Cuenta Iniciar sesión
Jump to section

¿En qué se distingue la seguridad de la nube?

Copiar URL

La seguridad de la nube es la protección de los datos, las aplicaciones y las infraestructuras relacionados con el cloud computing. Muchos aspectos de la seguridad de los entornos de nube, ya sea pública, privada o híbrida, son los mismos que los de cualquier arquitectura local de TI.

Las preocupaciones de seguridad de alto nivel (como la exposición de datos no autorizada o la filtración de información, los controles de acceso vulnerables, la susceptibilidad a los ataques y las interrupciones de la disponibilidad) afectan a la TI tradicional y a los sistemas de nube por igual. Al igual que en cualquier entorno informático, la seguridad de la nube implica mantener una protección preventiva adecuada que le permita lo siguiente:

  • Tener la certeza de que los datos y los sistemas están protegidos.
  • Ver el estado actual de la seguridad.
  • Saber inmediatamente si sucede algo inusual.
  • Hacer un seguimiento y responder ante eventos inesperados.

Si bien muchas personas conocen los beneficios del cloud computing, es comprensible que tengan miedo de implementarlo debido a las amenazas de seguridad. Es difícil pensar en algo que se encuentra entre los recursos abstractos que se envían por Internet y los servidores físicos. Se trata de un entorno dinámico donde todo cambia constantemente, incluso las amenazas de seguridad. La cuestión es que, en su mayor parte, la seguridad de la nube es la seguridad de la TI. Una vez que entienda las diferencias específicas, la palabra "nube" no generará tanta inseguridad.

Eliminación de los perímetros

La seguridad está muy relacionada con el acceso. En los entornos tradicionales, el acceso suele controlarse mediante modelos de seguridad del perímetro. Los entornos de nube se encuentran extremadamente conectados, lo que facilita el tráfico para omitir las defensas tradicionales del perímetro. Las interfaces de programación de aplicaciones (API) que no son seguras, la gestión deficiente de la identidad y las credenciales, los secuestros de cuentas y los infiltrados maliciosos pueden representar amenazas para el sistema y los datos. Para evitar el acceso no autorizado a la nube, se debe adoptar un enfoque centrado en los datos. Cifrar los datos. Es necesario fortalecer el proceso de autorización, exigir contraseñas seguras y la autenticación de doble factor, y aplicar mecanismos de seguridad en todos los niveles.

Ahora todo está en el software

La palabra "nube" hace referencia a los recursos alojados que llegan al usuario a través del software. Las infraestructuras de cloud computing y todos los datos que se procesan son dinámicos, se pueden ampliar y son portátiles. Los controles de seguridad de la nube deben responder ante los cambios en el entorno y acompañar las cargas de trabajo y los datos en reposo y en tránsito, ya sea como partes inherentes de las cargas de trabajo (como ocurre con el cifrado) o de forma dinámica a través de un sistema de gestión de la nube y las API. Esto permite proteger los entornos de nube de la corrupción del sistema y la pérdida de datos.

Entorno de amenazas sofisticadas

Las amenazas sofisticadas son todo aquello que impacta de forma negativa en la informática moderna que, sin duda, incluye las nubes. Los sistemas malware que son cada vez más sofisticados y los demás ataques, como las amenazas persistentes avanzadas (APT), están diseñados para evadir las defensas de la red aprovechando los puntos vulnerables de la pila informática. Las filtraciones de datos pueden dar lugar a la divulgación no autorizada de la información y la alteración de los datos. No hay una solución clara para estas amenazas, pero es su responsabilidad estar al tanto de las prácticas de seguridad de la nube en constante evolución para mantenerse al día con las nuevas amenazas.

Independientemente del tipo de implementación de nube que utilice, usted debe encargarse de la seguridad de su propio espacio en ella. Aunque use una nube cuyo mantenimiento esté a cargo de otra persona, no debería relajarse: la falta de la diligencia correspondiente es la principal causa de las fallas en la seguridad. La seguridad de la nube es responsabilidad de todos, e incluye tomar las siguientes medidas:

Usar software confiable

Lo que está adentro de la nube es importante. Es importante conocer de dónde provienen los paquetes originalmente, quién los diseñó y si hay algún código malicioso en ellos, al igual que con cualquier otro código que se descarga de una fuente externa. Obtenga los sistemas de software de fuentes conocidas y confiables y asegúrese de que cuenta con los mecanismos adecuados para proporcionar e instalar las actualizaciones cuando sea oportuno.

Entender el concepto de cumplimiento

Los datos personales y financieros, y demás información confidencial, pueden estar sujetos a normas estrictas de cumplimiento. Las leyes varían en función del lugar donde desarrolle su actividad y con quién trabaje. Por ejemplo, consulte el Reglamento General de Protección de Datos (GDPR) de la Unión Europea. Verifique cuáles son sus requisitos de cumplimiento antes de elegir la implementación de la nube.

Administrar los ciclos de vida

Los entornos originales de la nube facilitan la creación de las instancias nuevas y permiten dejar de lado las anteriores. Las instancias abandonadas pueden ser perjudiciales, ya que permanecen activas pero sin supervisión, y pueden quedar desactualizadas rápidamente, lo cual implica que no se aplicarán nuevos parches de seguridad. La gestión del ciclo de vida y las políticas de control permiten abordar este problema.

Considerar la portabilidad

Debe preguntarse si es posible trasladar fácilmente sus cargas de trabajo a otra nube. Los acuerdos de nivel de servicio (SLA) deben definir claramente cuándo y cómo el proveedor de la nube devuelve los datos o las aplicaciones del cliente. Incluso si no prevé trasladar ningún elemento en la actualidad, es muy probable que lo haga más adelante. Garantice la portabilidad ahora para evitar problemas en el futuro.

Supervisar los entornos constantemente

Si supervisa sus espacios de trabajo, podrá evitar los fallos de seguridad, o al menos disminuir sus consecuencias. Puede usar una plataforma de gestión de nube unificada, como Red Hat CloudForms, para controlar cada uno de los recursos en todos los entornos.

Elegir a las personas indicadas

Contrate y asóciese a personas calificadas y confiables que entiendan las complejidades de la seguridad de la nube. A veces, la infraestructura de nube pública puede ser más segura que la nube privada de una empresa específica, porque el proveedor tiene un equipo de seguridad mejor preparado y más capacitado.

Analicemos esta pregunta. Podríamos detallar todas las diferencias de seguridad que hay entre los tres tipos de implementación de nube: pública, privada e híbrida, pero sabemos que solo le interesa descubrir si las nubes públicas son seguras; y la respuesta es esta: depende.

Las nubes públicas son adecuadamente seguras para muchos tipos de cargas de trabajo, pero no son adecuadas para todo, en gran medida, porque no cuentan con el aislamiento de las nubes privadas. Las nubes públicas admiten la arquitectura multiempresa, lo cual significa que varias empresas alquilan la potencia informática (o el espacio de almacenamiento) al proveedor de la nube. Cada inquilino firma un acuerdo de nivel de servicio (SLA) con el proveedor de la nube que documenta quién es responsable y por qué cosas se responsabiliza. Es muy parecido a alquilar un espacio físico a un arrendador. El propietario (el proveedor) se compromete a realizar el mantenimiento del edificio (la infraestructura de la nube), conservar las llaves (el acceso) y, en general, no estorbar al inquilino (respetar la privacidad). A cambio, el inquilino acuerda no hacer nada que pudiera afectar la integridad del edificio o molestar a los demás inquilinos (p. ej., ejecutar aplicaciones que no son seguras). Pero no se puede elegir a los vecinos, y es posible que alguno de ellos permita el acceso a algún sistema malicioso. Mientras el equipo de seguridad de la infraestructura del proveedor de la nube controla si se producen eventos inusuales, puede haber amenazas agresivas o imperceptibles, como los ataques de denegación distribuida de servicios (DDoS), que afecten a otros usuarios.

Afortunadamente, hay algunos estándares de seguridad, normativas y marcos de control aceptados en el sector, como la Cloud Controls Matrix de la Cloud Security Alliance. También puede optar por el aislamiento en un entorno de arquitectura multiempresa implementando medidas de seguridad adicionales (como el cifrado y las técnicas de reducción de los DDoS), que protegen las cargas de trabajo de una infraestructura comprometida. Si eso no es suficiente, puede lanzar agentes de seguridad de acceso a la nube para supervisar la actividad y aplicar las políticas de seguridad para las funciones empresariales de bajo riesgo. Sin embargo, es posible que todo esto no sea suficiente para los sectores que operan bajo normas de estricta privacidad, seguridad y conformidad.

Las decisiones de seguridad están muy relacionadas con la tolerancia a los riesgos y con el análisis de los costos y los beneficios. ¿Cuál es el impacto de los posibles riesgos y beneficios en el funcionamiento general de su empresa? ¿Qué es lo más importante? No todas las cargas de trabajo demandan el nivel más alto de cifrado y seguridad. Considérelo de esta manera: si bien al cerrar su casa con llave mantiene todas sus pertenencias relativamente seguras, aun así guarda sus cosas más valiosas en una caja fuerte. Es bueno tener diferentes opciones.

Por eso cada vez más empresas adoptan las nubes híbridas, que ofrecen lo mejor de cada nube. La nube híbrida es una combinación de dos o más entornos interconectados de nubes públicas o privadas.

Las nubes híbridas permiten elegir dónde colocar las cargas de trabajo y los datos según los requisitos de cumplimiento, auditoría, política o seguridad. De esta manera, se protegen las cargas de trabajo que involucran información confidencial en una nube privada, y se ejecutan las cargas de trabajo menos sensibles en la nube pública. Hay algunos desafíos en cuanto a la seguridad que son particulares de la nube híbrida, como la migración de los datos, el aumento de la complejidad y una superficie de ataque mayor; pero la presencia de varios entornos puede constituir una de las defensas más fuertes contra estos riesgos.

Artículos relacionados

ARTÍCULO

¿Qué es DevSecOps?

Si desea aprovechar al máximo la agilidad y la capacidad de respuesta de los enfoques de DevOps, la seguridad de la TI debe desempeñar un papel principal en todo el ciclo de vida de sus aplicaciones.

ARTÍCULO

¿En qué se distingue la seguridad de la nube?

Los problemas de seguridad de alto nivel afectan a los sistemas de TI tradicionales y de nube por igual. Descubra en qué se diferencian.

ARTÍCULO

¿Qué es SOAR?

SOAR hace referencia a tres funciones clave del software que utilizan los equipos de seguridad: la gestión de casos y flujos de trabajo, la automatización de tareas y un medio centralizado para acceder a la información sobre las amenazas, realizar consultas y compartir dicha información.

Más información sobre la seguridad

Productos

Red Hat Certificate System

Marco de seguridad que gestiona las identidades de los usuarios y permite mantener la privacidad de las comunicaciones.

Red Hat Advanced Cluster Security Kubernetes

Solución empresarial de seguridad de los contenedores de Kubernetes que permite diseñar, implementar y ejecutar aplicaciones en la nube con mayor seguridad.

Red Hat Insights

Servicio de análisis predictivo que permite identificar y corregir amenazas a la seguridad, el rendimiento y la disponibilidad de su infraestructura de Red Hat.

Red Hat Advanced Cluster Management Kubernetes

Consola con políticas de seguridad integradas para controlar las aplicaciones y los clústeres de Kubernetes.

Contenido adicional

Illustration - mail

Obtenga más contenido como este

Suscríbase a nuestro boletín informativo: Red Hat Shares.