“Donde sea que vaya, ahí estoy” – la seguridad
Recientemente tuve una charla con una organización grande que tenía algunas workloads en múltiples nubes mientras juntaba un equipo enfocado en la seguridad de la nube para crear sus políticas de seguridad de ahora en adelante. Ha sido una de mis conversaciones favoritas porque no solo hablaba acerca de soluciones de Trend Micro y cómo ayudan a las empresas a ser exitosas, también hablamos sobre cómo el negocio aborda la creación de sus políticas de seguridad para lograr un centro de excelencia operacional. Aunque voy a hablar más sobre el COE (Center Of Operational Excellence) en una futura serie de blogs, quiero explorar el fondo de esta discusión: ¿dónde agregamos la seguridad en la nube?
Comenzamos hablando sobre cómo asegurar estos nuevos servicios nativos de la nube como los servicios hosteados, serverless, infraestructuras de containers, etc., y cómo agregar las estrategias de seguridad a las políticas de seguridad en constante cambio.
Nota rápida: si su política de seguridad en la nube no es dinámica, está desactualizada. Más sobre eso en unos momentos.
Un colega y amigo mío, Bryan Webster, presentó un concepto de que los modelos tradicionales de seguridad siempre han sido acerca de tres cosas: Configuración de Mejores Prácticas para el Acceso y el Aprovisionamiento, Muros que Bloquean Cosas y Agentes que Inspeccionan Cosas. Nos hemos apoyado fuertemente de estos principios desde que se conectó una computadora con otra por primera vez. Les comparto el gráfico que el utilizó para ilustrar los últimos dos puntos.
Pero mientras migramos hacia servicios seguros nativos de la nube, algunos de estos están fuera de nuestros muros y algunos no permiten la capacidad de instalar un agente. Entonces ¿dónde ponemos ahora la seguridad?
De hecho, no es tan diferente, sólo en cómo está implementado y desplegado. Comience por eliminar la idea de que los controles de seguridad están ligados a implementaciones específicas. No necesita de un muro de prevención de intrusiones que es un appliance de hardware de la misma forma en que no necesita un agente instalado para realizar tareas de anti-malware. También habrá un gran enfoque en sus configuraciones, permisos y otras mejores prácticas.
Use benchmarks de seguridad como el AWS Well-Architected, CIS y SANS para ayudarle a crear una política de seguridad adaptable que pueda cumplir con las necesidades del negocio en el futuro. También podría considerar consolidar las tecnologías en una plataforma de servicios centrada en la nube como Trend Micro Cloud One, la cual permite que los desarrolladores protejan sus activos sin importar qué es lo que se está construyendo. ¿Necesita IPS para sus funciones serverless o sus containers? ¡Pruebe Cloud One Application Security! ¿Quiere llevar la seguridad más hacia la izquierda en su pipeline de desarrollo? Descubra Trend Micro Container Security para Escaneo de Containers Pre-Runtime o Cloud One Conformity para ayudar a los desarrolladores a escanear su Infraestructura como Código.
Tome en cuenta: donde sea que implemente la seguridad, ahí estará. Asegúrese de que está en el lugar correcto para lograr las metas de su política de seguridad utilizando una combinación de gente, procesos y productos, ¡todos trabajando juntos para hacer exitosa a su organización!
Esto forma parte de una serie de blogs sobre cosas a considerar durante un proyecto de migración hacia la nube. Puede comenzar por el principio, iniciando por un webinar, aquí: https://bit.ly/2WRI3bI
También, siéntase con la libertad de seguirme en LinkedIn para más contenido de seguridad para acompañarlo en su viaje hacia la nube.
Leave a Reply