¿Qué es la seguridad en la nube?

Proteger la nube no es en absoluto tan complejo como parece. Existen diversas formas de proteger su empresa mientras mantiene segura su nube y, a la vez, aprovecha todas las ventajas que esta ofrece.

La seguridad en la nube comienza con la selección del modelo de servicio adecuado que se ajuste a las necesidades de su organización. Existen tres modelos de servicio exclusivos y cuatro opciones de implementación en lo que respecta a las ofertas de seguridad en la nube. Las opciones de modelos de servicio son:

• Infraestructura como servicio (IaaS): el modelo IaaS permite a una empresa crear su propio datacenter virtual (vDC). Un datacenter virtual ofrece recursos con base en la nube en lugar de los beneficios físicos que puede ofrecer un datacenter tradicional. Con un datacenter virtualizado, no es necesario realizar mantenimiento periódico, actualizaciones ni mantenimiento de los equipos físicos.
• Plataforma como servicio (PaaS): el modelo PaaS ofrece una variedad de opciones que permite a los clientes aprovisionar, implementar o crear software.

Software como servicio (SaaS):  en el modelo SaaS, se les proporciona a los clientes un software que no requiere el uso de ordenador o servidor en el que ejecutarse. Algunos de los ejemplos son Microsoft 365 (anteriormente conocido como Office 365) y Gmail. Con estas opciones los clientes solo necesitan un ordenador, una tableta o un teléfono para acceder a  cada aplicación. Las empresas utilizan diversos términos para referirse a sus productos, desde DRaaS (recuperación ante desastres) o HSMaaS (módulo de seguridad de hardware) hasta DBaaS (base de datos) y, finalmente, XaaS (todo). Dependiendo de lo que comercializa una empresa, puede resultar difícil determinar si un producto es SaaS o PaaS, no obstante, al fin y al cabo, es mucho más importante comprender las responsabilidades contractuales del proveedor de nube. Los proveedores de nube amplían sus contratos para añadir seguridad en las formaciones de nube mediante servicios como HSMaaS (módulo de seguridad de hardware) o DRMaaS (gestión de derechos digitales).

Los cuatro modelos de implementación son:

• Público:  todos pueden comprarlo. Los mejores ejemplos de hoy en día son Amazon Web Services (AWS), Microsoft Azure y Google Cloud Platform (GCP).
• Privado: desarrollado para una empresa y no es posible compartir el hardware con nadie más. El modelo privado podría desarrollarse en una nube pública o en su propio datacenter, o en una empresa especializada en el desarrollo de nubes privadas, es decir, un proveedor de servicios gestionados.
• Comunitario: esto implica el concepto de intercambio entre empresas. En este modelo, se pueden compartir servicios o datos. Un ejemplo podrían ser las nubes desarrolladas para el gobierno y compartidas entre diversas agencias.
• Híbrido: esto implica el uso de, al menos, dos de los tres modelos de implementación mencionados anteriormente: público y privado, privado y comunitario, o público y comunitario. Otra posibilidad es el uso de los tres.

Todos los aspectos de una política concreta de seguridad en la nube son importantes, sin embargo, hay determinados pilares que todo proveedor debería ofrecer. Estos se consideran fundamentales y algunos de los aspectos más importantes de una infraestructura de seguridad en la nube. Al garantizar que el proveedor que seleccione abarca todos estos pilares, asegura la adopción de la estrategia de seguridad en la nube más completa que puede implementar.

Continuamente en supervisión: los proveedores de seguridad en la nube pueden ofrecer un vistazo de lo que está ocurriendo en sus plataformas de nube manteniendo registros en todo momento. En caso de un incidente, su equipo de seguridad puede inspeccionar y comparar los registros internos con los registros de su proveedor en busca de posibles cambios o ataques. Esto puede ayudar a detectar y responder rápidamente ante cualquier incidente que pueda ocurrir.

Gestión de cambios: su proveedor de seguridad en la nube debe ofrecer protocolos de gestión de cambios con el fin de supervisar los controles de cumplimiento cuando se solicitan cambios, se modifican o mueven activos, o cuando se aprovisionan o desmontan servidores. Se pueden implementar aplicaciones especializadas en gestión de cambios con el fin de que supervisen de forma automática comportamientos inusuales para que usted y su equipo puedan moverse rápidamente para mitigarlos y corregirlos.

Controles de seguridad con confianza cero: aislar sus aplicaciones y activos de misión crítica lejos de su red de nube. Mantener los workloads seguros, privados e inaccesibles ayudará a aplicar las políticas de seguridad que protegen su entorno con base en la nube.

Protección global de los datos: su proveedor debe ofrecer una protección de datos mejorada con cifrado adicional para todas las capas de transporte, una buena higiene de datos, supervisión de gestión continua de riesgos, intercambio seguro de archivos y comunicaciones impenetrables. En conclusión, su proveedor debe ser el mejor de su especialidad en lo que respecta a la protección de los datos de su empresa en todas sus formas.

Pregúntese a sí mismo: «¿Cuáles son mis inquietudes?» Esto le ayudará a determinar las preguntas a realizar a su proveedor de nube y que pueden ayudarle a comprender los aspectos más importantes a tener en cuenta.

En pocas palabras, la arquitectura de la nube es el resultado de diversos entornos combinados para compartir recursos escalables en aplicaciones de software, bases de datos y otros servicios. Básicamente, el término se refiere a la infraestructura y los componentes que trabajan conjuntamente para constituir la "nube" tal y como la conocemos.

Entre los componentes básicos necesarios para crear una nube están las redes, los enrutadores, los conmutadores, los servidores, los firewalls y los sistemas de detección de intrusiones. La nube también incluye todos los elementos en los servidores: por ejemplo, el hipervisor y las máquinas virtuales, sin olvidar el software. La arquitectura de la nube también necesita un proveedor de nube, un arquitecto de nube y un mediador de nube para crear, gestionar, vender y comprar servicios en la nube. Existe todo un ecosistema que controlar, sin embargo, cuando las personas dicen «la nube» básicamente se están refiriendo a la arquitectura de la nube.

Muchos términos relacionados con la arquitectura de la nube simplemente añaden la palabra «nube» a un término antiguo y ya familiar, como es el caso de cliente de nube. Si comprende la definición de cliente, entonces el nuevo término está bastante claro: hace referencia al cliente de servicios en la nube en contraposición a, por ejemplo, servicios de telefonía.

A continuación encontrará algunos ejemplos básicos:

• Cliente de nube: persona o empresa que utiliza el servicio en la nube de un proveedor de nube.
• Proveedor de nube: persona o empresa con los recursos necesarios para proporcionar los servicios que solicitan los clientes. Esto incluye la tecnología necesaria para crear servidores, máquinas virtuales, almacenamiento de datos o cualquier otro recurso que necesiten los clientes.
• Mediador de nube: persona o empresa que gestiona la entrega, el uso y el rendimiento de la nube para el cliente, negocia la relación con el proveedor en nombre del cliente.
• Operador de nube: es el proveedor de servicio que conecta una empresa a la nube, p. ej., su proveedor de servicios de internet (ISP). Para una empresa, normalmente esto sería una conexión de conmutación de etiquetas multiprotocolo​(MPLS).
• Auditor de nube: persona o empresa que realiza la auditoría de un entorno de proveedores de nube. Estas auditorías incluyen tanto auditorías de privacidad como de seguridad.

La seguridad en la nube comienza con la arquitectura de la seguridad en la nube, la cual añade elementos de seguridad a la arquitectura básica. Los elementos de seguridad tradicionales incluyen firewalls (FW), anti-malware y sistemas de detección de intrusiones (IDS). También son necesarios aquellos que diseñan una estructura segura en y a través de la nube, entre quienes se incluyen auditores de nube, arquitectos de seguridad e ingenieros de seguridad.

En otras palabras, la arquitectura de la seguridad en la nube no está limitada al hardware ni al software.

La arquitectura de la seguridad en la nube comienza con la gestión de riesgos. Conocer qué podría ir mal y cuáles serían las repercusiones negativas para la empresa ayuda a las compañías a tomar decisiones responsables. Las tres principales áreas de análisis son la continuidad de la actividad, la cadena de suministro y la seguridad física.

Por ejemplo, ¿qué ocurrirá a su empresa si su proveedor de nube tiene una incidencia? Colocar servidores, servicios y datos en la nube no evita la necesidad de contar con una planificación para la recuperación ante desastres y continuidad de la actividad.

¿Qué ocurriría si cualquier persona pudiera acceder al datacenter del proveedor de nube? En los tres más grandes, AWS, GCP y Azure, esto no sería nada fácil, pero precisamente esto es lo más importante. Ellos han invertido considerablemente en la seguridad del datacenter.

¿Qué hay acerca de otros proveedores de nube? Solicite un recorrido por el datacenter de cualquier posible proveedor de nube y solicite participar en una auditoría. Tome nota de su respuesta. ¿Estaban dispuestos a dejarle comprobar el datacenter al día siguiente? Si resulta sencillo acceder al datacenter, entonces quizás la decisión de elegir este proveedor se merece una segunda revisión.

Es posible que proveedores de nube más pequeños no tengan un datacenter físico. Lo más probable es que utilicen y revendan eficazmente la capacidad de proveedores de nube más grandes. Esto es una ventaja y parte de la grandiosidad de utilizar la nube. Si se desconoce la relación entre los proveedores de nube, podrían aparecer incidencias adicionales respecto a las leyes, regulaciones y contratos. Realice esta sencilla pregunta: ¿Dónde están mis datos? Si existen múltiples niveles hasta los proveedores de nube, la pregunta podría ser difícil de responder. Podría haber consecuencias legales, como un problema con el Reglamento General de Protección de Datos (GDPR) Europeo.

Los elementos que componen una arquitectura de la seguridad en la nube de empresas podrán incluir servicios de seguridad en la nube. Es posible comprar servicios como prevención de filtración de datos (DLPaaS). Hay otras herramientas que refuerzan la seguridad, como una herramienta de análisis que busca información personalmente identificable con el fin de proceder a su correcta protección. La gestión de la seguridad en la nube es necesaria para garantizar que estos servicios están funcionando justo como deberían.

El CNAPP es un grupo de soluciones de seguridad destinado a ayudar con la identificación, evaluación, priorización y adaptación del riesgo en una gama de aplicaciones nativas.

De este modo, el CNAPP reúne numerosas de las funciones más importantes acumuladas de las plataformas y productos desconectados: análisis de artefactos, protección del tiempo de ejecución y configuración de la nube. Esto puede incluir lo siguiente:

• Comprobaciones de configuraciones erróneas en busca de puertos, bases de datos y depósitos de Amazon S3 abiertos;
• Supervisión del tiempo de ejecución y protección de sus workloads en la nube;
• Detección automatizada de vulnerabilidades en contenedores, máquinas virtuales (VM) o funciones sin servidor;
• Análisis de exposición en busca de CVE, secretos, datos confidenciales y malware;
• Análisis de infraestructura como código (IaC).

Trend Micro puede considerarse como un proveedor de CNAPP y los productos como Trend Micro Cloud One™, la plataforma de servicios de seguridad destinada para desarrolladores de nube, puede adaptarse eficientemente en la arquitectura de CNAPP.

Las empresas deben seguir cumpliendo con numerosas leyes, regulaciones y contratos. Cuando pone sus datos y servicios a disposición de un tercero, se deben cumplir determinados requisitos complicados con el fin de garantizar el cumplimiento de normativa.

Desde el punto de vista legal, las organizaciones deben cumplir con el Reglamento General de Protección de Datos de la Unión Europea (GDPR de la UE), la Ley Sarbanes-Oxley de EE. UU. para la protección de datos financieros (SOX), la Ley de Portabilidad y responsabilidad de la información sanitaria del sistema sanitario (HIPAA) de los EE. UU. y muchas otras. Asimismo, la protección de las tarjetas de crédito recae en la ley contractual con el Payment Card Industry Data Security Standard (PCI-DSS).

Una vez que se identifica el área de cumplimiento de normativa, se pueden llevar a cabo numerosas acciones, una de las cuales es realizar una auditoría. La auditoría se debe realizar utilizando un enfoque estandarizado y una metodología demostrada, como la SSAE 18 (Statement of Standards on Attestation Agreements, No. 18) del American Institute of Certified Public Accountants. Los resultados de la auditoría indicarán aquellos apartados que pueden que no estén cumpliendo con la normativa. Cuando se toma una decisión respecto al proveedor de nube, es importante leer estos informes para conocer el nivel de seguridad del DC y sobre qué esperar.