La infraestructura como servicio (IaaS) proporciona recursos informáticos virtualizados, redes virtuales, almacenamiento virtual y máquinas virtuales accesibles a través de Internet. Entre los servicios de infraestructura más populares se encuentran Elastic Compute (EC2) de Amazon, Google Compute Engine y Microsoft Azure.
El uso de IaaS está aumentando debido al bajo coste inicial. Las organizaciones que utilizan servicios de infraestructura no necesitan comprar ni mantener hardware. Esto hace que la IaaS resulte atractiva para organizaciones de todos los tamaños.
IaaS también es más escalable y flexible que el hardware. La infraestructura en nube puede ampliarse bajo demanda y reducirse de nuevo cuando ya no se necesite. Este nivel de escalabilidad no es posible con el hardware local.
Sin embargo, la IaaS puede ser un objetivo para los ciberataques que intentan apropiarse de los recursos de la IaaS para lanzar ataques de denegación de servicio, ejecutar botnets o minar criptomonedas. Los recursos de almacenamiento y las bases de datos son un objetivo frecuente para la exfiltración de datos en muchas violaciones de datos. Además, los atacantes que consiguen infiltrarse en los servicios de infraestructura de una organización pueden aprovechar esas cuentas para acceder a otras partes de la arquitectura empresarial.
![]()
Cómo asegurar IaaS
Los clientes de IaaS son responsables de asegurar sus datos, el acceso de los usuarios, las aplicaciones, los sistemas operativos y el tráfico de red virtual. Las organizaciones suelen cometer los siguientes errores al utilizar IaaS:
Datos sin cifrar: En los entornos híbridos y multi-nube, los datos se mueven entre los recursos locales y los basados en la nube, y entre diferentes aplicaciones en la nube. El cifrado es esencial para proteger los datos de robos o accesos no autorizados. Una organización puede cifrar los datos en las instalaciones, antes de que pasen a la nube, o en la nube. Pueden utilizar sus propias claves de cifrado o el cifrado del proveedor de IaaS. Un departamento de TI también puede querer cifrar los datos en tránsito. Muchas normativas gubernamentales e industriales exigen que los datos sensibles estén cifrados en todo momento, tanto en reposo como en movimiento.
Errores de configuración: Una causa común de incidentes de seguridad en la nube es la configuración incorrecta de los recursos de la nube. El proveedor de la nube puede ofrecer herramientas para asegurar sus recursos, pero el profesional de TI es responsable del uso correcto de las herramientas. Algunos ejemplos de errores comunes son:
- Puertos de entrada o salida mal configurados
- Autenticación multifactor no activada
- Cifrado de datos desactivado
- Acceso al almacén abierto a Internet
Servicios en la sombra: Las cuentas en la nube en la sombra o fraudulentas son más comunes en las soluciones de software como servicio (SaaS), pero también pueden darse en IaaS. Cuando los empleados necesitan aprovisionar una aplicación o un recurso, pueden utilizar un proveedor de la nube sin informar al departamento de TI. Para asegurar los datos de estos servicios, el departamento de TI necesita identificar primero los servicios y los usuarios mediante una auditoría. Para ello, TI puede utilizar un cloud access security broker (CASB).
Servicios en la sombra: Las cuentas en la nube en la sombra o fraudulentas son más comunes en las soluciones de software como servicio (SaaS), pero también pueden darse en IaaS. Cuando los empleados necesitan aprovisionar una aplicación o un recurso, pueden utilizar un proveedor de la nube sin informar al departamento de TI. Para asegurar los datos de estos servicios, el departamento de TI necesita identificar primero los servicios y los usuarios mediante una auditoría. Para ello, TI puede utilizar un cloud access security broker (CASB).
![]()
Soluciones para la seguridad de IaaS
Muchas organizaciones utilizan entornos multicloud, con servicios IaaS, PaaS y SaaS de distintos proveedores. Los entornos multi-nube son cada vez más comunes, pero también pueden causar problemas de seguridad. Las soluciones tradicionales de seguridad empresarial no están diseñadas para los servicios en la nube, que se encuentran fuera del cortafuegos de la organización. Los servicios de infraestructura virtual (como las máquinas virtuales, el almacenamiento virtual y las redes virtuales) requieren soluciones de seguridad diseñadas específicamente para un entorno de nube.
Cuatro soluciones importantes para la seguridad de IaaS son: los corredores de seguridad de acceso a la nube, las plataformas de protección de cargas de trabajo en la nube, las plataformas de seguridad de redes virtuales y la gestión de la postura de seguridad en la nube.
- Cloud access security broker (CASB), también conocido como puerta de enlace de seguridad en la nube (CSG): Los CASB proporcionan visibilidad y control sobre los recursos de la nube, incluida la supervisión de la actividad de los usuarios, la supervisión de IaaS, la detección de malware en la nube, data loss prevention, y el cifrado. Pueden integrarse con cortafuegos y API de plataformas en nube, así como supervisar IaaS en busca de configuraciones erróneas y datos desprotegidos en el almacenamiento en nube. Los CASB proporcionan auditoría y supervisión de los ajustes y configuraciones de seguridad, permisos de acceso a archivos y cuentas comprometidas. Un CASB también puede incluir la supervisión y la seguridad de la carga de trabajo.
- Plataformas de protección de cargas de trabajo en la nube (CWPP): Las CWPP descubren cargas de trabajo y contenedores, aplican protección contra malware y gestionan instancias de cargas de trabajo y contenedores que, si no se gestionan, pueden proporcionar a un ciberdelincuente una vía de acceso al entorno IaaS.
- Plataformas de seguridad de red virtual (VNSP): Las soluciones VNSP escanean el tráfico de red que se mueve tanto de norte a sur como de este a oeste entre instancias virtuales dentro de entornos IaaS. Incluyen detección y prevención de intrusiones en la red para proteger los recursos virtuales.
- Gestión de la postura de seguridad en la nube (CSPM): Un gestor de la postura de seguridad de la nube audita los entornos de nube IaaS en busca de problemas de seguridad y cumplimiento, además de proporcionar una corrección manual o automatizada. Cada vez más, los CASB añaden la funcionalidad CSPM.
![]()
Consideraciones sobre el proveedor de IaaS
Los proveedores de IaaS son responsables de los controles que protegen sus servidores y datos subyacentes. Los responsables de TI pueden evaluar a los proveedores de IaaS en función de las siguientes características:
- Permisos de acceso físico: Un proveedor de IaaS es responsable de implementar controles de acceso seguros a las instalaciones físicas, los sistemas informáticos y los servicios en la nube.
- Auditorías de cumplimiento: Los responsables de TI pueden solicitar pruebas del cumplimiento (auditorías y certificaciones) de las normativas pertinentes, como las leyes de seguridad de la información sanitaria o los requisitos de privacidad de los datos financieros de los consumidores.
- Herramientas de supervisión y registro: Un proveedor de IaaS puede ofrecer herramientas de supervisión, registro y gestión de los recursos de la nube.
- Especificaciones y mantenimiento del hardware: El hardware que sustenta los servicios de infraestructura en nube influye en el rendimiento de dichos servicios. Una organización de TI puede solicitar las especificaciones de hardware del proveedor, en particular los dispositivos de seguridad como cortafuegos, detección de intrusiones y filtrado de contenidos.
A medida que los centros de datos se trasladan a la nube, los responsables de TI necesitan crear estrategias de seguridad IaaS e implementar tecnologías de seguridad en la nube para proteger su infraestructura esencial. La seguridad en la nube de Skyhigh Security permite a las organizaciones acelerar su negocio al ofrecerles una visibilidad y un control totales de sus datos en la nube. Obtenga más información sobre la tecnología de seguridad en la nube de Skyhigh Security .