¿Cuáles son las responsabilidades de los desarrolladores en la nube y cómo pueden mantener la seguridad? Este documento discutirá los fundamentos, conceptos básicos de la seguridad en la nube y cuáles son las áreas que deben protegerse utilizando soluciones de seguridad integrales y flexibles.
Las empresas alrededor del mundo están experimentando sus viajes hacia la transformación digital mientras comienzan a usar, migrar hacia o dominar la abrumadora variedad de tecnologías basadas en la nube que están disponibles el día de hoy.
Para los CSOs (Chief Security Officers) y administradores y equipos de TI en la nube, gestionar la seguridad del cómputo en la nube para una implementación en específico puede ser una ardua tarea precisamente por la facilidad de uso, flexibilidad y facilidad de configuración de los servicios en la nube. Los administradores de la nube deben tener un entendimiento profundo de cómo es que sus respetivas empresas usan la nube, para que puedan asignar las políticas y estándares apropiados de seguridad, junto con responsabilidades y transparencia corporativas.
Las tecnologías y mecanismos tradicionales de seguridad de red no pueden migrarse e integrarse en la nube. Pero las preocupaciones de seguridad que enfrenta un administrador de redes suelen ser las mismas: ¿Cómo prevengo accesos no autorizados a mi red y evito una brecha de seguridad? ¿Cómo puedo asegurar el periodo de uso? ¿Cómo encripto las comunicaciones o autentico a los jugadores en la nube? ¿Cómo puedo detectar amenazas y vulnerabilidades fácilmente en aplicaciones desarrolladas?
Comprendiendo la Responsabilidad Compartida
Hablando de manera general, los conceptos de la “seguridad de la nube” versus “seguridad en la nube” se abrieron camino gracias a Amazon para aclarar la responsabilidad compartida de los vendors y los clientes respecto a la seguridad y el cumplimiento en la nube. Los vendors son responsables principalmente por la infraestructura física y de red que conforman el servicio en la nube, y se aplica una escala dependiendo del servicio específico en la nube adquirido, el cual por su parte determina cuál es la responsabilidad directa del cliente en materia de seguridad.
En términos más prácticos, como se discute en el artículo de Trend Micro“The Cloud: What It Is and What It’s For,” los diferentes modelos de servicios en la nube – Infrastructure as a Service (IaaS), Platform as a Service (PaaS), y Software as a Service (SaaS) – determinan cuáles componentes – desde la infraestructura física que hostea la nube hasta los datos creados, procesados y almacenados en ella – serán la responsabilidad del vendor o del cliente, y, por lo tanto, quién tiene la responsabilidad de protegerlos.
En una implementación PaaS como Google App Engine, Microsoft Azure PaaS o Amazon Web Services Lambda, por ejemplo, los desarrolladores pueden adquirir recursos para crear, probar y correr software. Por lo tanto, como usuarios, son responsables de las aplicaciones y datos, mientras que el vendor es responsable por asegurar la infraestructura de containers y el sistema operativo; y como se mencionó anteriormente, con varios grados de responsabilidad dependiendo del servicio específico adquirido, el cual puede diferir en un sentido más granular.
“Entre más cerca estés del hardware,
más responsabilidad tienes.”
– Mark Nunnikhoven,
Vice President, Cloud Research, Trend Micro
[image url=”http://blog.la.trendmicro.com/wp-content/uploads/2020/06/Cloud-Security-101-fig-1-a.gif” raw=”true” alignment=”center” margin_left=”0″ margin_right=”0″ margin_top=”0″ margin_bottom=”0″]
Figura 1. La seguridad de la nube versus la seguridad en la nube
La seguridad de la nube es parte de la oferta de los proveedores de nube. Esto se asegura a través de acuerdos y obligaciones contractuales, incluyendo SLAs (Service-Level Agreements) con el vendor y el cliente. Las métricas de desempeño como uptime o latencia, junto con las expectativas respecto a la resolución de problemas que pudiesen surgir, las capacidades de seguridad documentadas y tal vez incluso las penalizaciones por bajo desempeño típicamente pueden gestionarse por ambas partes a través del establecimiento de estándares aceptables.
Para la gran mayoría de los usuarios de la nube, el resto de este documento discute los retos, amenazas y otras áreas cubiertas por la “seguridad en la nube.”
Retos Principales a la Seguridad
Las empresas pueden estar migrando algunos requerimientos hacia la nube, comenzando completamente en la nube (es decir, volverse “nativos de la nube”), o madurando su estrategia de seguridad basada en la nube. Sin importar en qué etapa se encuentra una empresa en su camino hacia la nube, los administradores de nube deben poder conducir las operaciones de seguridad, así como realizar gestión de vulnerabilidades, identificar eventos importantes en la red, llevar a cabo la respuesta a incidentes y recopilar y actuar con base en la inteligencia de amenazas; todo mientras mantienen el cumplimiento de cada una de las partes con estándares relevantes de la industria.
Gestionando la Complejidad
Las implementaciones en la nube no tienen acceso a la misma infraestructura de seguridad que las redes on-premises. La uniformidad de los servicios en la nube hace que sea difícil encontrar soluciones de seguridad cohesivas. En cualquier momento en el tiempo, los administradores de la nube deben buscar asegurar un ambiente híbrido. La complejidad se encuentra en la realidad de que los riesgos del cómputo en la nube varían dependiendo de la estrategia específica de despliegue en la nube. Esto, a su vez, depende de las necesidades específicas y el nivel de riesgo que están dispuestos a aceptar. Es por eso que la evaluación de riesgos es un ejercicio importante que no puede simplemente obtenerse por medio de guías publicadas de mejores prácticas o de cumplimiento. Sin embargo, las guías de cumplimiento pueden servir como una línea base o un framework que puede ser vital al hacer las preguntas correctas respecto al riesgo.
Obteniendo Visibilidad
Conforme la velocidad del movimiento dentro de una organización se vea impulsada por la facilidad de suscribirse a servicios en la nube, las decisiones de compra repentinamente ya no caen en el departamento de TI. Sin embargo, el departamento de TI mantiene la rendición de cuentas de aplicaciones desarrolladas en la nube. El reto está en cómo se puede asegurar que, mientras el movimiento y el desarrollo se mantienen eficientes, TI todavía pueda visualizar y asegurar cada interacción en la nube.
Riesgos de Seguridad y Amenazas en la Nube
De acuerdo con la revisión extensiva de Trend Micro de las trampas de seguridad más comunes en las implementaciones en la nube, titulada Untangling the Web of Cloud Security Threats, las fallas de configuración continúan siendo una de las debilidades más comunes de la seguridad de la nube entre los usuarios. Esto significa que conforme los usuarios en la nube configuran sus instancias o servicios, tienden a pasar por alto configuraciones importantes o cambiarlas de forma que se reduce la seguridad.
Los actores maliciosos pueden descubrir estos errores de configuración y usarlos para varias actividades maliciosas, desde las altamente dirigidas – involucrando ciberataques dirigidos hacia una organización en particular como una meta en sí misma o como una plataforma hacia otra red – hasta las más oportunistas. Además de los temas de configuración, los actores maliciosos pueden obtener acceso a despliegues en la nube a través de credenciales robadas, containers maliciosos y vulnerabilidades en cualquier parte del software en capas.
Hay ataques reales que han resultado en pérdidas financieras o de otro tipo para las organizaciones. Los ataques basados en la nube que pueden afectar a las empresas incluyen:
- Cryptojacking, donde los actores maliciosos roban el poder de procesamiento del cómputo en la nube de una empresa para llevar a cabo cryptomining no autorizado, el cual puede acaparar recursos y causar un incremento en tráfico de red que la empresa termina pagando.
- E-skimming, donde los actores maliciosos obtienen acceso a las aplicaciones web de una empresa para inyectar código malicioso que recolecta información financiera de los visitantes de un sitio web, posiblemente resultando en grandes pérdidas para el cliente que pueden dañar la reputación de la empresa.
- Accesos no autorizados que resultan en la modificación de datos, brechas, pérdidas o exfiltración de datos, lo cual puede realizarse para una variedad de objetivos como el acceso a bases de datos de clientes que pueden venderse en el underground criminal o el robo de secretos comerciales.
“Sus datos y aplicaciones en la nube están tan seguras como lo configure. Existen suficientes herramientas disponibles hoy para hacer que su ambiente de nube, y la mayoría de su inversión en TI, estén al menos tan seguros como sus sistemas legacy que no están en la nube.”
– Greg Young,
Vice President for Cybersecurity, Trend Micro
Áreas para Proteger en la Nube
Mientras los desarrolladores en la nube entran en detalle de los requerimientos que necesitan de la nube, deberían aprovechar la oportunidad de diseñar sus despliegues en la nube de forma que la seguridad esté integrada desde el principio, para evitar los riesgos y amenazas descritos en la sección anterior. Al asegurar cada una de las siguientes áreas, en donde sea relevante, los equipos de TI pueden navegar los despliegues actuales y futuros en la nube con seguridad. Estas se alinean con las recomendaciones que se encuentran en el reporte de Gartner de 2020, Market Guide for Cloud Workload Protection Platforms.
Redes (Inspección de Tráfico, Parcheo Virtual)
Una pieza crítica del rompecabezas de la seguridad, la inspección de tráfico de red puede ser la línea de defensa contra ataques de día-cero y exploits de vulnerabilidades conocidas, y puede ofrecer protección a través del parcheo virtual. Un firewall en la nube es ligeramente diferente de un firewall tradicional porque el reto principal de ejecución es tener la capacidad de implementar el firewall de manera que no interrumpa las conexiones de red o las aplicaciones existentes, ya sea en una nube privada virtual o una red de nube.
[image url=”http://blog.la.trendmicro.com/wp-content/uploads/2020/06/Cloud-Security-101-fig-2-01.png” raw=”true” alignment=”center” margin_left=”0″ margin_right=”0″ margin_top=”0″ margin_bottom=”0″]
Figura 2. La seguridad de red en la nube debe poder “ver” todo el tráfico de una empresa, sin importar su fuente
Instancia en la Nube (Seguridad de Workloads en Runtime)
El lenguaje y los paradigmas de la seguridad cambian para ajustarse al entendimiento de los componentes que necesitan protegerse. En la nube, el concepto de una workload es una unidad de capacidad o la cantidad de trabajo que se realiza en una instancia de nube. Proteger las workloads contra exploits, malware y cambios no autorizados es un reto para los administradores de la nube, ya que corren en servidores, nubes o containers. Las workloads son activadas conforme sea necesario, de manera dinámica, pero cada instancia debería ser visible para el administrador de la nube y apegarse a una política de seguridad.
[image url=”http://blog.la.trendmicro.com/wp-content/uploads/2020/06/Cloud-Security-101-fig-3-01.png” raw=”true” alignment=”center” margin_left=”0″ margin_right=”0″ margin_top=”0″ margin_bottom=”0″]
Figura 3. Las workloads deben ser monitoreadas para detectar amenazas, sin importar su naturaleza u origen.
DevOps (Seguridad de Containers)
La unidad de software en los servicios de cómputo en la nube se ha centrado en, al menos en años recientes, el container. El uso de containers asegura que el software puede correr de forma confiable sin importar el ambiente real de cómputo, lo cual puede ser difícil de replicar si, por ejemplo, cierto código, herramientas, bibliotecas de sistema o incluso versiones de software tienen que ser de cierta forma.
[image url=”http://blog.la.trendmicro.com/wp-content/uploads/2020/06/Cloud-Security-101-fig-4-01.png” raw=”true” alignment=”center” margin_left=”0″ margin_right=”0″ margin_top=”0″ margin_bottom=”0″]
Figura 4. Los containers están conformados por diferentes stacks y componentes de código, y deberían escanearse para detectar malware y vulnerabilidades.
Especialmente para equipos de desarrollo y de operaciones, la integración de la seguridad durante el desarrollo de software se vuelve aún más relevante conforme el desarrollo “cloud-first” de aplicaciones se vuelve más común. Esto significa que los containers deben escanearse para detectar malware, vulnerabilidades (incluso en dependencias de software), secretos o claves e incluso violaciones de cumplimiento. Entre más temprano se realicen estas revisiones de seguridad durante el desarrollo, preferiblemente en el workflow CI/CD (Continuous-Integration-and-Continuous-Deployment), mejor.
Aplicaciones (Serverless, APIs, Web Apps)
La seguridad tradicional no puede ser implementada en ciertas plataformas serverless o de containers, pero las mismas aplicaciones, sin importar qué tan simples o complejas sean, necesitan protegerse de manera tan robusta como las otras áreas. Para muchas empresas, la programación y despliegue rápido y eficiente de nuevas aplicaciones son los principales drivers de migrar hacia la nube. Pero estas aplicaciones son potentes puntos de entrada para amenazas runtime de aplicaciones web como inyecciones de código, ataques automatizados y ejecuciones de comando remotas. Si los ataques llegan a suceder, los detalles de los mismos deben ser accesibles a los administradores de la nube.
Almacenamiento de Archivos
Las empresas miran hacia la nube, completa o parcialmente, como una forma de aliviar la carga del almacenamiento de los servidores on-premises. El almacenamiento en la nube para archivos u objetos puede ser una fuente de infección si, por cualquier razón, un archivo malicioso conocido se subió a la nube. El escaneo debe estar disponible para cualquier tipo de archivo, sin importar su tamaño, idealmente antes de que incluso sea guardado para poder minimizar el riesgo de que otros usuarios accedan a él y ejecuten un archivo malicioso (si el escaneo se realiza después del hecho).
Conformidad y Governance
Las regulaciones de privacidad de datos como el GDPR (General Data Protection Regulation), estándares de la industria como PCI-DSS (Payment Card Industry Data Security Standard), y piezas de legislación como HIPAA (Health Insurance Portability and Accountability Act) tienen implicaciones para la capacidad de las empresas de capturar, procesar y almacenar datos, especialmente en la nube. Los administradores de la nube deben balancear estos requerimientos de cumplimiento con los beneficios de agilidad que ofrece la nube. Las empresas deben asegurarse de que sus implementaciones de adhieren a las mejores prácticas de seguridad por medio de tecnologías de seguridad. En caso contrario, las multas que pudiesen surgir de cometer violaciones, aún sin el conocimiento de las mismas, puede tener un alto impacto financiero para toda la empresa.
[lightTable]
Tecnologías de Seguridad en la Nube
Con tantas piezas en movimiento, una empresa que esté considerando una estrategia de seguridad en la nube debe buscar las tecnologías necesarias de seguridad, desde la protección contra malware, intrusion prevention y la gestión de vulnerabilidades hasta la detección y respuesta en endpoints. La solución de seguridad debe reducir el número de herramientas, dashboards y ventanas que deben usarse regularmente como la base de los análisis realizados por TI. Al mismo tiempo, debe poder visualizar confiablemente los límites abstractos de la red de las operaciones en la nube de la empresa; ya sea que una actividad, como un desarrollo rápido, haya sido aprobado por TI o no.
Trend Micro, por ejemplo, puede ayudar a los equipos DevOps a desarrollar de manera segura, entregar rápidamente y correr donde sea a través de la solución de Trend MicroTM Hybrid Cloud Security. Esta solución ofrece seguridad dentro del pipeline de DevOps de la organización y entrega múltiples técnicas de defensa XGenTM para proteger las workloads físicas, virtuales y en la nube. Está potenciada por la plataforma SaaS de Cloud OneTM, la cual ofrece a las organizaciones una sencilla vista para que puedan monitorear sus entornos en la nube híbrida y la seguridad en tiempo real a través de sus servicios Network Security, Workload Security, Container Security, Application Security, File Storage Security, y Conformity.
Para organizaciones que busquen seguridad como software para workloads en runtime, imágenes de container y almacenamiento de archivos y objetos, Deep SecurityTM y Deep Security Smart Check escanean workloads e imágenes de container para detectar malware y vulnerabilidades en cualquier intervalo en el pipeline de desarrollo para prevenir amenazas antes de que se desplieguen las workloads y las imágenes de container.
[/lightTable]
Leave a Reply