A menudo las personas preguntan cuáles son las mayores amenazas cibernéticas en la nube. Cuando hacen esa pregunta, parecen esperar una respuesta a la par con una trama de una película de Hollywood y la verdad es mucho más simple. La amenaza número uno en la nube hoy en día son las configuraciones incorrectas del servicio.
A pesar del claro modelo operativo de la nube, los equipos continúan cometiendo errores simples o pasan por alto la simple tarea de configurar adecuadamente los servicios que usan en la nube.
¿Cómo funciona la seguridad en la nube?
La seguridad en la nube funciona utilizando el Modelo de responsabilidad compartida. Este modelo dicta quién es responsable de cualquier tarea operativa en la nube y la seguridad es simplemente un subconjunto de esas tareas.
El modelo en sí es simple.
[image url=”/wp-content/uploads/2019/11/shared-responsibility-model-1-1024×576.jpg” raw=”true” alignment=”center” margin_left=”0″ margin_right=”0″ margin_top=”0″ margin_bottom=”0″ width=”1024″ height=”576″]
Hay seis áreas donde se requiere un trabajo diario, comenzando con lo físico (es el edificio que mantiene los sistemas seguros, pagos, etc.) moviéndose a través de infraestructura, virtualización, sistemas operativos, aplicaciones y datos.
En un entorno local tradicional, la organización es responsable de las seis áreas. Ese trabajo generalmente se divide entre varios equipos, pero al final del día todos se reportan a una sola persona dentro de la organización, generalmente el CIO. Cuando se muda a la nube, al menos la mitad de sus responsabilidades se delegan a su proveedor.
En los servicios de nivel de infraestructura (IaaS) por ejemplo máquinas virtuales, usted asume el control a nivel del sistema operativo. La configuración y el mantenimiento del sistema dependen exclusivamente de usted y su equipo.
Por lo tanto, si en algún momento se desea establecer la contraseña de administrador o un root en contraseña, puede hacerlo. No lo haga Pero se podría, puesto que es su responsabilidad.
[image url=”/wp-content/uploads/2019/11/shared-responsibility-model-summary-1024×576.jpg” raw=”true” alignment=”center” margin_left=”0″ margin_right=”0″ margin_top=”0″ margin_bottom=”0″ width=”1024″ height=”576″]
A medida que avanza hacia servicios más abstractos o de tipo SaaS, sus responsabilidades disminuyen, esto significa que puede concentrarse en menos áreas para mejorar su postura de seguridad.
Confiar pero verificar
Cualquier profesional de la seguridad que valga la pena no simplemente tomará la palabra de los proveedores de servicios en la nube que cumple con sus responsabilidades según el modelo, ni debería hacerlo.
Aquí es donde entra en juego la certificación de cumplimiento. Los tres grandes proveedores de la nube tienen una gran cantidad de evidencia de auditoría que muestra cómo proporcionan seguridad de clase mundial. Desde los marcos de cumplimiento hiperlocales hasta los de aplicación general como PCI-DSS o SOC1 o ISO 27001, se debe aliviar cualquier preocupación sobre el lado de los proveedores de servicios en la nube de este modelo.
Dando un paso más allá, siempre se puede solicitar una copia de los resultados de la auditoría a su proveedor para un marco de cumplimiento específico. De hecho, necesitará ese informe para su informe de cumplimiento cuando llegue el momento.
¿De dónde vienen las malas configuraciones?
Volviendo a la amenaza principal de las configuraciones erróneas en la nube, surgen de dos lugares separados. El primero es la incomprensión de quién es responsable de un área a cargo.
En estos escenarios, los equipos que construyen en la nube esperan que su proveedor cree controles y supervise problemas específicos cuando, de hecho, estas áreas son responsabilidad del equipo.
Un ejemplo, tristemente común de esto, es cuando los equipos usan máquinas virtuales o instancias en la nube con un servicio de implementación preconfigurado. En estos casos, el proveedor ha simplificado los pasos necesarios para que las configuraciones comunes funcionen en la nube. Eso es genial, pero la brecha es que una vez que la configuración está en funcionamiento, es responsabilidad del equipo construir la solución para parchear, fortalecer y mantener esa configuración.
¡El hecho de que su proveedor le haya dado una ventaja inicial no significa que no tenga que correr el resto de la carrera!
La segunda área de donde provienen las configuraciones erróneas son simples errores. La nube es un amplificador para equipos. Con una llamada API, puede iniciar el equivalente de un centro de datos completo, la desventaja es que los equipos más pequeños son responsables de una variedad más amplia de pilas y servicios tecnológicos. Inevitablemente, los equipos cometen errores simples que conducen a exposiciones innecesarias. Una forma crucial de abordar esto es abrazar el principio del software “sistemas sobre las personas”.
Sistemas sobre personas
Este principio es simple. La mayoría del trabajo para sus soluciones en la nube debe ser realizado por sistemas y no por personas. La automatización es la clave del éxito aquí.
Supongamos que el sistema operativo que utiliza su equipo para sus sistemas tiene un nuevo parche que debe implementarse, en lugar de que alguien esté parcheando cada una de las máquinas virtuales de producción, ese miembro del equipo debería parchear la plantilla original de las máquinas virtuales y un sistema de compilación debería volver a implementar la producción.
De hecho, los miembros del equipo ni siquiera deberían tener la capacidad de iniciar sesión en los servidores de producción, la cual debe ser lo más estable posible y gestionada solo por los sistemas que establezca. Esto reducirá los errores en general, y los errores que entran en juego son consistentes y más fáciles de abordar.
La seguridad es un problema de calidad
Comprender el modelo de responsabilidad compartida es fundamental para el éxito en la nube, si bien las amenazas complejas de tipo ciencia ficción son divertidas de imaginar, hoy en día existe un desafío muy real en torno a las configuraciones erróneas.
Además de comprender el modelo, tratar la configuración del servicio como otro conjunto de pruebas de software, ayudará a detectar esas configuraciones erróneas antes de que lleguen al producto. El uso de herramientas de automatización o de administración de configuración proporcionada por un proveedor de la nube garantizarán que se aproveche al máximo las características que su proveedor ha creado para ayudarlo a asegurar el uso de estos servicios.
Al abrazar el principio de los sistemas sobre las personas y tener un conjunto de automatizaciones que cubran sus responsabilidades en la nube, puede tener una postura de seguridad sólida mientras permite que los equipos empresariales se muevan rápidamente.
Leave a Reply