¿En qué se distingue la seguridad de la nube?

La seguridad de la nube es la protección de los datos, las aplicaciones y las infraestructuras relacionados con los servicios de nube y el cloud computing. Muchos aspectos de la seguridad de los entornos de nube, ya sea pública, privada o híbrida, son los mismos que los de cualquier arquitectura local de TI.

Los problemas de seguridad de alto nivel con respecto a la tecnología de la información (TI), como la exposición o la filtración de datos no autorizada, los controles de acceso vulnerables, la propensión a los ataques y las interrupciones de la disponibilidad, afectan a los sistemas tradicionales de TI y de nube por igual. Al igual que en cualquier entorno informático, la seguridad de la nube implica mantener una protección preventiva adecuada que le permita lo siguiente:

• Tener la certeza de que los datos y los sistemas están protegidos.
• Ver el estado actual de la seguridad.
• Saber inmediatamente si sucede algo inusual.
• Hacer un seguimiento y responder ante eventos inesperados.

Si bien muchas personas comprenden los beneficios de los entornos de cloud computing, tienen miedo de implementarlo debido a los posibles problemas de seguridad. Lo comprendemos. Es difícil pensar en algo que se encuentra entre los recursos abstractos que se envían por Internet y los servidores físicos. Se trata de un entorno dinámico donde todo cambia constantemente, incluso las amenazas de seguridad. La cuestión es que, en su mayor parte, la seguridad de la nube es la seguridad de la TI. Una vez que entienda las diferencias específicas, la palabra "nube" no generará tanta inseguridad.

Eliminación de los perímetros

La seguridad está muy relacionada con el control de acceso. En los entornos tradicionales, el acceso suele controlarse mediante modelos de seguridad del perímetro. Los entornos de nube se encuentran estrechamente conectados, lo cual permite que el tráfico evite las medidas de defensa tradicionales del perímetro. Las interfaces de programación de aplicaciones (API) que no son seguras, la gestión deficiente de la identidad y las credenciales, los piratas informáticos y los infiltrados maliciosos pueden representar amenazas para el sistema y los datos. Para evitar el acceso no autorizado a la nube y los puntos vulnerables, se debe adoptar un enfoque centrado en los datos. Cifre los datos. Fortalezca el proceso de autorización. Exija contraseñas sólidas y autenticación de doble factor. Incorpore medidas de seguridad de la red en todos los niveles.

Ahora todo está en el software

La palabra "nube" hace referencia a los recursos alojados que llegan al usuario a través del software. Las infraestructuras de cloud computing y todos los datos que se procesan son dinámicos, se pueden ampliar y son portátiles. Los controles de seguridad de la nube deben responder ante los cambios en el entorno y acompañar las cargas de trabajo y los datos en reposo y en tránsito, ya sea como partes inherentes de las cargas de trabajo (como ocurre con el cifrado) o de forma dinámica a través de un sistema de gestión de la nube y las API. Esto permite proteger y asegurar los entornos de nube de la corrupción del sistema y las filtraciones de datos.

Entorno de amenazas sofisticadas

Las amenazas sofisticadas son todo aquello que impacta de forma negativa en la informática moderna que, sin duda, incluye las nubes. Los sistemas malware que son cada vez más sofisticados y los demás ataques, como las amenazas persistentes avanzadas (APT), están diseñados para evadir las defensas de la red aprovechando los puntos vulnerables de la stack informática. Las filtraciones de datos pueden dar lugar a la divulgación no autorizada de la información y la alteración o la pérdida de los datos. No hay una solución clara para estas amenazas, pero es su responsabilidad estar al tanto de las prácticas de seguridad de la nube en constante evolución para mantenerse al día con las nuevas amenazas.

Independientemente del tipo de implementación de nube que utilice, usted debe encargarse de la seguridad de su propio espacio en la nube. Usar una nube que mantiene otra persona no significa que pueda, ni deba, sentarse y relajarse. La falta de la diligencia correspondiente es la principal causa de las fallas en la seguridad. La seguridad de la nube es responsabilidad de todos, e incluye tomar las siguientes medidas:

Usar software confiable

Lo que está adentro de la nube es importante. Es importante conocer de dónde provienen los paquetes originalmente, quién los diseñó y si hay algún código malicioso en ellos, al igual que con cualquier otro código que se descarga de una fuente externa. Obtenga los sistemas de software de fuentes conocidas y confiables y asegúrese de que cuenta con los mecanismos adecuados para proporcionar e instalar las actualizaciones cuando sea oportuno.

Comprender el cumplimiento normativo

Los datos personales y financieros, y demás información confidencial en la nube, pueden estar sujetos a normas estrictas de cumplimiento. Las leyes varían en función del lugar donde desarrolle su actividad y con quién trabaje. Por ejemplo, consulte el Reglamento General de Protección de Datos (GDPR) de la Unión Europea. Verifique cuáles son sus requisitos de cumplimiento antes de elegir la implementación de la nube.

Administrar los ciclos de vida

Los entornos originales de la nube facilitan la creación de las instancias nuevas y permiten dejar de lado las anteriores. Las instancias olvidadas pueden convertirse en zombis de la nube; es decir, pueden estar activas, pero sin supervisión. Por eso pueden desactualizarse rápidamente, lo cual implica que no se instalarán los parches de seguridad. La gestión del ciclo de vida y las políticas de control permiten abordar este problema.

Considerar la portabilidad

Debe preguntarse si es posible trasladar fácilmente sus cargas de trabajo a otra nube. Los acuerdos de nivel de servicio (SLA) deben definir claramente cuándo y cómo el proveedor de la nube devuelve los datos o las aplicaciones del cliente. Incluso si no prevé trasladar ningún elemento en la actualidad, es muy probable que lo haga más adelante. Garantice la portabilidad ahora para evitar problemas en el futuro.

Supervisar los entornos constantemente

Si supervisa sus espacios de trabajo, podrá evitar los fallos de seguridad, o al menos disminuir sus consecuencias.

Elegir el proveedor de nube adecuado

Contrate y asóciese a personas calificadas y confiables que entiendan las complejidades de la seguridad y los servicios de la nube. A veces, la infraestructura de nube pública puede ser más segura que la nube privada de una empresa específica, porque el proveedor tiene un equipo de seguridad mejor preparado y más capacitado.

De acuerdo. Analicemos esta pregunta. Podríamos detallar todas las diferencias de seguridad que hay entre los tres tipos de implementación de nube: pública, privada e híbrida, pero sabemos que solo le interesa descubrir si las nubes públicas son seguras. Y la respuesta es esta: depende.

Las nubes públicas, por ejemplo, Amazon Web Services (AWS), Microsoft Azure y Google, son seguras para muchos tipos de cargas de trabajo, pero no lo son para todos debido a que, en gran parte, carecen del aislamiento propio de las nubes privadas. Las nubes públicas admiten la arquitectura multiempresa, lo cual significa que varias empresas alquilan la potencia informática (o el espacio de almacenamiento) del centro de datos del proveedor de servicios de nube. Cada empresa firma un acuerdo de nivel de servicio (SLA) con el proveedor de la nube en el que se registra la responsabilidad de cada una. Es muy parecido a arrendar un espacio físico a un propietario. El propietario (el proveedor de la nube) se compromete a realizar el mantenimiento del inmueble (la infraestructura de la nube), conservar las llaves (el acceso) y, en general, no estorbar al inquilino (la privacidad). A cambio, el inquilino acuerda no hacer nada que pudiera afectar la integridad del inmueble o molestar a los demás inquilinos (p. ej., ejecutar aplicaciones que no son seguras). Pero no se puede elegir a los vecinos, y es posible que alguno de ellos permita el acceso a algún sistema malicioso. Mientras el equipo de seguridad de la infraestructura del proveedor de la nube controla si se producen eventos inusuales, puede haber amenazas agresivas o imperceptibles, como los ataques de denegación distribuida de servicios (DDoS), que afecten a otras empresas.

Afortunadamente, hay algunos estándares de seguridad, normativas y marcos de control aceptados en el sector, como la Cloud Controls Matrix de la Cloud Security Alliance. También puede optar por el aislamiento en un entorno de arquitectura multiempresa implementando herramientas de seguridad adicionales (como el cifrado y las técnicas de reducción de los DDoS), que protegen las cargas de trabajo de una infraestructura comprometida. Si eso no es suficiente, puede lanzar agentes de seguridad de acceso a la nube para supervisar la actividad y aplicar las políticas de seguridad para las funciones empresariales de bajo riesgo. Sin embargo, es posible que todo esto no sea suficiente para los sectores que operan bajo normas de estricta privacidad, seguridad y cumplimiento.

DevSecOps combina las prácticas de DevOps con las estrategias de seguridad para que las empresas puedan mejorar la protección de la TI y reducir los riesgos en los entornos de software. Las tecnologías desarrolladas en la nube, como Kubernetes, los contenedores, los microservicios y las mallas de servicios, se han vuelto muy populares porque brindan la base necesaria para que las empresas diseñen, implementen y ejecuten aplicaciones en la nube de manera más dinámica, confiable y en mayor medida de lo que era posible anteriormente. 

Debido a los cambios que introdujeron las tecnologías desarrolladas en la nube, las empresas deben llevar su seguridad hacia un modelo de DevSecOps. Esto significa que los equipos de seguridad e ingeniería deben trabajar juntos para desarrollar estrategias que ayuden a sus empresas a diseñar y ejecutar aplicaciones modernas y flexibles, con prácticas de shift left  que tomen medidas de seguridad desde las primeras etapas del desarrollo del software y flujos de trabajo que implementen la seguridad como código.

Las decisiones de seguridad están muy relacionadas con la tolerancia a los riesgos y con el análisis de los costos y los beneficios. ¿Cuál es el impacto de los posibles riesgos y beneficios en el funcionamiento general de su empresa? ¿Qué es lo más importante? No todas las cargas de trabajo exigen el nivel más alto de cifrado y seguridad. Considérelo de esta manera: si bien al cerrar su casa con llave mantiene todas sus pertenencias relativamente seguras, aun así guarda sus cosas más valiosas en una caja fuerte. Es bueno tener diferentes opciones.

Por eso cada vez más empresas adoptan las nubes híbridas, que ofrecen lo mejor de cada nube. La nube híbrida es una combinación de dos o más entornos interconectados de nubes públicas o privadas.

Las nubes híbridas permiten elegir dónde colocar las cargas de trabajo y los datos según los requisitos de cumplimiento, auditoría, política o seguridad. De esta manera, se protegen las cargas de trabajo que involucran información confidencial en una nube privada, y se ejecutan las cargas de trabajo menos confidenciales en la nube pública. Hay algunos desafíos en cuanto a la seguridad que son particulares de la nube híbrida, como la migración de los datos, el aumento de la complejidad y una superficie de ataque mayor; pero la presencia de varios entornos puede constituir una de las defensas más fuertes contra estos riesgos.