La computación en nube presenta muchos problemas y retos de seguridad únicos. En la nube, los datos se almacenan con un proveedor externo y se accede a ellos a través de Internet. Esto significa que la visibilidad y el control sobre esos datos son limitados. También plantea la cuestión de cómo protegerlos adecuadamente. Es imperativo que todo el mundo comprenda su papel respectivo y los problemas de seguridad inherentes a la computación en nube.
Los proveedores de servicios en la nube tratan los problemas y riesgos de seguridad de la nube como una responsabilidad compartida. En este modelo, el proveedor de servicios en nube cubre la seguridad de la propia nube, y el cliente cubre la seguridad de lo que pone en ella. En todos los servicios en nube -desde el software como servicio (SaaS) como Microsoft 365 hasta la infraestructura como servicio (IaaS) como Amazon Web Services (AWS)- el cliente de la computación en nube es siempre responsable de proteger sus datos de las amenazas a la seguridad y de controlar el acceso a ellos.
La mayoría de los riesgos de seguridad de la computación en nube están relacionados con la seguridad de los datos en la nube. Ya sea la falta de visibilidad de los datos, la incapacidad para controlarlos o el robo de datos en la nube, la mayoría de los problemas se remontan a los datos que los clientes ponen en la nube. Lea a continuación un análisis de los principales problemas de seguridad en la nube en SaaS, IaaS y nube privada, ordenados según la frecuencia con que los experimentan las organizaciones empresariales de todo el mundo.
Los 10 principales problemas de seguridad de la nube SaaS
- Falta de visibilidad de los datos que se encuentran dentro de las aplicaciones en la nube
- Robo de datos de una aplicación en la nube por un actor malicioso
- Control incompleto sobre quién puede acceder a los datos sensibles
- Incapacidad para supervisar los datos en tránsito hacia y desde las aplicaciones en la nube
- Aplicaciones en la nube que se aprovisionan fuera de la visibilidad de TI (por ejemplo, TI en la sombra)
- Falta de personal con los conocimientos necesarios para gestionar la seguridad de las aplicaciones en la nube
- Incapacidad para evitar el robo o el uso indebido de datos por parte de personas malintencionadas.
- Amenazas y ataques avanzados contra el proveedor de aplicaciones en la nube
- Incapacidad para evaluar la seguridad de las operaciones del proveedor de aplicaciones en la nube
- Incapacidad para mantener el cumplimiento de la normativa
Los problemas de seguridad de la nube SaaS se centran naturalmente en los datos y el acceso porque la mayoría de los modelos de responsabilidad de seguridad compartida dejan esos dos aspectos como responsabilidad exclusiva de los clientes de SaaS. Es responsabilidad de cada organización entender qué datos pone en la nube, quién puede acceder a ellos y qué nivel de protección han aplicado ellos (y el proveedor de la nube).
También es importante considerar el papel del proveedor de SaaS como punto de acceso potencial a los datos y procesos de la organización. Acontecimientos como el auge del ransomware XcodeGhost y GoldenEye ponen de relieve que los atacantes reconocen el valor de los proveedores de software y de la nube como vector para atacar activos de mayor envergadura. Como resultado, los atacantes han aumentado su enfoque en esta vulnerabilidad potencial. Para proteger su organización y sus datos, asegúrese de escudriñar los programas de seguridad de su proveedor de nube. Establezca la expectativa de contar con auditorías de terceros predecibles con informes compartidos e insista en las condiciones de notificación de infracciones para complementar las soluciones tecnológicas.
Los 10 principales problemas de seguridad de la nube IaaS
- Cargas de trabajo y cuentas en la nube que se crean fuera de la visibilidad de TI (por ejemplo, TI en la sombra)
- Control incompleto sobre quién puede acceder a los datos sensibles
- Robo de datos alojados en infraestructuras en nube por un actor malicioso
- Falta de personal con los conocimientos necesarios para asegurar las infraestructuras en la nube
- Falta de visibilidad de los datos que están en la nube
- Incapacidad para evitar el robo o el uso indebido de datos por parte de personas malintencionadas.
- Falta de controles de seguridad coherentes en entornos multi-nube y locales
- Amenazas y ataques avanzados contra la infraestructura de la nube
- Incapacidad para supervisar los sistemas y aplicaciones de carga de trabajo en la nube en busca de vulnerabilidades
- Propagación lateral de un ataque de una carga de trabajo en la nube a otra
Proteger los datos es fundamental en IaaS. A medida que la responsabilidad del cliente se extiende a las aplicaciones, el tráfico de red y los sistemas operativos, se introducen amenazas adicionales. Las organizaciones deben tener en cuenta la reciente evolución de los ataques que se extienden más allá de los datos como centro del riesgo de IaaS. Los actores maliciosos están llevando a cabo tomas hostiles de recursos informáticos para minar criptomoneda, y están reutilizando esos recursos como vector de ataque contra otros elementos de la infraestructura de la empresa y terceros.
Cuando se construye una infraestructura en la nube, es importante evaluar su capacidad para evitar robos y controlar el acceso. Determinar quién puede introducir datos en la nube, rastrear las modificaciones de los recursos para identificar comportamientos anómalos, asegurar y endurecer las herramientas de orquestación y añadir el análisis de red del tráfico de norte a sur y de este a oeste como posible señal de compromiso se están convirtiendo rápidamente en medidas estándar a la hora de proteger los despliegues de infraestructuras en la nube a escala.
Los 5 principales problemas de seguridad de las nubes privadas
- Falta de controles de seguridad coherentes que abarquen las infraestructuras de servidores tradicionales y de nubes privadas virtualizadas
- Aumento de la complejidad de la infraestructura, lo que se traduce en más tiempo/esfuerzo para la implantación y el mantenimiento
- Falta de personal con habilidades para gestionar la seguridad de un centro de datos definido por software (por ejemplo, computación virtual, red, almacenamiento)
- Visibilidad incompleta sobre la seguridad para un centro de datos definido por software (por ejemplo, computación virtual, red, almacenamiento)
- Amenazas y ataques avanzados
Un factor importante en el proceso de toma de decisiones para asignar recursos a una nube pública frente a una privada es el control preciso disponible en los entornos de nube privada. En las nubes privadas, los niveles adicionales de control y la protección suplementaria pueden compensar otras limitaciones de las implantaciones de nubes privadas y pueden contribuir a una transición práctica desde los centros de datos basados en servidores monolíticos.
Al mismo tiempo, las organizaciones deben tener en cuenta que mantener un control preciso genera complejidad, al menos más allá de lo que ha evolucionado la nube pública. Actualmente, los proveedores de la nube asumen ellos mismos gran parte del esfuerzo de mantener la infraestructura. Los usuarios de la nube pueden simplificar la gestión de la seguridad y reducir la complejidad mediante la abstracción de los controles. Esto unifica las plataformas de nube pública y privada por encima y a través de entornos físicos, virtuales e híbridos.
Cómo mitigar los problemas comunes de seguridad de la computación en nube
Su organización está utilizando servicios en la nube, incluso si esos servicios en la nube no son una estrategia principal para su tecnología de la información (TI). Para mitigar los riesgos de seguridad de la computación en nube, hay tres mejores prácticas en las que todas las organizaciones deberían trabajar:
- Procesos DevSecOps - Se ha demostrado repetidamente que DevOps y DevSecOps mejoran la calidad del código y reducen los exploits y las vulnerabilidades, además de aumentar la velocidad de desarrollo de las aplicaciones y el despliegue de funciones. Integrar los procesos de desarrollo, control de calidad y seguridad dentro de la unidad de negocio o el equipo de aplicaciones -en lugar de depender de un equipo de verificación de seguridad independiente- es crucial para operar a la velocidad que exige el entorno empresarial actual.
- Herramientas automatizadas de despliegue y gestión de aplicaciones - La escasez de competencias en materia de seguridad, combinada con el volumen y el ritmo crecientes de las amenazas a la seguridad, hace que ni siquiera el profesional de la seguridad más experimentado pueda seguir el ritmo. La automatización que elimina las tareas mundanas y aumenta las ventajas humanas con las de las máquinas es un componente fundamental de las operaciones de TI modernas.
- Seguridad unificada con gestión centralizada en todos los servicios y proveedores - Ningún producto o proveedor puede ofrecerlo todo, pero las múltiples herramientas de gestión hacen que sea demasiado fácil que algo se escape. Un sistema de gestión unificado con un tejido de integración abierto reduce la complejidad al unir las piezas y agilizar los flujos de trabajo.
Por último, cuando haya que tomar decisiones de compensación, la prioridad número 1 debe ser una mejor visibilidad, no un mayor control. Es mejor poder verlo todo en la nube que intentar controlar una parte incompleta de ella.