¿Qué es la seguridad en la nube?

Categorías de computación en nube

La seguridad en la nube difiere en función de la categoría de computación en nube que se utilice. Existen cuatro categorías principales de computación en nube:

• Servicios de nube pública, operados por un proveedor de nube pública - Incluyen el software como servicio (SaaS), la infraestructura como servicio (IaaS) y la plataforma como servicio (PaaS).
• Servicios de nube privada, operados por un proveedor de nube pública - Estos servicios proporcionan un entorno informático dedicado a un cliente, operado por un tercero.
• Servicios de nube privada, operados por personal interno - Estos servicios son una evolución del centro de datos tradicional, en el que el personal interno opera un entorno virtual que controla.
• Servicios de nube híbrida: se pueden combinar configuraciones de computación en nube privada y pública, alojando cargas de trabajo y datos en función de la optimización de factores como el coste, la seguridad, las operaciones y el acceso. En la operación participará el personal interno y, opcionalmente, el proveedor de la nube pública.

Cuando se utiliza un servicio de computación en nube proporcionado por un proveedor de nubes públicas, los datos y las aplicaciones se alojan con un tercero, lo que marca una diferencia fundamental entre la computación en nube y la TI tradicional, en la que la mayoría de los datos se mantenían dentro de una red autocontrolada. Comprender su responsabilidad en materia de seguridad es el primer paso para elaborar una estrategia de seguridad en la nube.

Segmentación de las responsabilidades de seguridad en la nube

La mayoría de los proveedores de nubes intentan crear una nube segura para los clientes. Su modelo de negocio gira en torno a la prevención de infracciones y al mantenimiento de la confianza del público y de los clientes. Los proveedores de la nube pueden intentar evitar problemas de seguridad en la nube con el servicio que proporcionan, pero no pueden controlar cómo utilizan los clientes el servicio, qué datos añaden a él y quién tiene acceso. Los clientes pueden debilitar la ciberseguridad en la nube con su configuración, los datos sensibles y las políticas de acceso. En cada tipo de servicio de nube pública, el proveedor y el cliente de la nube comparten distintos niveles de responsabilidad en materia de seguridad. Por tipo de servicio, éstos son:

• Software como servicio (SaaS) - Los clientes son responsables de proteger sus datos y el acceso de los usuarios.
• Plataforma como servicio (PaaS): los clientes son responsables de proteger sus datos, el acceso de los usuarios y las aplicaciones.
• Infraestructura como servicio (IaaS): los clientes son responsables de proteger sus datos, el acceso de los usuarios, las aplicaciones, los sistemas operativos y el tráfico de red virtual.

En todos los tipos de servicios de nube pública, los clientes son responsables de proteger sus datos y de controlar quién puede acceder a ellos. La seguridad de los datos en la computación en nube es fundamental para adoptar con éxito y obtener los beneficios de la nube. Las organizaciones que estén considerando ofertas SaaS populares como Microsoft Office 365 o Salesforce necesitan planificar cómo cumplirán con su responsabilidad compartida de proteger los datos en la nube. Aquellas que consideren ofertas IaaS como Amazon Web Services (AWS) o Microsoft Azure necesitan un plan más exhaustivo que empiece por los datos, pero que también abarque la seguridad de las aplicaciones en la nube, los sistemas operativos y el tráfico de red virtual, cada uno de los cuales también puede introducir un potencial de problemas de seguridad de los datos.

Retos de la seguridad en la nube

Dado que los datos en la nube pública son almacenados por un tercero y se accede a ellos a través de Internet, surgen varios retos en la capacidad de mantener una nube segura. Estos son:

• Visibilidad de los datos en la nube - En muchos casos, se accede a los servicios en la nube fuera de la red corporativa y desde dispositivos no gestionados por TI. Esto significa que el equipo de TI necesita la capacidad de ver dentro del propio servicio en la nube para tener una visibilidad total sobre los datos, a diferencia de los medios tradicionales de supervisión del tráfico de red.
• Control sobre los datos de la nube - En el entorno de un proveedor externo de servicios en la nube, los equipos informáticos tienen menos acceso a los datos que cuando controlaban los servidores y las aplicaciones en sus propias instalaciones. A los clientes de la nube se les da un control limitado por defecto, y el acceso a la infraestructura física subyacente no está disponible.
• Acceso a los datos y aplicaciones de la nube -Los usuarios pueden acceder a las aplicaciones y datos de la nube a través de Internet, lo que hace que los controles de acceso basados en el perímetro tradicional de la red del centro de datos ya no sean eficaces. El acceso de los usuarios puede realizarse desde cualquier ubicación o dispositivo, incluida la tecnología "traiga su propio dispositivo" (BYOD). Además, el acceso privilegiado del personal del proveedor de la nube podría eludir sus propios controles de seguridad.
• Cumplimiento - El uso de servicios de computación en nube añade otra dimensión al cumplimiento normativo e interno. Es posible que su entorno en la nube deba cumplir requisitos normativos como la HIPAA, la PCI y la ley Sarbanes-Oxley, así como requisitos de equipos internos, socios y clientes. La infraestructura del proveedor de la nube, así como las interfaces entre los sistemas internos y la nube también se incluyen en los procesos de cumplimiento y gestión de riesgos.
• Violaciones nativas de la nube- Las violaciones de datos en la nube son distintas de las violaciones en las instalaciones, en el sentido de que el robo de datos suele producirse utilizando funciones nativas de la nube. Una violación nativa de la nube es una serie de acciones de un actor adversario en las que "aterriza" su ataque aprovechando errores o vulnerabilidades en un despliegue en la nube sin utilizar malware, "amplía" su acceso a través de interfaces débilmente configuradas o protegidas para localizar datos valiosos y "exfiltra" esos datos a su propia ubicación de almacenamiento.
• Mala configuración - Las infracciones en la nube suelen recaer en la responsabilidad del cliente de la nube en materia de seguridad, lo que incluye la configuración del servicio en la nube. La investigación muestra que sólo el 26% de las empresas pueden auditar actualmente sus entornos IaaS en busca de errores de configuración. La mala configuración de IaaS a menudo actúa como la puerta de entrada a una brecha en la nube, permitiendo al atacante aterrizar con éxito y luego pasar a expandirse y exfiltrar datos. La investigación también muestra que el 99% de las desconfiguraciones en IaaS pasan desapercibidas para los clientes de la nube. He aquí un extracto de este estudio que muestra este nivel de desconexión por mala configuración:

• Recuperación en caso de catástrofe - La planificación de la ciberseguridad es necesaria para proteger los efectos de brechas negativas significativas. Un plan de recuperación en caso de catástrofe incluye políticas, procedimientos y herramientas diseñados para permitir la recuperación de los datos y permitir que una organización continúe con sus operaciones y negocios.
• Amenazas internas : un empleado deshonesto es capaz de utilizar los servicios en la nube para exponer a una organización a una brecha de ciberseguridad. Un reciente informe de McAfee sobre adopción de la nube y riesgos reveló una actividad irregular indicativa de amenazas internas en el 85% de las organizaciones.

Soluciones de seguridad en la nube

Las organizaciones que buscan soluciones de seguridad en la nube deben tener en cuenta los siguientes criterios para resolver los principales retos de seguridad en la nube: la visibilidad y el control de los datos en la nube.

• Visibilidad de los datos en la nube - Una visión completa de los datos de la nube requiere un acceso directo al servicio en la nube. Las soluciones de seguridad en la nube lo consiguen mediante una conexión de interfaz de programación de aplicaciones (API) al servicio en la nube. Con una conexión API es posible ver:
  • Qué datos se almacenan en la nube.
  • ¿Quién utiliza los datos de la nube?
  • Las funciones de los usuarios con acceso a los datos de la nube.
  • Con quién comparten datos los usuarios de la nube.
  • Dónde se encuentran los datos de la nube.
  • Desde dónde se accede y se descargan los datos de la nube, incluido desde qué dispositivo.
• Control de los datos en la nube - Una vez que tenga visibilidad de los datos de la nube, aplique los controles que mejor se adapten a su organización. Estos controles incluyen:
  • Clasificación de datos - Clasifique los datos en varios niveles, como sensibles, regulados o públicos, a medida que se crean en la nube. Una vez clasificados, se puede impedir que los datos entren o salgan del servicio en la nube.
  • Data Loss Prevention (DLP) - Implemente una solución DLP en la nube para proteger los datos de accesos no autorizados y desactivar automáticamente el acceso y el transporte de datos cuando se detecte una actividad sospechosa.
  • Controles de colaboración - Gestione los controles dentro del servicio en la nube, como la reducción de permisos de archivos y carpetas para usuarios específicos a editor o visor, la eliminación de permisos y la revocación de enlaces compartidos.
  • Cifrado - El cifrado de datos en la nube puede utilizarse para impedir el acceso no autorizado a los datos, incluso si éstos son exfiltrados o robados.
• Acceso a datos y aplicaciones en la nube- Al igual que ocurre con la seguridad interna, el control de acceso es un componente vital de la seguridad en la nube. Los controles típicos incluyen:
  • Control de acceso de los usuarios - Implemente controles de acceso al sistema y a las aplicaciones que garanticen que sólo los usuarios autorizados acceden a los datos y aplicaciones de la nube. A Cloud Access Security Broker (CASB) puede utilizarse para hacer cumplir los controles de acceso
  • Control de acceso de dispositivos: bloquee el acceso cuando un dispositivo personal no autorizado intente acceder a los datos de la nube.
  • Identificación de comportamientos maliciosos - Detecte las cuentas comprometidas y las amenazas internas con el análisis del comportamiento de los usuarios (UBA) para que no se produzca la exfiltración maliciosa de datos.
  • Prevención de malware: evite que el malware entre en los servicios en la nube mediante técnicas como el escaneado de archivos, las listas blancas de aplicaciones, la detección de malware basada en el aprendizaje automático y el análisis del tráfico de red.
  • Acceso privilegiado - Identifique todas las formas posibles de acceso que las cuentas privilegiadas puedan tener a sus datos y aplicaciones, y establezca controles para mitigar la exposición.
• Cumplimiento - Los requisitos y prácticas de cumplimiento existentes deben aumentarse para incluir los datos y las aplicaciones que residen en la nube.
  • Evaluación de riesgos - Revise y actualice las evaluaciones de riesgos para incluir los servicios en la nube. Identifique y aborde los factores de riesgo introducidos por los entornos y proveedores de la nube. Existen bases de datos de riesgos para proveedores de servicios en nube que agilizan el proceso de evaluación.
  • Evaluaciones de conformidad - Revise y actualice las evaluaciones de conformidad para PCI, HIPAA, Sarbanes-Oxley y otros requisitos normativos de aplicación.