Asegurar el entorno de cloud híbrido de una empresa no es nada sencillo. Un analista de SANS explica por qué y cómo mejorar la seguridad en la interfaz de nube público-privada.
La diferencia entre nube híbrida, nube pública y nube privadaLa cuestión más importante en la empresa de hoy en día es a menudo qué tipo de nube se va a ejecutar: pública, privada o híbrida. Sin embargo, las distinciones pueden ser poco claras, así que vamos a definirlas.
Las organizaciones públicas y privadas han determinado que trasladar los datos y las plataformas de software a la nube no es una propuesta de todo o nada. Los departamentos de TI están aprendiendo a ejecutar una combinación de servicios de cloud privada local y servicios de cloud pública de terceros. La creación de una plataforma de nube híbrida permite que las cargas de trabajo se muevan entre nubes privadas y públicas a medida que cambian las necesidades informáticas y los costes, lo que proporciona a las empresas una mayor flexibilidad y más opciones de implementación de datos.
VER: Glosario rápido: Nube híbrida (Tech Pro Research)
Nube que hay que leer
Hay ventajas y desventajas en las nubes híbridas. La comodidad y la adaptabilidad que ofrecen los usuarios de la tecnología de nube híbrida tiene un coste: Los equipos de seguridad deben proteger los datos de la empresa y, en muchos casos, los procesos patentados en múltiples entornos. Dave Shackleford, consultor principal de Voodoo Security y analista de SANS, decidió abordar estas preocupaciones en el libro blanco de SANS Securing the Hybrid Cloud: Herramientas y estrategias tradicionales vs. nuevas.
«A medida que más organizaciones adoptan un modelo de nube híbrida, necesitarán adaptar sus controles y procesos de seguridad internos a los entornos de proveedores de servicios de nube pública», escribe Shackleford. «Para empezar, las prácticas de evaluación y análisis de riesgos deben ser actualizadas para revisar continuamente los ítems listados en la Figura 1.» Estos artículos se enumeran a continuación.
- Controles de seguridad, capacidades y estado de cumplimiento de normativas de los proveedores de cloud computing
- Herramientas y plataformas internas de desarrollo y orquestación
- Herramientas de gestión y supervisión de operaciones
- Herramientas y controles de seguridad tanto internos como en la nube
El jurado sigue deliberando sobre quién es el responsable final de la seguridad en la nube. Shackleford defiende la necesidad de que los proveedores de servicios cloud y sus clientes compartan la responsabilidad. En cuanto al cliente, Shackleford cree que su equipo de seguridad debe tener:
- Una buena comprensión de los controles de seguridad actualmente en uso; y
- Una comprensión aún mejor de los controles de seguridad que tendrán que modificar para operar con éxito en un entorno de nube híbrida.
En cuanto a por qué, explica Shackleford, «está casi garantizado que algunos controles de seguridad no funcionarán de la forma en que lo hacían internamente o que no estarán disponibles en entornos de proveedores de servicios en nube».
Los profesionales de TI de los procesos internos deben comprobar
Shackleford sugiere examinar los siguientes procesos internos.
Evaluación de la configuración: Shackleford dice que las siguientes configuraciones son especialmente importantes cuando se trata de seguridad:
- Versión del sistema operativo y nivel de parche
- Usuarios y grupos locales
- Permisos sobre archivos de claves
- Servicios de red reforzados que se están ejecutando
Exploración de vulnerabilidades: Shackleford aconseja que los sistemas deben ser escaneados de forma continua, con informes de cualquier vulnerabilidad observada durante el ciclo de vida de la instancia. En cuanto al escaneo y evaluación de cualquier hallazgo, Shackleford señala que uno de los siguientes métodos se utiliza típicamente en situaciones de nubes híbridas.
- Algunos proveedores de escáneres de vulnerabilidades tradicionales han adaptado sus productos para que funcionen en entornos de proveedores de cloud computing, confiando a menudo en las API para evitar las solicitudes manuales de realizar análisis más intrusivos de forma programada o ad hoc.
- Confiar en agentes basados en host que pueden escanear sus respectivas máquinas virtuales continuamente.
Monitoreo de seguridad: Los entornos de nube híbrida casi siempre existen en servidores multiusuario virtualizados, lo que dificulta la monitorización de los ataques por cliente. «La monitorización de la infraestructura virtual tiene lugar en uno de varios lugares: el VM/contenedor, el conmutador virtual, el hipervisor o la red física», escribe Shackleford. «En casi todos los entornos de nube, el único lugar en el que podemos realmente aprovechar es el VM/contenedor o la red definida por software que ofrece el proveedor de nube».
«Las consideraciones sobre cómo diseñar las herramientas de monitorización incluyen el ancho de banda de la red, las conexiones dedicadas establecidas y los métodos de agregación/análisis de datos», continúa Shackleford. «Los registros y eventos generados por servicios, aplicaciones y sistemas operativos dentro de las instancias de la nube deben ser recogidos automáticamente y enviados a una plataforma central de recogida.»
VER: Informe especial: El arte de la nube híbrida (PDF gratuito) (ConsejoTecnologico.com)
Con referencia al registro remoto automatizado, Shackleford cree que la mayoría de los equipos de seguridad ya están bien informados sobre cómo recopilar los registros apropiados, cómo enviarlos a servicios centrales de registro seguros o a plataformas de gestión de eventos basadas en la nube, y cómo monitorizarlos de cerca utilizando SIEM y/o herramientas de análisis.
Según Shackleford, el cielo es el límite de lo que se vigila. Él cree que lo siguiente debe tener prioridad:
- Inusuales inicios de sesión de usuarios o fallos de inicio de sesión
- Grandes importaciones o exportaciones de datos hacia y desde el entorno de la nube
- Actividades de usuarios privilegiados
- Cambios en las imágenes del sistema aprobadas
- Acceso y cambios en las claves de cifrado
- Cambios en las configuraciones de privilegios e identidades
- Cambios en las configuraciones de registro y monitoreo
- Proveedor de cloud computing e inteligencia de amenazas de terceros
Los silos y las soluciones puntuales son una preocupación
Todos nos hemos encerrado en un rincón con un servicio o producto. Por la misma razón, Shackleford recomienda encarecidamente que se eviten las opciones de un solo proveedor o las opciones nativas de la nube, que no ofrecen flexibilidad entre diferentes proveedores y entornos, a toda costa.
«Algunos productos de los proveedores funcionarán sólo en entornos específicos, y los servicios integrados de la mayoría de los proveedores de cloud computing funcionarán sólo en sus propias plataformas», explica. «Este tipo de silo puede provocar grandes dolores de cabeza cuando las necesidades del negocio llevan a las organizaciones a una estrategia multi-nube, lo que hace necesaria la revisión de los controles de seguridad que cumplen con los requisitos».
VER: ¿Qué es el cloud computing? Todo lo que necesita saber sobre la nube, explicado (ZDNet)
Seguridad Shift izquierda
Shackleford es un firme defensor de la seguridad de izquierda a derecha, un concepto simple que es difícil de implementar; la idea es acercar las consideraciones de seguridad a la etapa de desarrollo del producto. «En otras palabras, la seguridad está verdaderamente integrada con las prácticas e infraestructura de desarrollo y operaciones (una práctica a veces llamada SecDevOps o DevSecOps)», escribe Shackleford. «Los equipos de seguridad y desarrollo deben definir y publicar estándares organizativos de TI para una serie de áreas, incluyendo bibliotecas de aplicaciones y configuraciones de sistemas operativos aprobados para su uso.»
VER: Los equipos de DevSecOps protegen los activos basados en la nube: Por qué es clave la colaboración (ConsejoTecnologico.com)
Una última advertencia
Además de la diligencia debida normal, Shackleford sugiere formar una línea de base completando una revisión completa de todos los controles y procesos existentes antes de mover los datos y/o procesos a la nube pública. «Esto les dará la oportunidad de proteger adecuadamente los datos implicados, así como de buscar capacidades de seguridad equivalentes en entornos de nube pública», aconseja Shackleford. «Busque herramientas que puedan ayudarle a gestionar tanto los activos internos como los de la nube en un solo lugar, ya que los equipos de seguridad y operaciones suelen estar demasiado dispersos para gestionar múltiples herramientas de gestión y monitorización en uno o más entornos de proveedores de nube».
Boletín informativo de consejotecnologico.com
Refuerce las defensas de seguridad de TI de su organización manteniéndose al día de las últimas noticias, soluciones y mejores prácticas en materia de ciberseguridad.
Entregado los martes y jueves