¿Qué es la seguridad en la nube?

La seguridad en la nube es la acción de garantizar que todos los servicios y datos que residen en la nube permanecen protegidos frente a filtraciones o ataques a la confidencialidad, integridad o disponibilidad. Los proveedores de servicios de nube proporcionan una infraestructura en la nube segura. No obstante, a través del modelo de responsabilidad compartida, los clientes son responsables de proteger los workloads, aplicaciones y datos que ejecutan en la nube.

Seguridad en la nube

La seguridad en la nube puede parecer inalcanzable, sin embargo, la nube sencillamente se compone de servidores, redes y conmutadores en posesión de otra organización. Existen numerosas formas de proteger su negocio y asegurarse de que cumple con su parte del modelo de responsabilidad. Puede mantener su nube protegida mientras aprovecha al máximo todo lo que la nube puede ofrecer.

Antes de que analicemos cómo proteger las arquitecturas de la nube, echemos un vistazo a la estructura de la nube. El entorno de nube actual ofrece muchas opciones entre las que elegir. Existen tres modelos de servicio y cuatro modelos de implementación. Estos están definidos por el National Institute of Standards and Technology (NIST) en su SP 800-145.

Los modelos de servicio son:

  • Infraestructura como servicio (IaaS): permite a una empresa crear su propio datacenter virtual (vDC).
  • Plataforma como servicio (PaaS): proporciona numerosas opciones que permiten al cliente provisionar, implementar o crear software.
  • Software como servicio (SaaS): se proporciona al cliente el uso del software sin necesidad de un ordenador o servidor en el que ejecutarlo. Algunos de los ejemplos más significativos son Microsoft 365 (anteriormente conocido como Office 365) y Gmail. El cliente solo necesita un ordenador, tableta o teléfono para acceder al software online.


Las empresas utilizan una amplia variedad de términos para destacar sus productos, a diferencia de las descripciones más clínicas del NIST, desde DRaaS (recuperación ante desastres), HSMaaS (módulo de seguridad de hardware) hasta DBaaS (base de datos) y, finalmente, XaaS (todo aquello que implica la modalidad «como servicio»). Dependiendo de lo que comercializa una empresa, puede resultar difícil determinar si un producto es SaaS o PaaS, no obstante, al fin y al cabo, es mucho más importante comprender las responsabilidades contractuales del proveedor de nube. Los proveedores de nube amplían sus contratos para añadir seguridad en las formaciones de nube mediante servicios como HSMaaS (módulo de seguridad de hardware) o DRMaaS (gestión de derechos digitales).

Los cuatro modelos de implementación son:

  • Público: compra disponible para todos. Los mejores ejemplos de hoy en día son Amazon Web Services (AWS), Microsoft Azure y Google Cloud Platform (GCP).
  • Privado: desarrollado para una empresa y no es posible compartir el hardware con nadie más. El modelo privado podría desarrollarse en una nube pública o en su propio datacenter, o en una empresa especializada en el desarrollo de nubes privadas, es decir, un proveedor de servicios gestionados.
  • Comunitario: esto implica el concepto de intercambio entre empresas. En este modelo, se puede compartir servicios o datos. Un ejemplo podrían ser las nubes desarrolladas para el gobierno y compartidas entre múltiples agencias.
  • Híbrido: esto implica el uso de, al menos, dos de los tres modelos de implementación mencionados anteriormente: público y privado, privado y comunitario, o público y comunitario. Otra posibilidad es el uso de los tres.

 

Arquitectura de la nube

La arquitectura de la nube es la organización de los componentes y subcomponentes en una estructura lógica y, con suerte, eficaz y eficiente. Esta estructura debería posibilitar que tales componentes trabajen conjuntamente en un mismo objetivo, fortaleciendo los puntos fuertes y minimizando los puntos débiles. Entre los componentes básicos necesarios para crear una nube están las redes, enrutadores, conmutadores, servidores y otros, como los firewalls y los sistemas de detección de intrusiones. La nube también incluye todos los elementos en los servidores: el hipervisor y las máquinas virtuales, sin olvidar el software. La arquitectura de la nube también necesita un proveedor de nube, un arquitecto de nube y un mediador de nube para crear, gestionar, vender y comprar servicios en la nube.

Muchos términos relacionados con la arquitectura de la nube simplemente añaden la palabra «nube» a un término antiguo y ya familiar, como es el caso de cliente de nube. Si comprende la definición de cliente, entonces el nuevo término está bastante claro, hace referencia al cliente de servicios en la nube en contraposición a, por ejemplo, servicios de telefonía.

La terminología básica que se encuentra en el NIST SP 500-299 incluye:

  • Cliente de nube: persona o empresa que utiliza el servicio en la nube de un proveedor de nube.
  • Proveedor de nube: persona o empresa con los recursos necesarios para proporcionar los servicios que solicitan los clientes. Esto implica la tecnología necesaria para crear servidores, máquinas virtuales, almacenamiento de datos o cualquier otro recurso que necesite el cliente.
  • Mediador de nube: persona o empresa que gestiona la entrega, el uso y el rendimiento de la nube para el cliente, negocia la relación con el proveedor en nombre del cliente.
  • Operador de nube: es el proveedor de servicio que conecta una empresa a la nube, p. ej., su proveedor de servicios de internet. Para una empresa, normalmente esto sería una conexión de conmutación de etiquetas multiprotocolo​(MPLS).
  • Auditor de nube: persona o empresa que realiza la auditoría de un entorno de proveedores de nube. Estas auditorías incluyen auditorías de privacidad y de seguridad.

Arquitectura de la seguridad en la nube

La seguridad en la nube comienza con la arquitectura de la seguridad en la nube, la cual añade elementos de seguridad a la arquitectura básica. Los elementos de seguridad tradicionales incluyen firewalls (FW), anti-malware y sistemas de detección de intrusiones (IDS). También son necesarios aquellos que diseñan una estructura segura en y a través de la nube, entre quienes se incluyen auditores de nube, arquitectos de seguridad e ingenieros de seguridad.

En otras palabras, la arquitectura de la seguridad en la nube no está limitada al hardware ni al software.

La arquitectura de la seguridad en la nube comienza con la gestión de riesgos. Conocer qué podría ir mal y cuáles serían las repercusiones negativas para la empresa ayuda a las compañías a tomar decisiones responsables. Las tres principales áreas de análisis son la continuidad de la actividad, la cadena de suministro y la seguridad física.

¿Qué ocurrirá a su empresa si su proveedor de nube tiene una incidencia? Colocar servidores, servicios y datos en la nube no evita la necesidad de contar con una planificación para la recuperación ante desastres y continuidad de la actividad.

¿Qué ocurriría si cualquier persona pudiera acceder al datacenter del proveedor de nube? En los tres más grandes, AWS, GCP y Azure, esto no sería nada fácil, pero precisamente esto es lo más importante. Ellos han invertido considerablemente en la seguridad del datacenter. ¿Qué hay acerca de otros proveedores de nube? Solicite un recorrido por el datacenter de cualquier posible proveedor de nube y solicite participar en una auditoría. Tome nota de su respuesta. ¿Estaban dispuestos a dejarle comprobar el datacenter al día siguiente? Si resulta sencillo acceder al datacenter, entonces quizás la decisión de elegir este proveedor se merece una segunda revisión.

Es posible que proveedores de nube más pequeños no tengan un datacenter físico. Lo más probable es que utilicen y revendan eficazmente la capacidad de proveedores de nube más grandes. Esto es una ventaja y parte de la grandiosidad de utilizar la nube. Si se desconoce la relación entre los proveedores de nube, podrían aparecer incidencias adicionales respecto a las leyes, regulaciones y contratos. Realice esta sencilla pregunta: ¿Dónde están mis datos? Si existen múltiples niveles hasta los proveedores de nube, la pregunta podría ser difícil de responder. Podría haber consecuencias legales, como un problema con el Reglamento General de Protección de Datos (GDPR) Europeo.

Los elementos que componen una arquitectura de la seguridad en la nube de empresas podrán incluir servicios de seguridad en la nube. Es posible comprar servicios como prevención de filtración de datos (DLPaaS). Hay otras herramientas que refuerzan la seguridad, como una herramienta de análisis que busca información personalmente identificable con el fin de proceder a su correcta protección. La gestión de la seguridad en la nube es necesaria para garantizar que estos servicios están funcionando justo como deberían.

Cumplimiento de normativa de la nube

Las empresas deben cumplir con numerosas leyes, regulaciones y contratos. Cuando pone sus datos y servicios a disposición de un tercero, las auditorías que deben confirmar el cumplimiento de normativa pueden complicarse.

Pregúntese a sí mismo: «¿Cuáles son mis inquietudes?» Esto le ayudará a determinar qué preguntas realizar a su proveedor de nube. Desde el punto de vista legal, las organizaciones deben cumplir con el Reglamento General de Protección de Datos de la Unión Europea (GDPR de la UE), la Ley Sarbanes-Oxley de EE. UU. para la protección de datos financieros (SOX), la Ley de Portabilidad y responsabilidad de la información sanitaria del sistema sanitario (HIPAA) de los EE. UU. y muchas otras. Asimismo, la protección de las tarjetas de crédito recae en la ley contractual con el Payment Card Industry Data Security Standard (PCI-DSS).

Una vez que se identifica el área de cumplimiento de normativa, se pueden llevar a cabo numerosas acciones, una de las cuales es realizar una auditoría. La auditoría se debe realizar utilizando un enfoque estandarizado y una metodología demostrada, como la SSAE 18 (Statement of Standards on Attestation Agreements, No. 18) del American Institute of Certified Public Accountants. Los resultados de la auditoría indicarán aquellos apartados que pueden que no estén cumpliendo con la normativa. Cuando se toma una decisión respecto al proveedor de nube, es importante leer estos informes para conocer el nivel de seguridad del DC y sobre qué esperar.

Infraestructura como código (IaC)

Una breve explicación sobre la IaC implicaría la idea de que la infraestructura se trata como un código, con la misma lógica que los DevOps en vez de configurar cada enrutador, servidor, conmutador y software de manera independiente. Si aplicamos las capacidades de DevOps para la creación y gestión de nuestra infraestructura, generaría numerosos beneficios. En la nube, su infraestructura se convierte en virtual, lo que significa que simplemente es un código, no un hardware. Un enrutador es simplemente código que reside en un ordenador específico, o especialmente diseñado. Cuando quitamos el hardware, lo que queda es el código.

A continuación, apliquemos el mismo argumento al desarrollo e implementación de dicho código. Las herramientas de automatización ahora permiten métodos más controlados y sencillos para implementar y gestionar software. Si gestionamos nuestra infraestructura virtual con dichas herramientas, es posible que tengamos una forma más sencilla y controlada de implementar y gestionar las nubes.

Temas de seguridad de nube

Arquitectura de la nube

Cumplimiento de normativa de la nube

Infraestructura como código (IaC)

Artículos relacionados

Almacenamiento desprotegido en la nube e informe sobre filtración de datos de Verizon

Responsabilidad compartida para la seguridad en la nube

Está a una sola configuración errónea de la filtración de datos con base en la nube

Marco de buena arquitectura de Microsoft Azure

Investigaciones relacionadas

Utilización del desplazamiento a la izquierda para encontrar vulnerabilidades antes de la implementación

Marco de buena arquitectura de AWS

Seguridad, protección y privacidad, sea cual sea su actividad

National Institute of Standards and Technology (NIST)