Mejores prácticas de seguridad en la nube

La nube es un entorno muy diferente del centro de datos local con el que las empresas están más familiarizadas, y estas diferencias crean retos de seguridad únicos que requieren soluciones de seguridad centradas en la nube para abordarlos. Al mismo tiempo, las empresas también requieren la capacidad de integrar su arquitectura de seguridad en la nube con la infraestructura de seguridad local para permitir una visibilidad, gestión y aplicación de políticas de seguridad coherentes en toda su infraestructura de TI.

Las siguientes buenas prácticas de seguridad en la nube pueden ayudar a su organización a minimizar los riesgos de ciberseguridad de su implementación en la nube.

Demostración gratuita de Cloud Security Informe de seguridad en la nube

#1. Comprender el modelo de responsabilidad compartida

Uno de los principales argumentos de venta de la computación en nube es que permite a una organización externalizar parte de la responsabilidad de su infraestructura de TI a un proveedor de servicios en nube. Sin embargo, un proveedor de nube no asume toda la responsabilidad de la infraestructura de su cliente ni de su seguridad.

Una comprensión clara del modelo de responsabilidad compartida en la nube es una base esencial para una estrategia de seguridad en la nube. El Modelo de Responsabilidad Compartida desglosa las responsabilidades entre el proveedor de la nube y el cliente para varios modelos de servicios en la nube, como la Infraestructura como Servicio (IaaS), la Plataforma como Servicio (PaaS) y el Software como Servicio (SaaS). La comprensión del modelo y de las responsabilidades que asigna al cliente permite a una organización desarrollar una estrategia para cumplir con sus responsabilidades.

#2. Adopte el control Zero Trust

El modelo de seguridad Zero Trust está diseñado para limitar el riesgo de ciberseguridad de una organización. En un modelo de confianza cero, todos los usuarios y dispositivos son tratados como amenazas potenciales, y cada solicitud de acceso de un usuario autentificado se evalúa de forma independiente en función de controles de acceso basados en roles y factores ambientales.

La adopción de una infraestructura basada en la nube amplía la superficie de ataque de una organización, y la naturaleza única de la nube significa que la infraestructura basada en la nube está más expuesta a las amenazas externas que los recursos locales. Adoptar y aplicar un modelo de seguridad de confianza cero ayuda a mejorar el riesgo de ciberseguridad al reducir la probabilidad y el impacto de una intrusión.

#3. Optimice el tiempo de actividad y el rendimiento

La TI en la sombra es un problema en muchas organizaciones. La causa más común de esto es que los servicios corporativos no satisfacen las necesidades de los empleados, por lo que buscan alternativas y soluciones que les permitan hacer su trabajo de manera eficiente. Sin embargo, estas alternativas a menudo también ponen en riesgo a la empresa.

Una forma de minimizar el riesgo de la TI en la sombra es trabajar para eliminar los puntos débiles que hacen que los empleados busquen alternativas. Optimizar el rendimiento y el tiempo de actividad de los servicios en la nube ayuda a garantizar a los empleados una experiencia sin fricciones que elimina la necesidad de buscar alternativas más utilizables pero menos seguras.

#4. Reconocer la importancia de la visibilidad y la observabilidad

La visibilidad es difícil de conseguir en la nube. El proveedor de servicios en nube controla la infraestructura subyacente, lo que imposibilita el despliegue de dispositivos de seguridad dentro del centro de datos en nube.

La visibilidad y la observabilidad son tan importantes en los entornos en nube como en los locales. Un aspecto importante de la seguridad en la nube es lograr una visibilidad coherente en todo el ecosistema informático de una organización. Esto requiere el despliegue de soluciones de seguridad que ofrezcan soporte tanto para entornos on-prem como en la nube.

#5. Desarrollar una postura de seguridad y una estrategia de gobernanza

Con el paso a la nube, aumenta la superficie de ciberataque de una organización y su exposición a las ciberamenazas. La protección contra estas amenazas requiere una estrategia de seguridad claramente definida.

El primer paso para desarrollar esta estrategia es determinar la postura de seguridad objetivo y los requisitos de gobernanza de la organización. A partir de ahí, la empresa puede trabajar para desarrollar y poner en marcha políticas y controles de seguridad, como una solución de gestión de la postura de seguridad en la nube (CSPM), que pueda alcanzar estos objetivos tanto en la nube como en su entorno on-prem.

#6. Aplique políticas de seguridad coherentes

Asegurar la nube puede ser más difícil que en una red local. En la nube, una empresa carece de control sobre la infraestructura subyacente, lo que significa que es más difícil diseñar la red para satisfacer sus necesidades y desplegar dispositivos de seguridad.

Sin embargo, a pesar de estas dificultades, es esencial crear y aplicar políticas de seguridad coherentes en todo el ecosistema de TI de una organización, incluyendo tanto los entornos on-prem como los basados en la nube. En la empresa moderna, los entornos on-prem y la implementación en la nube están estrechamente vinculados. Si una empresa no aplica de forma coherente la seguridad en todo su entorno, un atacante puede explotar los puntos débiles de la seguridad en una parte de la red corporativa para obtener un acceso inicial y, a continuación, aprovechar sus conexiones con entornos on-prem u otros entornos en la nube para desplazarse lateralmente y acceder a otros activos informáticos corporativos.

#7. Lograr el cumplimiento de los mandatos reglamentarios

La mayoría de las empresas deben cumplir con al menos una y potencialmente varias regulaciones. En los últimos años, las regulaciones existentes, como PCI-DSS e HIPAA, se han visto aumentadas con un número creciente de nuevos requisitos (GDPR, CCPA, CMMC, etc.) que están diseñados para proteger ciertos tipos de datos confidenciales.

En la mayoría de los casos, los datos protegidos por estas normativas se almacenan, procesan o transmiten en la infraestructura basada en la nube de una organización. Estas implementaciones en la nube también están dentro del alcance de las auditorías de cumplimiento y deben cumplir los requisitos de cumplimiento.

A menudo, los requisitos de cumplimiento dictarán la elección de la infraestructura de nube utilizada por una organización, como nubes públicas o privadas. Además, las empresas deben identificar e implantar los controles de seguridad necesarios para proteger estos datos (cifrado, controles de acceso, etc.) tanto en la nube como en las instalaciones.

#8. Implemente una gestión centralizada de identidades

La expansión a la nube introduce una complejidad significativa en la infraestructura de TI de una organización. A menudo, las empresas adoptan una infraestructura multi-nube con soluciones de varios proveedores. Una empresa también puede desplegar soluciones en la nube bajo diferentes modelos de servicio, como los servicios SaaS, PaaS e IaaS.

Con esta complejidad adicional viene la necesidad de administrar las identidades de los usuarios en todos estos nuevos servicios. La gestión centralizada de identidades es fundamental para la seguridad en la nube porque permite a las empresas garantizar que las cuentas de usuario se aprovisionan y desaprovisionan correctamente y que los permisos se actualizan según sea necesario. Obligar a los usuarios a autenticarse individualmente en cada servicio disminuye la facilidad de uso y aumenta el riesgo de que se abuse de los permisos excesivos.

#9. Asegure la infraestructura

La seguridad de la infraestructura en la nube es complicada debido a la relación entre el proveedor de servicios en la nube y el cliente de la nube. Como esboza el modelo de responsabilidad compartida de nube, los clientes de la nube tienen diferentes grados de responsabilidad sobre su infraestructura en la nube en función del modelo de servicios en la nube seleccionado (SaaS, PaaS, IaaS, etc.).

Dicho esto, asegurar la infraestructura en la nube es esencial para asegurar los servicios construidos sobre ella. Además de gestionar los niveles de infraestructura bajo su control de acuerdo con el modelo de responsabilidad compartida, las empresas también deben tener en cuenta la seguridad de la red y la selección de la plataforma en nube que mejor se adapte a sus requisitos de seguridad. En algunos casos, las políticas de seguridad y los requisitos normativos pueden obligar a utilizar un modelo de nube privada o híbrida en lugar de la nube pública debido a la capacidad de controlar mejor el acceso a la infraestructura subyacente.

#10. Utilice fuertes controles de red

La infraestructura de la nube es directamente accesible desde la Internet pública y se encuentra fuera del perímetro de la red tradicional. Además, los servicios basados en la nube suelen comunicarse con otros entornos en la nube y sistemas locales. Esto hace que a las empresas les resulte más difícil restringir el acceso a los recursos basados en la nube y convierte en vitales unos sólidos controles de seguridad rojos en la nube.

nube red debe segmentarse en función de la finalidad, los niveles de riesgo y la sensibilidad de los distintos recursos de la nube. Al implantar la segmentación de la red, una organización adquiere la capacidad de supervisar, inspeccionar y aplicar controles de seguridad no sólo en los flujos de tráfico norte-sur, sino también en el tráfico este-oeste entre segmentos. Esta visibilidad más granular y la aplicación de la seguridad son esenciales para una estrategia de seguridad de confianza cero y permiten a una empresa compartimentar el riesgo y las posibles intrusiones en su red.

#11. Protección de las cargas de trabajo

Las empresas adoptan cada vez más cargas de trabajo basadas en la nube para aprovechar todo su potencial y sus ventajas. Las aplicaciones sin servidor y en contenedores suelen ser más ágiles y escalables que las aplicaciones tradicionales, lo que las hace más adecuadas para los ciclos rápidos de desarrollo DevOps.

Estas cargas de trabajo en la nube tienen necesidades de seguridad únicas que pueden no ser satisfechas por las soluciones de seguridad en la nube tradicionales e integradas. Como parte de una estrategia de seguridad en la nube, las empresas deben desplegar soluciones de seguridad de aplicación que proporcionen la visibilidad granular y la seguridad que requieren sus cargas de trabajo en la nube.

#12. Protéjase contra la fatiga de alertas

La mayoría de los centros de operaciones de seguridad (SOC) empresariales se ven abrumados por las alertas de sus conjuntos de soluciones de seguridad. La empresa promedio recibe 10,000 alertas por día, que es mucho más de lo que un equipo de SOC es capaz de clasificar, investigar y responder. Como resultado, las verdaderas amenazas se pierden en el ruido y otros trabajos importantes se dejan sin hacer, ya que los analistas de SOC pierden tiempo lidiando con detecciones de falsos positivos.

Con el paso a la nube, es probable que la infraestructura de seguridad de las empresas se vuelva más compleja, lo que hará que el volumen de alertas aumente aún más. Garantizar que la empresa sea capaz de mantener la visibilidad de la seguridad y protegerse contra las amenazas cibernéticas requiere un esfuerzo deliberado para gestionar los volúmenes de alertas. Al seleccionar una solución de seguridad integrada que utiliza inteligencia artificial y controles preventivos para minimizar las alertas de falsos positivos, una organización puede garantizar que los volúmenes de alertas sigan siendo manejables y que los esfuerzos de los analistas se centren donde puedan proporcionar el mayor beneficio a la empresa.

#13. Aproveche la inteligencia, la ciencia forense y la caza de amenazas en la nube

La mayoría de los controles de seguridad en la nube son protectores y detectivos, diseñados para ayudar a prevenir las amenazas o para detectarlas una vez que entran en la red. Sin embargo, estos controles proporcionan una protección imperfecta y también deben aumentarse con una seguridad más proactiva.

Tanto la seguridad en la nube reactiva como la proactiva requieren acceso a información de alta calidad sobre las amenazas y la capacidad de responder a ellas en tiempo real. Por esta razón, la alimentación de inteligencia sobre amenazas y la automatización son componentes esenciales de una estrategia de seguridad en la nube. Los sistemas automatizados de detección y respuesta ante amenazas pueden ingerir datos de registro e inteligencia sobre amenazas y tomar medidas para prevenir, remediar o poner en cuarentena las amenazas potenciales para la organización.

La inteligencia sobre amenazas y la automatización también apoyan los esfuerzos de seguridad proactivos e impulsados por el hombre, como la caza de amenazas y las investigaciones forenses. La capacidad de recopilar y procesar automáticamente datos de todo el entorno de TI proporciona un contexto valioso a los cazadores e investigadores de amenazas y permite una detección y respuesta de amenazas más rápidas, escalables y sostenibles.

Conseguir seguridad en la nube con Check Point

Antes de que una organización pueda diseñar una estrategia eficaz de seguridad en la nube, debe saber qué intervalo de seguridad necesita cubrir. Un buen punto de partida es Check Point's Cloud Security Checkup, una herramienta de evaluación autoguiada de la seguridad en la nube. Basándose en los resultados de esta evaluación y en una revisión de Check Point's seguridad en la nube Blueprint, una empresa puede empezar a desarrollar una estrategia para asegurar sus recursos en la nube.

Una parte vital de esta estrategia es una solución de seguridad capaz de satisfacer las necesidades de seguridad únicas de la nube. Solicite una prueba gratuita de Check Point CloudGuard para ver cómo puede ayudarle a simplificar y agilizar la estrategia de seguridad en la nube de su organización.

Comenzar

Soluciones de seguridad en la nube

Administración de la Postura de Seguridad en la Nube 

Protección de carga de trabajo en la nube

Seguridad de Red en la Nube

Seguridad de aplicaciones

Inteligencia de la seguridad de la nube

Temas relacionados

¿Qué es la seguridad en la nube?

Los mayores retos de la seguridad en la nube en 2021

AppSec: amenazas, herramientas y técnicas

¿Qué es DevSecOps?

What is Shift Left? 

Servicios en la nube: la guía completa

x
  Comentarios
Este sitio web utiliza cookies para optimizar su funcionalidad y para fines de análisis y marketing.Al seguir usando este sitio web, usted acepta el uso de cookies.Para obtener más información, lea nuestro Aviso de cookies.
Aceptar