El Cloud Computing (la nube) presenta muchos problemas y desafíos de seguridad únicos. En la nube, los datos se almacenan con un proveedor externo y se accede a ellos a través de Internet. Esto significa que la visibilidad y el control sobre esos datos son limitados. También plantea la cuestión de cómo se puede asegurar correctamente toda la información que se encuentra en el cloud. Es imperativo comprender los problemas más frecuentes y comunes de seguridad en el Cloud Computing.
Los proveedores de servicios de Cloud Computing tratan los problemas y riesgos de seguridad en la nube como una responsabilidad compartida. En este modelo, el proveedor de servicios en la nube cubre la seguridad de la propia nube y el cliente cubre la seguridad de lo que pone en ella. En todos los servicios en la nube, desde software como servicio (SaaS) como Microsoft Office 365 o el CRM de Salesforce hasta infraestructura como servicio (IaaS) como Amazon Web Services (AWS) o Microsoft Azure, el cliente del Cloud Computing siempre es responsable de proteger sus datos de las amenazas a la seguridad y controlando el acceso a la misma.
Los 10 principales problemas de seguridad en la nube de «Software as a Service» (SaaS)
- Falta de visibilidad de los datos que se encuentran dentro de las aplicaciones en la nube.
- Robo de datos de una aplicación en la nube por parte de un actor malintencionado.
- Control incompleto sobre quién puede acceder a datos confidenciales.
- Incapacidad para monitorear datos en tránsito hacia y desde aplicaciones en la nube.
- Las aplicaciones en la nube se aprovisionan fuera de la visibilidad de TI.
- Falta de personal con las habilidades para administrar la seguridad de las aplicaciones en la nube.
- Incapacidad para prevenir el robo malicioso de información privilegiada o el uso indebido de datos.
- Amenazas y ataques avanzados contra el proveedor de aplicaciones en la nube.
- Incapacidad para evaluar la seguridad de las operaciones del proveedor de aplicaciones en la nube.
- Incapacidad para mantener el cumplimiento normativo.
Los problemas de seguridad en la nube de SaaS se centran naturalmente en los datos y el acceso porque la mayoría de los modelos de responsabilidad de seguridad compartida dejan esos dos como responsabilidad exclusiva de los clientes de SaaS. Es responsabilidad de cada organización comprender qué datos colocan en la nube, quién puede acceder a ellos y qué nivel de protección ha aplicado el proveedor del Cloud Computing.
También es importante considerar el papel del proveedor de SaaS para proteger tu organización y tus datos, asegúrate de examinar los programas de seguridad del proveedor de la nube. Establezca la expectativa de contar con auditorías de terceros predecibles con informes compartidos e insista en los términos de los informes de incumplimiento para complementar las soluciones tecnológicas.
Los 10 principales problemas de seguridad en la nube de «Infrastructure as a Service» (IaaS)
- Cargas de trabajo en la nube y cuentas que se crean fuera de la visibilidad de TI.
- Control incompleto sobre quién puede acceder a datos confidenciales.
- Robo de datos alojados en la infraestructura de la nube por parte de un actor malintencionado.
- Falta de personal con las habilidades necesarias para proteger la infraestructura en la nube.
- Falta de visibilidad de los datos que hay en la nube.
- Incapacidad para prevenir el robo malicioso de información privilegiada o el uso indebido de datos.
- Falta de controles de seguridad consistentes en entornos locales y de múltiples nubes.
- Amenazas y ataques avanzados contra la infraestructura de la nube.
- Incapacidad para monitorear sistemas y aplicaciones de carga de trabajo en la nube para detectar vulnerabilidades.
- Propagación lateral de un ataque de una carga de trabajo en la nube a otra.
La protección de los datos es fundamental en IaaS. A medida que la responsabilidad del cliente se extiende a las aplicaciones, el tráfico de red y los sistemas operativos, se introducen amenazas adicionales. Las organizaciones deben considerar la evolución reciente de los ataques que se extienden más allá de los datos como el centro del riesgo de IaaS. Los actores maliciosos están llevando a cabo adquisiciones hostiles de recursos informáticos para minar criptomonedas y están reutilizando esos recursos como un vector de ataque contra otros elementos de la infraestructura empresarial y terceros.
Al construir una infraestructura en la nube, es importante evaluar su capacidad para prevenir robos y controlar el acceso. Determinar quién puede ingresar datos en la nube, rastrear modificaciones de recursos, fortalecer las herramientas de orquestación y agregar análisis de red del tráfico, todo esto como una señal del compromiso hacia la seguridad que se están convirtiendo rápidamente en medidas estándar en protección de las implementaciones de infraestructura en la nube a escala.
Los 5 principales problemas de seguridad de la nube privada
- Falta de controles de seguridad consistentes que abarquen el servidor tradicional y las infraestructuras de nube privada virtualizada.
- Mayor complejidad de la infraestructura que resulta en más tiempo y esfuerzo para la implementación y el mantenimiento.
- Falta de personal con habilidades para administrar la seguridad de un centro de datos definido por software.
- Visibilidad incompleta sobre la seguridad para un centro de datos definido por software.
- Amenazas y ataques avanzados.
Un factor importante en el proceso de toma de decisiones para asignar recursos a una nube pública frente a una privada es el control robusto disponible en los entornos de nube privada. En las nubes privadas, los niveles adicionales de control y la protección complementaria pueden compensar otras limitaciones de las implementaciones de la nube privada y pueden contribuir a una transición práctica desde los centros de datos monolíticos basados en servidores.
Al mismo tiempo, las organizaciones deben considerar que mantener un control ajustado crea complejidad, al menos más allá de lo que se ha convertido en la nube pública. Actualmente, los proveedores de la nube asumen gran parte del esfuerzo para mantener la infraestructura ellos mismos. Los usuarios de la nube pueden simplificar la gestión de la seguridad y reducir la complejidad mediante la abstracción de los controles. Esto unifica las plataformas de nube pública y privada por encima y a través de entornos físicos, virtuales e híbridos.
Cómo evitar o reducir los problemas comunes de seguridad del Cloud Computing
Lo más seguro es que tu organización está utilizando servicios en la nube, incluso si esos servicios en la nube no son parte de una estrategia principal para tu tecnología de la información (TI). Para mitigar los riesgos de seguridad del Cloud Computing, existen tres mejores prácticas en las que todas las organizaciones deben trabajar:
- Procesos de DevSecOps: Se ha demostrado repetidamente que DevOps y DevSecOps mejoran la calidad del código y reducen los exploits y vulnerabilidades, también aumentan la velocidad del desarrollo de aplicaciones y la implementación de funciones. La integración de los procesos de desarrollo, control de calidad y seguridad dentro de la unidad de negocio o el equipo de aplicaciones, en lugar de depender de un equipo de verificación de seguridad independiente, es fundamental para operar a la velocidad que exige el entorno empresarial actual.
- Implementación automatizada de aplicaciones y herramientas de administración: La escasez de habilidades de seguridad, combinada con el volumen y el ritmo crecientes de las amenazas de seguridad, significa que incluso el profesional de seguridad más experimentado no puede mantenerse al día. La automatización que elimina las tareas mundanas y aumenta las ventajas humanas con las ventajas de las máquinas es un componente fundamental de las operaciones de TI modernas.
- Seguridad unificada con administración centralizada de todos los servicios y proveedores: Ningún producto o proveedor puede entregar todo, pero las múltiples herramientas de administración facilitan que algo se escape. Un sistema de gestión unificado con una estructura de integración abierta reduce la complejidad al unir las piezas y optimizar los flujos de trabajo.