¿Qué es la seguridad en la nube?

La computación en la nube es la entrega de servicios alojados, incluidos software, hardware y almacenamiento, a través de Internet. Los beneficios de la implementación rápida, la flexibilidad, los bajos costos iniciales y la escalabilidad han hecho que la computación en la nube sea prácticamente universal entre organizaciones de todos los tamaños, a menudo como parte de una arquitectura de infraestructura híbrida / multinube.

La seguridad en la nube se refiere a las tecnologías, políticas, controles y servicios que protegen los datos, las aplicaciones y la infraestructura de la nube de las amenazas.

¿Qué es la seguridad en la nube?

La seguridad en la nube es una responsabilidad compartida

La seguridad en la nube es una responsabilidad que se comparte entre el proveedor de la nube y el cliente. Existen básicamente tres categorías de responsabilidades en el modelo de responsabilidad compartida: responsabilidades que son siempre del proveedor, responsabilidades que son siempre del cliente y responsabilidades que varían según el modelo de servicio: infraestructura como servicio (IaaS), plataforma como servicio (PaaS) o software como servicio (SaaS), por ejemplo, correo electrónico en la nube.

 

Las responsabilidades de seguridad que son siempre del proveedor se relacionan con la protección de la infraestructura en sí, así como con el acceso a los parches y la configuración de los hosts físicos y la red física en la que se ejecutan las instancias de computación y se alojan el almacenamiento y otros recursos.

 

Las responsabilidades de seguridad que son siempre del cliente incluyen la gestión de usuarios y sus privilegios de acceso (identidad y gestión de acceso), la protección de cuentas en la nube contra el acceso no autorizado, el cifrado y la protección de activos de datos en la nube y la gestión de la postura de seguridad (cumplimiento).

Los siete desafíos principales de la seguridad avanzada en la nube

Como la nube pública no cuenta con perímetros claros, presenta una realidad de seguridad fundamentalmente diferente. Se vuelve aún más desafiante cuando se adoptan enfoques modernos en la nube, como métodos automatizados de integración continua e implementación continua (CI/CD), arquitecturas distribuidas sin servidor y activos efímeros, como funciones como servicio y contenedores.

Entre algunos de los desafíos avanzados de seguridad nativa en la nube y las múltiples capas de riesgo que enfrentan las organizaciones orientadas a la nube de hoy se incluyen los siguientes:

 

1.    Mayor superficie de ataque

El entorno de la nube pública se ha convertido en una superficie de ataque grande y muy atractiva para los hackers que explotan puertos de entrada en la nube con poca seguridad para acceder y perturbar las cargas de trabajo y los datos en la nube. Malware, Zero-Day, Account Takeover y muchas otras amenazas maliciosas se han convertido en una realidad cotidiana.

2.    Falta de visibilidad y seguimiento

En el modelo de IaaS, los proveedores de la nube tienen control total sobre el nivel de infraestructura y no la exponen a sus clientes. La falta de visibilidad y control se extiende aún más en los modelos de nube de PaaS y SaaS. Con frecuencia, los clientes de la nube no pueden identificar ni cuantificar de manera eficaz sus activos en la nube o visualizar sus entornos en la nube.

 

3.    Cargas de trabajo siempre cambiantes

Los activos de la nube se aprovisionan y se retiran dinámicamente, a escala y a velocidad. Las herramientas de seguridad tradicionales son simplemente incapaces de aplicar políticas de protección en un entorno tan flexible y dinámico con cargas de trabajo efímeras y en constante cambio.

 

4.    DevOps, DevSecOps y automatización

Las organizaciones que han adoptado la cultura DevOps altamente automatizada de CI/CD deben garantizar que los controles de seguridad apropiados se identifiquen e incorporen en el código y en las plantillas al inicio del ciclo de desarrollo. Los cambios relacionados con la seguridad implementados después de que se haya desplegado una carga de trabajo en la producción pueden socavar la postura de seguridad de la organización y prolongar el tiempo de comercialización.

 

5.    Privilegio granular y administración clave

Con frecuencia, los roles de usuario de la nube se configuran de manera muy flexible y, de este modo, otorgan amplios privilegios más allá de lo que se pretende o se requiere. Un ejemplo común es otorgar permisos de borrado o escritura de la base de datos a usuarios sin capacitación o que no tienen necesidad comercial de borrar o agregar activos de la base datos. En el nivel de aplicación, las claves y los privilegios mal configurados exponen las sesiones a riesgos de seguridad.

 

6.    Entornos complejos

Gestionar la seguridad de forma coherente en los entornos híbridos y multinube que favorecen las empresas en la actualidad requiere métodos y herramientas que funcionen a la perfección enlos proveedores de la nube pública, los proveedores de nube privada y en las instalaciones de los establecimientos, lo que incluye la protección periférica de sucursales para organizaciones que se distribuyen geográficamente.

 

7.    Cumplimiento y administración en la nube

Todos los proveedores líderes de la nube se han alineado con la mayoría de los programas de acreditación conocidos, como PCI 3.2, NIST 800-53, HIPAA y RGPD. Sin embargo, los clientes son responsables de garantizar que su carga de trabajo y sus procesos de datos sean compatibles. Dada la poca visibilidad y dinámica del entorno de la nube, el proceso de auditoría de cumplimiento parece una misión imposible, a menos que se utilicen herramientas para realizar verificaciones constantes del cumplimiento y emitir alertas en tiempo real sobre las configuraciones erróneas.

Zero Trust y porqué deberías implementarlo

El término Zero Trust se utilizó por primera vez en 2010 por John Kindervag que, en ese momento, era analista sénior de Forrester Research. El principio básico de Zero Trust en la seguridad en la nube implica no confiar automáticamente en nadie ni en nada dentro de la red o fuera de esta, y verificar (es decir, autorizar, inspeccionar y asegurar) todo.

 

Zero Trust, por ejemplo, promueve una estrategia de gobernanza con privilegios mínimos mediante la cual los usuarios solo tienen acceso a los recursos que necesitan para realizar sus tareas. De manera similar, se recurre a los desarrolladores para garantizar que las aplicaciones orientadas a la web estén protegidas de manera adecuada.  Por ejemplo, si el desarrollador no ha bloqueado los puertos de manera consistente o no ha implementado los permisos según sea necesario, un hacker que se adueñe de la aplicación tendrá privilegios para recuperar y modificar datos de la base de datos.

 

Además, las redes Zero Trust utilizan microsegmentación para lograr que la seguridad de la red en la nube sea mucho más granular. La microsegmentación crea zonas seguras en centros de datos e implementaciones en la nube y, de este modo, segmenta las cargas de trabajo entre sí, asegura todo dentro de la zona y aplica políticas para proteger el tráfico entre zonas.

Los seis pilares de una seguridad sólida en la nube

Mientras que los proveedores de la nube, como Amazon Web Services (AWS), Microsoft Azure (Azure) y Google Cloud Platform (GCP), ofrecen muchas características y servicios de seguridad nativos de la nube, las soluciones complementarias de terceros son fundamentales para lograr una protección de carga de trabajo en la nube a nivel empresarial contra las vulnerabilidades, las filtraciones de datos y los ataques dirigidos en el entorno de la nube. Solo una stack integrado de seguridad nativa de la nube y de terceros proporciona la visibilidad centralizada y el control granular basado en políticas que se necesitan para ofrecer las siguientes prácticas recomendadas de la industria:

 

1.    IAM granular basada en políticas y controles de autenticación en infraestructuras complejas

Trabaje con grupos y roles en lugar de hacerlo en el nivel de la administración de identidades y acceso (IAM) individual a fin de facilitar la actualización de las definiciones de la IAM a medida que cambian los requisitos de la empresa. Otorgue solo los privilegios de acceso mínimos a activos y API que son fundamentales para que un grupo o rol lleve a cabo sus tareas. Cuanto más amplios sean los privilegios, mayores serán los niveles de autenticación. Además, para evitar descuidar la buena limpieza de la IAM, aplique políticas de contraseñas seguras, tiempo de espera de permisos, etc.

 

2.    Controles de seguridad de red en la nube de Zero Trust en redes y microsegmentos lógicamente aislados

Implemente aplicaciones y recursos fundamentales para la empresa en secciones lógicamente aisladas de la red en la nube del proveedor, como nubes privadas virtuales (AWS y Google) o vNET (Azure). Utilice subredes para microsegmentar las cargas de trabajo entre sí, con políticas de seguridad granular en las puertas de enlace de las subredes. Utilice enlaces WAN dedicados en arquitecturas híbridas y configuraciones de enrutamiento estático que defina el usuario para personalizar el acceso a los dispositivos virtuales, las redes virtuales y sus puertas de enlace, y las direcciones IP públicas.

 

3.    Aplicación de políticas y procesos de protección de servidores virtuales, como gestión de cambios y actualizaciones de software

Los proveedores de seguridad en la nube proporcionan una sólida gestión de la postura de seguridad en la nube: aplicando de manera consistente reglas y plantillas de gobierno y cumplimiento al aprovizionar servidores virtuales, auditando las desviaciones de configuración y corriguendo automáticamente cuando es posible.

 

4.    Protección de todas las aplicaciones (en especial las aplicaciones distribuidas y nativas de la nube) con un firewall de aplicación web de última generación

De esta manera, se inspeccionará y controlará detalladamente el tráfico hacia los servidores de aplicaciones web y, desde estos, se actualizarán automáticamente las reglas WAF en respuesta a los cambios de comportamiento del tráfico y se implementará más cerca de los microservicios que ejecutan cargas de trabajo.

 

5.    Mejora de la protección de datos

Mejora de la protección de datos con cifrado en todos los niveles de transporte, comunicaciones y recursos compartidos de archivos seguros, gestión constante de riesgos de cumplimiento y mantenimiento de una buena limpieza de los recursos de almacenamiento de datos, como la detección de cubos mal configurados y la eliminación de recursos huérfanos.

 

6.    Inteligencia sobre amenazas que detecta y corrige amenazas conocidas y desconocidas en tiempo real

Los proveedores de seguridad en la nube de terceros brindan contexto a los flujos grandes y diversos de registros nativos de la nube mediante una referencia cruzada e inteligente de los datos de registro agregados con datos internos, como sistemas de gestión de activos y configuración, escáneres de vulnerabilidades, etc., y los datos externos, como fuentes de inteligencia sobre amenazas públicas, bases de datos de geolocalización, etc. También proporcionan herramientas que ayudan a visualizar y consultar el panorama de amenazas y promueven tiempos de respuesta a incidentes más rápidos. Se aplican algoritmos de detección de anomalías basados en IA para detectar amenazas desconocidas, que luego se someten a un análisis forense a fin de determinar su perfil de riesgo. Las alertas en tiempo real sobre intrusiones y violaciones de políticas reducen los tiempos de corrección y, en algunos casos, incluso se activan flujos de trabajo de corrección automática.

Obtenga más información sobre las soluciones CloudGuard de Check Point

La plataforma de seguridad en la nube CloudGuard unificada de Check Point se integra a la perfección con los servicios de seguridad nativos de la nube de los proveedores a fin de garantizar que los usuarios de la nube mantengan su parte del modelo de responsabilidad compartida y mantengan las políticas de Zero Trust en todos los pilares de la seguridad en la nube: control de acceso, seguridad de red, cumplimiento de servidores virtuales, protección de datos y carga de trabajo e inteligencia sobre amenazas.

La seguridad en la nube es una responsabilidad compartida

La seguridad de la nube es una responsabilidad compartida entre el proveedor de la nube y el cliente. Básicamente, existen tres categorías de responsabilidades en el Modelo de Responsabilidad Compartida: responsabilidades que son siempre del proveedor, responsabilidades que siempre son del cliente y responsabilidades que varían según el modelo de servicio: Infraestructura como Servicio (IaaS), Plataforma como Servicio ( PaaS) o software como servicio (SaaS), como el correo electrónico en la nube.

Las responsabilidades de seguridad que siempre son del proveedor están relacionadas con la protección de la propia infraestructura, así como con el acceso, el parcheo y la configuración de los hosts físicos y la red física en la que se ejecutan las instancias informáticas y residen el almacenamiento y otros recursos.

Las responsabilidades de seguridad que siempre son del cliente incluyen la gestión de usuarios y sus privilegios de acceso (gestión de identidad y acceso), la protección de las cuentas en la nube del acceso no autorizado, el cifrado y protección de los activos de datos basados ​​en la nube y la gestión de su postura de seguridad (cumplimiento). .

The Top 7 Advanced Cloud Security Challenges

Because the public cloud does not have clear perimeters, it presents a fundamentally different security reality. This becomes even more challenging when adopting modern cloud approaches such as automated Continuous Integration and Continuous Deployment (CI/CD) methods, distributed serverless architectures, and ephemeral assets like Functions as a Service and containers.

Some of the advanced cloud-native security challenges and the multiple layers of risk faced by today’s cloud-oriented organizations include:

  1. Increased Attack Surface

    The public cloud environment has become a large and highly attractive attack surface for hackers who exploit poorly secured cloud ingress ports in order to access and disrupt workloads and data in the cloud. Malware, Zero-Day, Account Takeover and many other malicious threats have become a day-to-day reality.

  2. Lack of Visibility and Tracking

    In the IaaS model, the cloud providers have full control over the infrastructure layer and do not expose it to their customers. The lack of visibility and control is further extended in the PaaS and SaaS cloud models. Cloud customers often cannot effectively identify and quantify their cloud assets or visualize their cloud environmets.

  3. Ever-Changing Workloads

    Cloud assets are provisioned and decommissioned dynamically—at scale and at velocity. Traditional security tools are simply incapable of enforcing protection policies in such a flexible and dynamic environment with its ever-changing and ephemeral workloads.

  4. DevOps, DevSecOps and Automation

    Organizations that have embraced the highly automated DevOps CI/CD culture must ensure that appropriate security controls are identified and embedded in code and templates early in the development cycle. Security-related changes implemented after a workload has been deployed in production can undermine the organization’s security posture as well as lengthen time to market.

  5. Granular Privilege and Key Management

    Often cloud user roles are configured very loosely, granting extensive privileges beyond what is intended or required. One common example is giving database delete or write permissions to untrained users or users who have no business need to delete or add database assets. At the application level, improperly configured keys and privileges expose sessions to security risks.

  6. Complex Environments

    Managing security in a consistent way in the hybrid and multicloud environments favored by enterprises these days requires methods and tools that work seamlessly across public cloud providers, private cloud providers, and on-premise deployments—including branch office edge protection for geographically distributed organizations.

  7. Cloud Compliance and Governance

    All the leading cloud providers have aligned themselves with most of the well-known accreditation programs such as PCI 3.2, NIST 800-53, HIPAA and GDPR. However, customers are responsible for ensuring that their workload and data processes are compliant. Given the poor visibility as well as the dynamics of the cloud environment, the compliance audit process becomes close to mission impossible unless tools are used to achieve continuous compliance checks and issue real-time alerts about misconfigurations.