No 1 en cuota de mercado de la plataforma de protección de aplicaciones nativas en la nube durante 6 años consecutivos
La seguridad en la nube es un conjunto de procedimientos, políticas y tecnologías que fortalecen los entornos informáticos con base en la nube frente a las posibles amenazas de ciberseguridad. En la práctica, garantiza la integridad y la seguridad de los modelos informáticos en la nube durante los ataques o las filtraciones. Los proveedores de servicios de nube establecen una infraestructura segura en la nube.
Proteger la nube no es en absoluto tan complejo como parece. Existen diversas formas de proteger su empresa mientras mantiene segura su nube y, a la vez, aprovecha todas las ventajas que esta ofrece.
La seguridad en la nube comienza con la selección del modelo de servicio adecuado que se ajuste a las necesidades de su organización. Existen tres modelos de servicio exclusivos y cuatro opciones de implementación en lo que respecta a las ofertas de seguridad en la nube. Las opciones de modelos de servicio son:
El modelo IaaS permite a una empresa crear su propio datacenter virtual (vDC). Un datacenter virtual ofrece recursos con base en la nube en lugar de los beneficios físicos que puede ofrecer un datacenter tradicional. Con un datacenter virtualizado, no es necesario realizar mantenimiento periódico, actualizaciones ni mantenimiento de los equipos físicos.
El modelo PaaS ofrece una variedad de opciones que permite a los clientes aprovisionar, implementar o crear software.
En el modelo SaaS, se les proporciona a los clientes un software que no requiere el uso de ordenador o servidor en el que ejecutarse. Algunos de los ejemplos son Microsoft 365 (anteriormente conocido como Office 365) y Gmail. Con estas opciones los clientes solo necesitan un ordenador, una tableta o un teléfono para acceder a cada aplicación. Las empresas utilizan diversos términos para referirse a sus productos, desde DRaaS (recuperación ante desastres) o HSMaaS (módulo de seguridad de hardware) hasta DBaaS (base de datos) y, finalmente, XaaS (todo). Dependiendo de lo que comercializa una empresa, puede resultar difícil determinar si un producto es SaaS o PaaS, no obstante, al fin y al cabo, es mucho más importante comprender las responsabilidades contractuales del proveedor de nube. Los proveedores de nube amplían sus contratos para añadir seguridad en las formaciones de nube mediante servicios como HSMaaS (módulo de seguridad de hardware) o DRMaaS (gestión de derechos digitales).
Los cuatro modelos de implementación son:
Todos pueden comprarlo. Los mejores ejemplos de hoy en día son Amazon Web Services (AWS), Microsoft Azure y Google Cloud Platform (GCP).
Desarrollado para una empresa y no es posible compartir el hardware con nadie más. El modelo privado podría desarrollarse en una nube pública o en su propio datacenter, o en una empresa especializada en el desarrollo de nubes privadas, es decir, un proveedor de servicios gestionados.
Esto implica el concepto de intercambio entre empresas. En este modelo, se pueden compartir servicios o datos. Un ejemplo podrían ser las nubes desarrolladas para el gobierno y compartidas entre diversas agencias.
Esto implica el uso de, al menos, dos de los tres modelos de implementación mencionados anteriormente: público y privado, privado y comunitario, o público y comunitario. Otra posibilidad es el uso de los tres.
Todos los aspectos de una política concreta de seguridad en la nube son importantes, sin embargo, hay determinados pilares que todo proveedor debería ofrecer. Estos se consideran fundamentales y algunos de los aspectos más importantes de una infraestructura de seguridad en la nube. Al garantizar que el proveedor que seleccione abarca todos estos pilares, asegura la adopción de la estrategia de seguridad en la nube más completa que puede implementar.
Continuamente en supervisión: los proveedores de seguridad en la nube pueden ofrecer un vistazo de lo que está ocurriendo en sus plataformas de nube manteniendo registros en todo momento. En caso de un incidente, su equipo de seguridad puede inspeccionar y comparar los registros internos con los registros de su proveedor en busca de posibles cambios o ataques. Esto puede ayudar a detectar y responder rápidamente ante cualquier incidente que pueda ocurrir.
Gestión de cambios: su proveedor de seguridad en la nube debe ofrecer protocolos de gestión de cambios con el fin de supervisar los controles de cumplimiento cuando se solicitan cambios, se modifican o mueven activos, o cuando se aprovisionan o desmontan servidores. Se pueden implementar aplicaciones especializadas en gestión de cambios con el fin de que supervisen de forma automática comportamientos inusuales para que usted y su equipo puedan moverse rápidamente para mitigarlos y corregirlos.
Controles de seguridad con confianza cero: aislar sus aplicaciones y activos de misión crítica lejos de su red de nube. Mantener los workloads seguros, privados e inaccesibles ayudará a aplicar las políticas de seguridad que protegen su entorno con base en la nube.
Protección global de los datos: su proveedor debe ofrecer una protección de datos mejorada con cifrado adicional para todas las capas de transporte, una buena higiene de datos, supervisión de gestión continua de riesgos, intercambio seguro de archivos y comunicaciones impenetrables. En conclusión, su proveedor debe ser el mejor de su especialidad en lo que respecta a la protección de los datos de su empresa en todas sus formas.
Pregúntese a sí mismo: «¿Cuáles son mis inquietudes?» Esto le ayudará a determinar las preguntas a realizar a su proveedor de nube y que pueden ayudarle a comprender los aspectos más importantes a tener en cuenta.
La adopción de la nube amplía la superficie de ataque de una organización introduciendo más puntos de entrada para los atacantes. Por ejemplo, el uso de varias aplicaciones SaaS puede exponer enlaces débiles. Las organizaciones deben adoptar principios de confianza cero, segmentar recursos y evaluar su postura de seguridad regularmente para minimizar la exposición.
Las configuraciones erróneas son una de las principales causas de vulnerabilidades en la nube, a menudo exponiendo datos confidenciales a accesos no autorizados. Por ejemplo, un bucket de Amazon S3 mal configurado podría dejar archivos confidenciales accesibles al público. Las organizaciones pueden evitar configuraciones erróneas automatizando la gestión de la configuración, realizando auditorías periódicas y formando al personal sobre las mejores prácticas.
Los proveedores de nube protegen la infraestructura, mientras que los clientes son responsables de proteger sus datos y aplicaciones. Un malentendido de esta responsabilidad compartida puede dejar expuestas áreas críticas. Por ejemplo, no cifrar los datos almacenados puede dar lugar a filtraciones. Las definiciones de roles claras, las revisiones exhaustivas de SLA y la supervisión continua son clave para mitigar este riesgo.
Navegar por los requisitos de cumplimiento como GDPR, HIPAA y PCI-DSS puede ser un desafío en entornos de nube. Aunque los proveedores de nube a menudo ofrecen herramientas y marcos para respaldar el cumplimiento de normativa, la responsabilidad final de la privacidad y seguridad de los datos reside en las empresas que utilizan la nube. Las organizaciones deben trabajar estrechamente con los proveedores para garantizar que se cumplen los estándares de cumplimiento, emplear cifrado y otras medidas de seguridad para proteger los datos confidenciales y mantenerse informadas sobre la evolución de las normativas para evitar posibles infracciones.
La naturaleza multiusuario de los entornos en la nube, donde varios clientes comparten la misma infraestructura, aumenta el riesgo de una filtración de datos, ya que las vulnerabilidades en el sistema de un inquilino pueden afectar potencialmente a otros. Los atacantes pueden aprovechar credenciales débiles, API no seguras o vulnerabilidades dentro de recursos compartidos para obtener acceso no autorizado.
En pocas palabras, la arquitectura de la nube es el resultado de diversos entornos combinados para compartir recursos escalables en aplicaciones de software, bases de datos y otros servicios. Básicamente, el término se refiere a la infraestructura y los componentes que trabajan conjuntamente para constituir la "nube" tal y como la conocemos.
Entre los componentes básicos necesarios para crear una nube están las redes, los enrutadores, los conmutadores, los servidores, los firewalls y los sistemas de detección de intrusiones. La nube también incluye todos los elementos en los servidores: por ejemplo, el hipervisor y las máquinas virtuales, sin olvidar el software. La arquitectura de la nube también necesita un proveedor de nube, un arquitecto de nube y un mediador de nube para crear, gestionar, vender y comprar servicios en la nube. Existe todo un ecosistema que controlar, sin embargo, cuando las personas dicen «la nube» básicamente se están refiriendo a la arquitectura de la nube.
Muchos términos relacionados con la arquitectura de la nube simplemente añaden la palabra «nube» a un término antiguo y ya familiar, como es el caso de cliente de nube. Si comprende la definición de cliente, entonces el nuevo término está bastante claro: hace referencia al cliente de servicios en la nube en contraposición a, por ejemplo, servicios de telefonía.
A continuación encontrará algunos ejemplos básicos:
La seguridad en la nube comienza con la arquitectura de la seguridad en la nube, la cual añade elementos de seguridad a la arquitectura básica. Los elementos de seguridad tradicionales incluyen firewalls (FW), anti-malware y sistemas de detección de intrusiones (IDS). También son necesarios aquellos que diseñan una estructura segura en y a través de la nube, entre quienes se incluyen auditores de nube, arquitectos de seguridad e ingenieros de seguridad.
En otras palabras, la arquitectura de la seguridad en la nube no está limitada al hardware ni al software.
La arquitectura de la seguridad en la nube comienza con la gestión de riesgos. Conocer qué podría ir mal y cuáles serían las repercusiones negativas para la empresa ayuda a las compañías a tomar decisiones responsables. Las tres principales áreas de análisis son la continuidad de la actividad, la cadena de suministro y la seguridad física.
Por ejemplo, ¿qué ocurrirá a su empresa si su proveedor de nube tiene una incidencia? Colocar servidores, servicios y datos en la nube no evita la necesidad de contar con una planificación para la recuperación ante desastres y continuidad de la actividad.
¿Qué ocurriría si cualquier persona pudiera acceder al datacenter del proveedor de nube? En los tres más grandes, AWS, GCP y Azure, esto no sería nada fácil, pero precisamente esto es lo más importante. Ellos han invertido considerablemente en la seguridad del datacenter.
¿Qué hay acerca de otros proveedores de nube? Solicite un recorrido por el datacenter de cualquier posible proveedor de nube y solicite participar en una auditoría. Tome nota de su respuesta. ¿Estaban dispuestos a dejarle comprobar el datacenter al día siguiente? Si resulta sencillo acceder al datacenter, entonces quizás la decisión de elegir este proveedor se merece una segunda revisión.
Es posible que proveedores de nube más pequeños no tengan un datacenter físico. Lo más probable es que utilicen y revendan eficazmente la capacidad de proveedores de nube más grandes. Esto es una ventaja y parte de la grandiosidad de utilizar la nube. Si se desconoce la relación entre los proveedores de nube, podrían aparecer incidencias adicionales respecto a las leyes, regulaciones y contratos. Realice esta sencilla pregunta: ¿Dónde están mis datos? Si existen múltiples niveles hasta los proveedores de nube, la pregunta podría ser difícil de responder. Podría haber consecuencias legales, como un problema con el Reglamento General de Protección de Datos (GDPR) Europeo.
Los elementos que componen una arquitectura de la seguridad en la nube de empresas podrán incluir servicios de seguridad en la nube. Es posible comprar servicios como prevención de filtración de datos (DLPaaS). Hay otras herramientas que refuerzan la seguridad, como una herramienta de análisis que busca información personalmente identificable con el fin de proceder a su correcta protección. La gestión de la seguridad en la nube es necesaria para garantizar que estos servicios están funcionando justo como deberían.
El CNAPP es un grupo de soluciones de seguridad destinado a ayudar con la identificación, evaluación, priorización y adaptación del riesgo en una gama de aplicaciones nativas.
De este modo, el CNAPP reúne numerosas de las funciones más importantes acumuladas de las plataformas y productos desconectados: análisis de artefactos, protección del tiempo de ejecución y configuración de la nube. Esto puede incluir lo siguiente:
Trend Micro puede considerarse como un proveedor de CNAPP y los productos como Trend Micro Cloud One™, la plataforma de servicios de seguridad destinada para desarrolladores de nube, puede adaptarse eficientemente en la arquitectura de CNAPP.
Las empresas deben seguir cumpliendo con numerosas leyes, regulaciones y contratos. Cuando pone sus datos y servicios a disposición de un tercero, se deben cumplir determinados requisitos complicados con el fin de garantizar el cumplimiento de normativa.
Desde el punto de vista legal, las organizaciones deben cumplir con el Reglamento General de Protección de Datos de la Unión Europea (GDPR de la UE), la Ley Sarbanes-Oxley de EE. UU. para la protección de datos financieros (SOX), la Ley de Portabilidad y responsabilidad de la información sanitaria del sistema sanitario (HIPAA) de los EE. UU. y muchas otras. Asimismo, la protección de las tarjetas de crédito recae en la ley contractual con el Payment Card Industry Data Security Standard (PCI-DSS).
Una vez que se identifica el área de cumplimiento de normativa, se pueden llevar a cabo numerosas acciones, una de las cuales es realizar una auditoría. La auditoría se debe realizar utilizando un enfoque estandarizado y una metodología demostrada, como la SSAE 18 (Statement of Standards on Attestation Agreements, No. 18) del American Institute of Certified Public Accountants. Los resultados de la auditoría indicarán aquellos apartados que pueden que no estén cumpliendo con la normativa. Cuando se toma una decisión respecto al proveedor de nube, es importante leer estos informes para conocer el nivel de seguridad del DC y sobre qué esperar.
Cloud Security proporciona una protección con base en plataforma, gestión de riesgos y detección y respuesta multinube, a la vez que potencia la seguridad desde los datacenters hasta los workloads en la nube, aplicaciones y arquitectura nativa en la nube.
Artículos relacionados
Investigaciones relacionadas