Guía paso a paso de las mejores prácticas de seguridad en la nube

Fase 1: Comprender el uso y el riesgo de la nube

La primera fase de la seguridad de la computación en nube se centra en comprender su estado actual y evaluar el riesgo. Utilizando soluciones de seguridad en la nube que permitan su supervisión, puede llevar a cabo los siguientes pasos:

1. Paso 1: Identifique los datos sensibles o regulados.
   Su mayor área de riesgo es la pérdida o el robo de datos que darán lugar a sanciones reglamentarias o a la pérdida de propiedad intelectual. Los motores de clasificación de datos pueden categorizar sus datos para que pueda evaluar plenamente este riesgo.
2. Paso 2: Comprenda cómo se accede a los datos sensibles y cómo se comparten. Los datos confidenciales pueden guardarse de forma segura en la nube, pero tiene que controlar quién accede a ellos y adónde van. Evalúe los permisos de los archivos y carpetas en su entorno de nube, junto con el contexto de acceso como los roles de usuario, la ubicación del usuario y el tipo de dispositivo.
3. Paso 3: Descubra la TI en la sombra (uso desconocido de la nube).
   La mayoría de la gente no pregunta a su equipo de TI antes de suscribirse a una cuenta de almacenamiento en la nube o de convertir un PDF en línea. Utilice su proxy web, cortafuegos o registros SIEM para descubrir qué servicios en la nube se están utilizando y que usted desconoce, y a continuación ejecute una evaluación de su perfil de riesgo.
4. Paso 4: Audite las configuraciones de la infraestructura como servicio (IaaS) como AWS o Azure.
   Sus entornos IaaS contienen docenas de configuraciones críticas, muchas de las cuales pueden crear una debilidad explotable si están mal configuradas. Empiece por auditar sus configuraciones para la gestión de identidades y accesos, la configuración de red y el cifrado.
5. Paso 5: Descubra el comportamiento malicioso de los usuarios.
   Tanto los empleados descuidados como los atacantes externos pueden mostrar un comportamiento que indique un uso malicioso de los datos de la nube. El análisis del comportamiento de los usuarios (UBA) puede vigilar las anomalías y mitigar la pérdida de datos tanto interna como externa.

Fase 2: Proteja su nube

Una vez que comprenda su postura ante los riesgos de seguridad en la nube, podrá aplicar estratégicamente la protección a sus servicios en la nube en función de su nivel de riesgo. Existen varias tecnologías de seguridad en la nube que pueden ayudarle a cumplir las siguientes prácticas recomendadas:

1. Paso 1: Aplique políticas de protección de datos.
   Con sus datos clasificados ahora como sensibles o regulados, puede asignar políticas que rijan qué datos pueden almacenarse en la nube, poner en cuarentena o eliminar los datos sensibles que se encuentren en la nube y orientar a los usuarios si cometen un error e infringen una de sus políticas.
2. Paso 2: Cifre los datos sensibles con sus propias claves.
   El cifrado disponible dentro de un servicio en la nube protegerá sus datos de terceros, pero el proveedor del servicio en la nube seguirá teniendo acceso a sus claves de cifrado. En su lugar, cifre sus datos utilizando sus propias claves, de modo que controle totalmente el acceso. Los usuarios podrán seguir trabajando con los datos sin interrupción.
3. Paso 3: Establezca limitaciones sobre cómo se comparten los datos.
   Desde el momento en que los datos entran en la nube, aplique sus políticas de control de acceso en uno o varios servicios. Comience con acciones como establecer usuarios o grupos como visor o editor y controlar qué información puede compartirse externamente a través de enlaces compartidos.
4. Paso 4: Evite que los datos pasen a dispositivos no gestionados que desconoce.
   Los servicios en la nube proporcionan acceso desde cualquier lugar con conexión a Internet, pero el acceso desde dispositivos no gestionados como un teléfono personal crea un punto ciego para su postura de seguridad. Bloquee las descargas a dispositivos no gestionados exigiendo la verificación de seguridad del dispositivo antes de la descarga.
5. Paso 5: Aplique una protección antimalware avanzada a la infraestructura como servicio (IaaS), como AWS o Azure.
   En los entornos IaaS, usted es responsable de la seguridad de sus sistemas operativos, aplicaciones y tráfico de red. La tecnología antimalware puede aplicarse al sistema operativo y a la red virtual para proteger su infraestructura. Implemente listas blancas de aplicaciones y prevención de exploits de memoria para cargas de trabajo de propósito único y protección basada en aprendizaje automático para cargas de trabajo de propósito general y almacenes de archivos.

Fase 3: Responder a los problemas de seguridad de la nube

A medida que se acceda a sus servicios en la nube y se utilicen, se producirán incidentes que requerirán una respuesta automatizada o guiada de forma regular, como en cualquier otro entorno de TI. Siga estas mejores prácticas para comenzar su práctica de respuesta a incidentes de seguridad en la nube:

1. Paso 1: Exija una verificación adicional para los escenarios de acceso de alto riesgo.
   Si un usuario accede a datos sensibles en un servicio en la nube desde un dispositivo nuevo, por ejemplo, exija automáticamente la autenticación de dos factores para probar su identidad.
2. Paso 2: Ajuste las políticas de acceso a la nube a medida que aparezcan nuevos servicios.
   No puede predecir todos los servicios en la nube a los que se accederá, pero puede actualizar automáticamente las políticas de acceso a la web, como las aplicadas por un secure web gateway, con información sobre el perfil de riesgo de un servicio en la nube para bloquear el acceso o presentar un mensaje de advertencia. Consiga esto mediante la integración de una base de datos de riesgos de la nube con su secure web gateway o cortafuegos.
3. Paso 3: Elimine el malware de un servicio en la nube.
   Es posible que el malware comprometa una carpeta compartida que se sincroniza automáticamente con un servicio de almacenamiento en la nube, replicando el malware en la nube sin la acción del usuario. Analice sus archivos en el almacenamiento en la nube con un antimalware para evitar ataques de ransomware o robo de datos.

A medida que evolucionan los servicios en la nube, también lo hacen los retos y amenazas a los que se enfrenta al utilizarlos. Manténgase siempre al tanto de las actualizaciones de las funciones de los proveedores de la nube que tengan que ver con la seguridad, para poder ajustar sus políticas en consecuencia. Los proveedores de seguridad también ajustarán sus modelos de inteligencia sobre amenazas y aprendizaje automático para mantenerse al día. En las fases y las mejores prácticas anteriores, se pueden utilizar varias tecnologías clave para lograr cada paso, a menudo trabajando en conjunto con las características de seguridad nativas de los proveedores de la nube.

1. Cloud Access Security Broker (CASB):
   Protege los datos en la nube mediante data loss prevention, control de acceso y análisis del comportamiento de los usuarios. CASB se utiliza además para supervisar las configuraciones de IaaS y descubrir la TI en la sombra.
2. Protección de cargas de trabajo en la nube:
   Descubre cargas de trabajo y contenedores, aplica protección contra malware y simplifica la gestión de la seguridad en entornos IaaS.
3. Seguridad de la red virtual:
   Escanea el tráfico de red que se mueve entre las instancias virtuales alojadas en entornos IaaS, junto con sus puntos de entrada y salida.