entonces quizás la decisión de elegir este proveedor se merece una segunda revisión.
Es posible que proveedores de nube más pequeños no tengan un datacenter físico. Lo más probable es que utilicen y revendan eficazmente la capacidad de proveedores de nube más grandes. Esto es una ventaja y parte de la grandiosidad de utilizar la nube. Si se desconoce la relación entre los proveedores de nube, podrían aparecer incidencias adicionales respecto a las leyes, regulaciones y contratos. Realice esta sencilla pregunta: ¿Dónde están mis datos? Si existen múltiples niveles hasta los proveedores de nube, la pregunta podría ser difícil de responder. Podría haber consecuencias legales, como un problema con el Reglamento General de Protección de Datos (GDPR) Europeo.
Los elementos que componen una arquitectura de la seguridad en la nube de empresas podrán incluir servicios de seguridad en la nube. Es posible comprar servicios como prevención de filtración de datos (DLPaaS). Hay otras herramientas que refuerzan la seguridad, como una herramienta de análisis que busca información personalmente identificable con el fin de proceder a su correcta protección. La gestión de la seguridad en la nube es necesaria para garantizar que estos servicios están funcionando justo como deberían.
Las empresas deben cumplir con numerosas leyes, regulaciones y contratos. Cuando pone sus datos y servicios a disposición de un tercero, las auditorías que deben confirmar el cumplimiento de normativa pueden complicarse.
Pregúntese a sí mismo: «¿Cuáles son mis inquietudes?» Esto le ayudará a determinar qué preguntas realizar a su proveedor de nube. Desde el punto de vista legal, las organizaciones deben cumplir con el Reglamento General de Protección de Datos de la Unión Europea (GDPR de la UE), la Ley Sarbanes-Oxley de EE. UU. para la protección de datos financieros (SOX), la Ley de Portabilidad y responsabilidad de la información sanitaria del sistema sanitario (HIPAA) de los EE. UU. y muchas otras. Asimismo, la protección de las tarjetas de crédito recae en la ley contractual con el Payment Card Industry Data Security Standard (PCI-DSS).
Una vez que se identifica el área de cumplimiento de normativa, se pueden llevar a cabo numerosas acciones, una de las cuales es realizar una auditoría. La auditoría se debe realizar utilizando un enfoque estandarizado y una metodología demostrada, como la SSAE 18 (Statement of Standards on Attestation Agreements, No. 18) del American Institute of Certified Public Accountants. Los resultados de la auditoría indicarán aquellos apartados que pueden que no estén cumpliendo con la normativa. Cuando se toma una decisión respecto al proveedor de nube, es importante leer estos informes para conocer el nivel de seguridad del DC y sobre qué esperar.
Una breve explicación sobre la IaC implicaría la idea de que la infraestructura se trata como un código, con la misma lógica que los DevOps en vez de configurar cada enrutador, servidor, conmutador y software de manera independiente. Si aplicamos las capacidades de DevOps para la creación y gestión de nuestra infraestructura, generaría numerosos beneficios. En la nube, su infraestructura se convierte en virtual, lo que significa que simplemente es un código, no un hardware. Un enrutador es simplemente código que reside en un ordenador específico, o especialmente diseñado. Cuando quitamos el hardware, lo que queda es el código.
A continuación, apliquemos el mismo argumento al desarrollo e implementación de dicho código. Las herramientas de automatización ahora permiten métodos más controlados y sencillos para implementar y gestionar software. Si gestionamos nuestra infraestructura virtual con dichas herramientas, es posible que tengamos una forma más sencilla y controlada de implementar y gestionar las nubes.