La seguridad de la nube híbrida - Tienes la estrategia clave para protegerte Rberny 2021

La seguridad en la nube híbrida, ¿Tienes la estrategia clave para protegerte?

La seguridad de TI toma tiempo y necesita iteración, los encargados debemos ver el panorama completo de la seguridad y saber que siempre está cambiando, yo les recomiendo que no se ofusquen y se presionen para llegar a un estado de seguridad perfecta (que no existe), concéntrese en colocar un pie delante del otro y tomar acciones razonables y bien pensadas para hacerlo más seguro hoy de lo que estaba, el día de ayer y documentarse.

En resumen les comento que la seguridad de la nube híbrida es la protección de los datos, las aplicaciones y la infraestructura asociados con una arquitectura de TI que incorpora cierto grado de portabilidad, organización y administración de cargas de trabajo en múltiples entornos de TI, incluida al menos un entorno en la nube, pública o privada.

Por lo regular, las nubes híbridas ofrecen la oportunidad de reducir la exposición potencial de sus datos, por sus características y desde luego puede mantener los datos confidenciales o críticos fuera de la nube pública y, al mismo tiempo, aprovechar la nube para los datos que no tienen los mismos tipos de riesgo asociados.

“En la práctica puedes observar en esencia, que la nube híbrida ofrece lo mejor de ambos mundos, una es la personalización y la otra es su flexibilidad del centro de datos junto con la conveniencia de la nube pública”

Sin duda, esta adaptabilidad es lo que lo hace atractivo para las empresas y muchas ya están en vías de trasladado migrándose a la infraestructura de nube híbrida.

Mucho se han de preguntar, ¿Por qué elegir la nube híbrida?

En este contexto, para una seguridad mejorada las nubes híbridas permiten a las empresas elegir dónde colocar las cargas de trabajo y los datos según los requisitos de cumplimiento, auditoría, políticas o seguridad.

Es evidente que los diversos entornos que componen una nube híbrida siguen siendo entidades únicas y separadas, sin embargo, la migración entre ellos se ve facilitada por contenedores o interfaces de programación de aplicaciones (API) cifradas que ayudan a transmitir recursos y cargas de trabajo.

Es una gran ventaja esta arquitectura separada, pero conectada, es lo que permite a las empresas ejecutar cargas de trabajo críticas en la nube privada y cargas de trabajo menos sensibles en la nube pública, te vuelves más ágil, es una forma de convivir que minimiza la exposición de datos y permite a las empresas personalizar un entorno de TI flexible.

Estas redes se pueden personalizar tanto como sea necesario, por lo que los requisitos de seguridad que necesita una organización también son variables, veamos: algunas empresas pueden optar por una interacción mínima con la parte del centro de datos de sus soluciones en la nube, mientras que otras pueden usarla para la mayor parte de sus operaciones, utilizando solo la nube pública para almacenar datos no esenciales.

“Cuando se trata de nubes híbridas, el personal de tecnología de la información (TI) debe saber exactamente qué tipo de configuración utiliza su organización y dónde se encuentran los datos, ya sea alojados en redes de nubes públicas o almacenados en centros de datos locales”

¿Cuáles podrían ser algunos de los desafíos de seguridad de la nube híbrida?

Proteger nuestros datos

Debemos ser cuidadosos y tener claro el límite en la exposición de datos de nuestra organización a través del cifrado, recordemos que los mismos datos estarán en tránsito o en reposo en diferentes momentos en el tiempo, por lo que se necesita una variedad de medidas de seguridad para limitar la exposición de los datos durante cualquiera de estos estados.

Cumplimiento y gobernanza

Si trabajas en un sector altamente regulado como la salud, las finanzas o el gobierno, la infraestructura de nube híbrida puede presentar consideraciones adicionales, su carácter se vuelve estrictamente confidencial, entonces debemos saber cómo verificar nuestros entornos distribuidos para asegurarnos de que se cumplan; cómo implementar líneas de base de seguridad regulatorias o personalizadas; y cómo prepararse para las auditorías de seguridad.

Seguridad en la cadena de suministro

Recuerden que los entornos de nube híbrida a menudo incluyen productos y software de varios proveedores en un ecosistema complicado, debes aprender cómo tus proveedores prueban y administran su software y productos, así como, comprender cuándo y cómo sus proveedores han inspeccionado el código fuente, de que forma y qué pautas de implementación siguen, y cuándo los proveedores pueden proporcionar actualizaciones y parches.

Amenazas a la nube

Con respecto a la nube, es importante comprender que las amenazas a menudo no son específicas de la nube, pensemos en una amenaza como el ransomware, los ataques de compromiso de correo electrónico empresarial (BEC) y, especialmente, las violaciones de datos pueden ocurrir en entornos de nube y en entornos tradicionales.

En la actualidad, las organizaciones que utilizan servicios de correo electrónico basados en la nube pueden ser susceptibles a todo, desde simples ataques de spam y phishing hasta estafas de BEC.

Por si fuera poco, además, las filtraciones de datos pueden ocurrir debido a archivos adjuntos de malware o pueden ser el resultado de ataques de intermediario en la nube, de esta manera, recomiendo que las organizaciones debemos implementar las medidas de seguridad adecuadas para proteger nuestras redes y sistemas, independientemente del tipo de configuración que se utilice.

Los componentes de la seguridad de la nube híbrida

La seguridad de la nube híbrida, como la seguridad informática en general, consta de tres componentes:

  1. Físico

Los controles físicos son para asegurar el hardware real, digamos, por ejemplo, cuando se incluyen cerraduras digitales, guardias y cámaras de seguridad.

  • Técnico

Los controles técnicos son protecciones diseñadas en los propios sistemas de TI, como el cifrado, la autenticación de red y el software de gestión, muchas de las herramientas de seguridad más sólidas para la nube híbrida son los controles técnicos.

Los controles técnicos son el corazón de la seguridad de la nube híbrida, la gestión centralizada facilita la implementación de los controles técnicos, uno de ellos es el cifrado, la automatización, la orquestación, el control de acceso y la seguridad de los terminales.

El cifrado, por ejemplo, reduce en gran medida el riesgo de que se exponga cualquier dato legible incluso si una máquina física está comprometida, puedes cifrar datos en reposo y datos en movimiento.

Más adelante, en las Mejores prácticas para proteger la nube, hablaremos de ellas por separado.

  • Administrativo.

Los controles administrativos son programas que ayudan a las personas a actuar de manera que mejoren la seguridad, como la capacitación y la planificación de desastres.

Mejores prácticas para protegerte en la nube Hibrida

Controles físicos para la seguridad de la nube híbrida

Consideremos que las nubes híbridas pueden abarcar varias ubicaciones, lo que hace que la seguridad física sea un desafío especial.

“Recuerda, no puedes construir un perímetro alrededor de todas tus máquinas y cerrar la puerta”

En el caso de recursos compartidos como una nube pública, es posible que tenga acuerdos de nivel de servicio (SLA) con su proveedor de nube que definen qué estándares de seguridad física se cumplirán.

Algunos proveedores de nube pública tienen acuerdos con clientes gubernamentales para restringir qué personal tiene acceso al hardware físico, no obstante, incluso con buenos SLA, estás renunciando a cierto nivel de control cuando depende de un proveedor de nube pública, por lo que esto significa que otros controles de seguridad se vuelven aún más importantes.

Asegurar la nube híbrida como responsabilidad compartida, ¿Cómo es esto?

Independientemente del tipo de configuración que empleen, las organizaciones debemos adherirnos a un principio muy importante de seguridad en la nube:

La responsabilidad compartida.

Este es un tema delicado, se ha comprobado que muchas organizaciones a veces cometen el error de asumir que su proveedor de servicios se encargará de todos los aspectos de la seguridad de la nube y que una vez que el servicio esté en funcionamiento, ya no tendrán la necesidad de proteger su nube.

Pues no es así, la realidad que hace que funcionen estos esquemas, honestamente es que la seguridad en la nube debe ser una responsabilidad compartida:

  • Si bien el proveedor de servicios ofrece seguridad para la infraestructura subyacente, la organización es responsable de proteger los datos por sí misma.
  • Esto significa además implementar políticas de acceso, garantizar el cifrado adecuado y administrar la configuración general del servicio en la nube para adaptarse a las necesidades de la organización.
  • Esto también se extiende a otros aspectos de seguridad como la actualización y parcheo de las máquinas dentro de la organización y el monitoreo del software instalado en estas máquinas.
  • Una organización debe considerar todos sus requisitos al elegir un proveedor externo para su servicio en la nube, no solo en términos de características, sino también en términos de seguridad y control de acceso.
  • Dependiendo del servicio en la nube utilizado, los proveedores de servicios también tendrán acceso a los datos de la organización, lo que puede no ser factible para algunas organizaciones.

A pesar de la gran variación en las configuraciones de nubes híbridas, existen ciertos principios de seguridad que se aplican a todas las formas de nubes híbridas, que se pueden se agregan a las mejores prácticas:

La adherencia

Si la planeación estratégica y su implementación está en los rangos aceptable de cumplimiento, un solo proceso independientemente del entorno hará que todo el sistema funcione con mucha más fluidez, por ello, los procesos mixtos tanto para la nube como para los entornos tradicionales no se combinan bien, de esta manera las organizaciones necesitan crear un entorno que tenga en cuenta los requisitos tanto de la nube como de los sistemas tradicionales.

Una infraestructura tradicional generalmente incluye aplicaciones y plataformas, así como procesos comerciales, por su parte una nube híbrida puede integrarse en la infraestructura existente de una organización y proporcionar flexibilidad y escalabilidad que se requiere.

En lo personal lo he visto, en organizaciones que puede retener sus cargas de trabajo críticas, como datos, en sus servidores tradicionales o en el sitio, mientras mueve aplicaciones, correos electrónicos y gestión de relaciones con el cliente (CRM) a la nube.

Las herramientas que se escalan automáticamente

Ayudarán a las organizaciones a maximizar tanto su mano de obra como sus recursos, lo que permitirá un mayor enfoque en las áreas centrales de operaciones, sin duda esta es una de las principales ventajas de una nube híbrida.

Sabemos que la infraestructura local puede ser costosa de actualizar:

  • Existen costos de hardware.
    • Costos de mantenimiento
    • Incluso costos de desarrollo
    • Implementación de aplicaciones que pueden sumarse rápidamente a medida que las operaciones comienzan a escalar.

Recordemos que las nubes híbridas se pueden personalizar según las necesidades de una empresa sin tener que asumir los costos asociados con la ampliación de una operación.

Las herramientas personalizables que son programables

Permitirán a las organizaciones adaptarlas de acuerdo con los requisitos específicos respectivos de las organizaciones, en este sentido, la mayoría de los proveedores de nube híbrida ofrecen una gama de opciones a las organizaciones que pueden personalizarse para adaptarse a sus requisitos.

Nota:

Para todos los ambientes, las soluciones de seguridad implementadas tienen cierto grado de toma de decisiones, dicho de otra manera, son lo suficientemente inteligentes como para tomar decisiones de seguridad en nombre de las organizaciones.

Permite menos mano de obra y recursos para maximizar la seguridad, este es uno de los factores económicos estratégicos, y es especialmente importante para las organizaciones, dado que una gran parte de sus operaciones pueden estar alojadas en la nube.

“Teniendo en cuenta la sofisticación de las amenazas modernas, puede que no sea suficiente que los proveedores de nube híbrida ofrezcan solo soluciones de seguridad rudimentarias con sus productos y servicios; la tecnología de seguridad también debe ser lo suficientemente inteligente como para adaptarse y aprender incluso sin intervención humana”

Independientemente del tipo de estructura de nube que utilice una organización, estas mejores prácticas ayudarán a maximizar su seguridad en la nube.

Emplea el principio de privilegio mínimo.

Todos los entornos de nube debemos implementar el principio de privilegio mínimo, que establece que el acceso a partes específicas del sistema debe otorgarse solo a los usuarios que lo necesiten, esto ya se cubrió en la parte de la nube privada, pero dado que es una parte muy crucial de la seguridad de la nube que se extiende a todo tipo de entornos en la nube, es necesario enfatizarlo.

Asegura todos los puntos finales de la red.

El uso de la infraestructura en la nube no descarta la necesidad de una seguridad de punto final más sólida, tengan presente que muchos ataques comienzan en el nivel del punto final, y esto no es diferente cuando se trata de sistemas basados en la nube.

En consecuencia, las organizaciones debemos implementar una protección de punto final adecuada, que incluye el uso de soluciones de seguridad integrales que brinden características como protección contra exploits del navegador y listas blancas de aplicaciones, además de brindar una educación adecuada al usuario sobre seguridad.

Aislar la infraestructura más crítica.

Para las organizaciones que almacenan datos importantes en la nube, la idea es que menos, es más, es decir, cuantas menos personas tengan acceso a datos importantes, más seguros estarán frente a posibles ataques.

Realiza una copia de seguridad de los datos críticos en dispositivos de almacenamiento externos.

El uso de la infraestructura en la nube no garantiza la seguridad de los datos de las organizaciones, ya que un ataque o falla del sistema puede significar una pérdida de datos temporal o incluso permanente, no hay que perder el enfoque más completo de la seguridad, las organizaciones debemos realizar copias de seguridad de sus datos tanto física como virtualmente, ya que al hacerlo se asegura que los datos sean accesibles en todo momento.

Crea un plan de recuperación ante desastres y continuidad empresarial.

Las empresas debemos tener un plan de respaldo que garantice que las operaciones seguirán funcionando sin problemas en caso de emergencias, como la interrupción de servicios o cortes de energía en los centros de datos, por supuesto, esto incluye la implementación de copias de seguridad basadas en imágenes que pueden crear copias de computadoras o máquinas virtuales (VM) completas que, a su vez, pueden usarse para restaurar o recuperar datos.

Elige la solución de seguridad en la nube adecuada.

Las organizaciones debemos elegir la solución de seguridad en la nube adecuada para sus organizaciones en función de lo que pueda brindarles la mayor protección, solo por dar un ejemplo está la solución Trend Micro ™ Deep Security ™ para la nube que puede proporcionar detección proactiva y prevención de amenazas, mientras que la solución Trend Micro Hybrid Cloud Security, con tecnología de seguridad XGen ™, proporciona una seguridad óptima para entornos híbridos que incorporan cargas de trabajo físicas, virtuales y en la nube.

La lógica nos indica que un entorno de nube híbrida requiere soluciones de seguridad híbridas, por ello las empresas pueden proteger las aplicaciones y los datos críticos en sus entornos virtualizados y en la nube con una protección eficaz del servidor que maximiza sus beneficios operativos y económicos, debemos ser capaces de proteger las aplicaciones y los datos de las amenazas modernas críticas, como el ransomware, que pueden provocar importantes interrupciones en el negocio y, al mismo tiempo, ayudar a acelerar el cumplimiento normativo.

Algunos de los controles técnicos más poderosos de su caja de herramientas de nube híbrida son el cifrado, la automatización, la orquestación, el control de acceso y la seguridad de los terminales.

Cifra los datos que pasan por la nube.

Esta es también una forma de aislar la infraestructura más crítica, generalmente dirigida hacia los datos, tanto en tránsito como en reposo, deben cifrarse como medida de seguridad general, muchos proveedores de servicios en la nube ya ofrecen cifrado de datos como parte de sus medidas de seguridad, pero las organizaciones que quieran llevar su seguridad en la nube más allá pueden buscar soluciones que incluyan cifrado de datos de alto nivel.

El cifrado reduce en gran medida el riesgo de que se exponga cualquier dato legible incluso si una máquina física está comprometida, no lo olviden.

Puede cifrar datos en reposo y datos en movimiento.

Controles técnicos para la seguridad de la nube híbrida.

Proteja sus datos en reposo:

El disco completo (cifrado de partición) protege sus datos mientras su computadora está apagada, puedes probar el formato Linux Unified Key Setup-on-disk (LUSK) que puede cifrar las particiones de su disco duro de forma masiva.

Para el cifrado de hardware que protegerá el disco duro del acceso no autorizado, está el Trusted Platform Module (TPM), que es un chip de hardware que almacena claves criptográficas, cuando el TPM está habilitado, el disco duro está bloqueado hasta que el usuario pueda autenticar su inicio de sesión.

Cifra los volúmenes raíz sin ingresar manualmente sus contraseñas, por ejemplo si has creado un entorno de nube altamente automatizado, aproveche ese trabajo con cifrado automatizado, por ejemplo si estás utilizando Linux, utiliza el cifrado de disco enlazado a la red (NBDE), que funciona tanto en máquinas físicas como virtuales y adicionalmente has que el TPM forme parte del NBDE y proporcione dos capas de seguridad, el NMDE ayudará a proteger los entornos en red, mientras que el TPM funcionará en las instalaciones.

Proteja sus datos en movimiento:

Cifra su sesión de red, recuerden los datos en movimiento tienen un riesgo mucho mayor de interceptación y alteración, para ello puedes utilizar el protocolo de seguridad de Internet (IPsec), que es una extensión del protocolo de Internet que utiliza criptografía.

Como consejo les digo seleccionen productos que ya implementan estándares de seguridad, busca productos que admitan la publicación 140-2 del Estándar federal de procesamiento de información (FIPS), que utiliza módulos criptográficos para proteger los datos de alto riesgo.

Automatización

Es una tarea muy pesada y completa llevar el monitoreo manual de la seguridad y el cumplimiento a menudo conlleva más riesgos que recompensas, están los parches manuales y la gestión de la configuración corren el riesgo de implementarse de forma asincrónica y esto te ocasionara muchos problemas en la operación.

Para apreciar por qué la automatización es un ajuste natural para las nubes híbridas, considere los inconvenientes de la supervisión manual y la aplicación de parches.

Si hay una brecha de seguridad, los registros de las configuraciones y los parches manuales corren el riesgo de perderse y pueden dar lugar a peleas internas y acusaciones entre el equipo, que no es raro, si sucede, además, los procesos manuales tienden a ser más propensos a errores y requieren más tiempo y dificulta la implementación de sistemas de autoservicio.

La automatización, por el contrario, te permite adelantarte a los riesgos, en lugar de reaccionar ante ellos, nos brinda la capacidad de establecer reglas, compartir y verificar procesos que, en última instancia, facilitan la superación de las auditorías de seguridad, recomiendo que, al evaluar tus entornos de nube híbrida, pienses en automatizar los siguientes procesos:

  • Supervisión de sus entornos
  • Verificando el cumplimiento
  • Implementando parches
  • Implementar líneas de base de seguridad regulatorias o personalizadas

Orquestación

La orquestación en la nube va un paso más allá, podemos pensar en la automatización como la definición de ingredientes específicos y la orquestación como un libro de recetas que reúne los ingredientes, esto hace posible administrar los recursos de la nube y sus componentes de software como una sola unidad, y luego implementarlos de manera automatizada y repetible a través de una plantilla.

La mayor ventaja de la orquestación para la seguridad es la estandarización, nos proporciona la flexibilidad de la nube al mismo tiempo que se asegura de que los sistemas implementados cumplan con sus estándares de seguridad y cumplimiento.

Control de acceso

Las nubes híbridas también dependen del control de acceso, te recomiendo restringir las cuentas de usuario solo a los privilegios que necesitan y considere la posibilidad de requerir autenticación de dos factores, con esta acción, limitamos el acceso a los usuarios conectados a una red privada virtual (VPN) y puede ayudarlo a mantener los estándares de seguridad.

Puesto final de Seguridad

La seguridad de los puntos finales a menudo significa usar software para revocar el acceso de forma remota o borrar datos confidenciales si el teléfono inteligente, tableta o computadora de un usuario si se pierde, es robado o pirateado.

Es un proceso que los usuarios pueden conectarse a una nube híbrida con dispositivos personales desde cualquier lugar, lo que hace que la seguridad de los terminales sea un control esencial, y los ciber delincuentes pueden apuntar a sus sistemas con ataques de phishing a usuarios individuales y malware que compromete dispositivos individuales.

Por sus características, lo expreso aquí como un control técnico, sin embargo, la seguridad de endpoints combina controles físicos, técnicos y administrativos, entonces, te recomiendo mantener los dispositivos físicos seguros, use controles técnicos para limitar los riesgos si un dispositivo cae en las manos equivocadas y capacite a los usuarios en buenas prácticas de seguridad.

Controles administrativos para la seguridad de la nube híbrida

Por último, los controles administrativos en la seguridad de la nube híbrida se implementan para tener en cuenta los factores humanos, debido a que los entornos de nube híbrida están altamente conectados, la seguridad es responsabilidad de todos los usuarios.

La preparación y recuperación ante desastres son un ejemplo de control administrativo, por ello si partimos de que tu nube híbrida se desconecta, debes realizarte muchas preguntas como estas:

  • ¿Quién es responsable de qué acciones?
  • ¿Tiene protocolos para la recuperación de datos?
  • Y un enorme etc.

La arquitectura híbrida ofrece importantes ventajas para la seguridad administrativa, con sus recursos potencialmente distribuidos entre hardware en el sitio y fuera del sitio, tiene opciones para respaldos y redundancias, por ejemplo, en las nubes híbridas que involucran nubes públicas y privadas, puede conmutar por error a la nube pública si falla un sistema en la nube de su centro de datos privado.

La seguridad de TI no ocurre de una vez y a la primera

La seguridad de TI toma tiempo y necesita iteración, los encargados debemos ver el panorama completo de la seguridad y saber que siempre está cambiando, yo les recomiendo que no se ofusquen y se presionen para llegar a un estado de seguridad perfecta (que no existe), concéntrese en colocar un pie delante del otro y tomar acciones razonables y bien pensadas para hacerlo más seguro hoy de lo que estaba, el día de ayer y documentarse.

Saludos,

Firma 2021 Rberny - Ing. Rubén Bernardo Guzmán Mercado

Views: 54

Comparte si fue de tu agrado

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.