Seguridad

¿Cuáles son las diferencias con respecto a la seguridad de la nube?

La seguridad de la nube es la protección de los datos, las aplicaciones y las infraestructuras involucradas en cloud computing. Muchos aspectos de la seguridad de los entornos de nube (ya sea una nube pública, privada o híbrida) son los mismos que los de cualquier arquitectura de TI local.

Las preocupaciones de seguridad de alto nivel (como la exposición de datos no autorizada o la filtración de información, los controles de acceso vulnerables, la susceptibilidad a los ataques y las interrupciones de la disponibilidad) afectan a la TI tradicional y a los sistemas de nube por igual. Como en cualquier entorno informático, la seguridad de la nube implica mantener protecciones preventivas adecuadas de tal manera que usted pueda:

  • Saber que los datos y sistemas son seguros.
  • Ver el estado actual de la seguridad.
  • Saber inmediatamente si sucede algo inusual.
  • Hacer un seguimiento y responder ante eventos inesperados.

¿Por qué es diferente la seguridad de la nube?

Mientras que muchas personas entienden los beneficios de cloud computing, de la misma manera, se sienten disuadidos de implementarlo por las amenazas de seguridad. Lo comprendemos. Es difícil pensar en algo que existe en algún lugar entre los recursos amorfos enviados por Internet y un servidor físico. Es un entorno dinámico donde todo está en constante cambio, como las amenazas de seguridad. Se trata de que, en su mayor parte, la seguridad de la nube es seguridad de TI. Y una vez que entiende las diferencias específicas, la palabra "nube" no genera tanta inseguridad.

Anulación de perímetros

La seguridad está muy relacionada con el acceso. Los entornos tradicionales, generalmente, controlan el acceso mediante un modelo de seguridad del perímetro. Los entornos de nube se encuentran extremadamente conectados, lo que facilita el tráfico para omitir las defensas tradicionales del perímetro. Las interfaces de programación de aplicaciones (API) que no son seguras, la gestión deficiente de identidad y credenciales, los secuestros de cuentas y los infiltrados malintencionados pueden representar amenazas para el sistema y la información. Evitar el acceso no autorizado a la nube requiere adoptar un enfoque centrado en la información. Cifrar los datos. Fortalecer el proceso de autorización. Exigir contraseñas sólidas y autenticación de doble factor. Crear seguridad en todos los niveles.

Ahora todo está en el software

La "nube" (o cloud) se refiere a los recursos alojados que se entregan a un usuario a través de software. Las infraestructuras de cloud computing, junto con todos los datos que se procesan, son dinámicas, estables y portátiles. Los controles de seguridad de la nube deben responder ante las variables del entorno y acompañar las cargas de trabajo y los datos estáticos y en tránsito, tanto como partes inherentes de las cargas de trabajo (p. ej., cifrado) como de forma dinámica a través de un sistema de gestión de nube y API. Esto ayuda a proteger los entornos de nube de la corrupción del sistema y la pérdida de datos.

Entorno de amenazas sofisticadas

Las amenazas sofisticadas constituyen todo aquello que impacta de forma negativa en la informática moderna que, sin duda, incluye a la nube. Las amenazas provenientes de malware cada vez más sofisticado y otros ataques, como las amenazas persistentes avanzadas (APT), están diseñados para evadir las defensas de la red aprovechando las vulnerabilidades de la pila informática. Las filtraciones de datos pueden dar como resultado la divulgación de información no autorizada y la alteración de datos. No hay una solución clara para estas amenazas, excepto que es su responsabilidad estar al tanto de las prácticas de seguridad de la nube en constante evolución para mantenerse al día con las nuevas amenazas que surgen.


La seguridad de la nube es una responsabilidad compartida

Independientemente del tipo de implementación de nube que utilice, usted es responsable de la seguridad de su propio espacio en la nube. Usar una nube mantenida por otra persona no significa que pueda, ni deba, sentarse y relajarse. La diligencia debida insuficiente es la principal causa de las fallas en la seguridad. La seguridad de la nube es responsabilidad de todos, y esto incluye:

Lo que está adentro de la nube es importante. Tal como ocurre con cualquier código que descarga de una fuente externa, usted debe conocer de dónde provienen los paquetes originalmente, quién los diseñó y si hay algún código malicioso en ellos. Obtenga software de fuentes conocidas y confiables y asegúrese de que cuenta con los mecanismos para proporcionar e instalar las actualizaciones oportunamente.

Los datos personales, financieros y de otro tipo pueden estar sujetos a estrictas normativas de cumplimiento. Las leyes varían en función del lugar (y con quién) realiza negocios; por ejemplo, consulte el Reglamento General de Protección de Datos (GDPR) de la Unión Europea. Consulte sus requerimientos de cumplimiento antes de elegir la implementación de una nube.

Los entornos nativos de la nube facilitan la generación de nuevas instancias, y también es fácil olvidarse de las anteriores. Las instancias olvidadas pueden convertirse en zombis de la nube; es decir, pueden estar activas, pero sin supervisión. Estas instancias abandonadas puede desactualizarse rápidamente, y esto implica que no habrá nuevos parches de seguridad. La administración del ciclo de vida y las políticas de gobernanza pueden ser útiles.

¿Puede trasladar fácilmente sus cargas de trabajo a otra nube? Los acuerdos de nivel de servicio (SLA) deben definir claramente cuándo y cómo el proveedor de la nube devuelve los datos o las aplicaciones del cliente. Incluso si no prevé mover las cosas pronto, es muy probable que esto pase. Prevenga futuras preocupaciones al considerar la portabilidad ahora.

Controlar lo que ocurre en sus espacios de trabajo puede ayudarlo a evitar, o al menos a inhibir, el efecto de las vulnerabilidades de seguridad. Una plataforma de gestión de nube unificada (como Red Hat CloudForms) puede ayudarlo a supervisar cada uno de los recursos en todos los entornos.

Contrate y asóciese a personas calificadas y confiables que entienden las complejidades de la seguridad de la nube. A veces, la infraestructura de nube pública puede ser más segura que la nube privada de una organización específica porque el proveedor de la nube pública tiene un equipo de seguridad más equipado y mejor informado.


¿Son seguras las nubes públicas?

De acuerdo. Analicemos esta pregunta. Podríamos describirle todas las diferencias de seguridad que existen entre los tres tipos de implementación (pública, privada e híbrida), pero sabemos que lo que en realidad se pregunta es si las nubes públicas son seguras. Bueno, eso depende.

Las nubes públicas son adecuadamente seguras para muchos tipos de cargas de trabajo, pero no son adecuadas para todo, en gran medida, porque no cuentan con el aislamiento de las nubes privadas. Las nubes públicas dan soporte a la arquitectura multinquilino, lo que significa que usted alquila potencia informática (o espacio de almacenamiento) al proveedor de la nube junto con otros "inquilinos". Cada inquilino firma un acuerdo de nivel de servicio (SLA) con el proveedor de la nube que documenta quién es responsable y por qué cosas se responsabiliza. Es muy parecido a alquilar un espacio físico a un arrendador. El arrendador (proveedor de la nube) promete realizar el mantenimiento del edificio (infraestructura de la nube), tener las llaves (acceso) y, generalmente, no estorbar al inquilino (privacidad). A cambio, el inquilino promete no hacer nada (p. ej., ejecutar aplicaciones que no son seguras) que pudiera corromper la integridad del edificio o molestar a otros inquilinos. Sin embargo, usted no puede elegir a sus vecinos, y es posible que termine con un vecino que permita el acceso a algo dañino. Mientras el equipo de seguridad de infraestructura del proveedor de la nube controla si se producen eventos inusuales, las amenazas agresivas o imperceptibles (como los malintencionados ataques distribuidos de denegación de servicio [DDoS]) pueden afectar negativamente a otros inquilinos.

Afortunadamente, hay algunos estándares y regulaciones de seguridad aceptados por la industria y marcos de trabajo de control, como la matriz de controles en la nube de la Cloud Security Alliance. También puede aislarse en un entorno de multinquilino mediante la implementación de medidas adicionales de seguridad (como el cifrado y las técnicas de reducción de los DDoS) que protegen a las cargas de trabajo de una infraestructura comprometida. Si eso no es suficiente, puede lanzar agentes de seguridad de acceso a la nube para supervisar la actividad y aplicar las políticas de seguridad para las funciones empresariales de bajo riesgo. Sin embargo, es posible que todo esto no sea suficiente para los sectores que operan bajo normas de estricta privacidad, seguridad y conformidad.

Disminuir el riesgo con la nube híbrida

Las decisiones de seguridad están muy relacionadas con la tolerancia al riesgo y con el análisis de costos y beneficios. ¿Cómo pueden afectar los posibles riesgos y beneficios el funcionamiento general de su organización? ¿Qué es lo más importante? No todas las cargas de trabajo demandan el nivel más alto de cifrado y seguridad. Considérelo de esta manera: cerrar su casa con llave mantiene todas sus pertenencias relativamente seguras, pero, aun así, guarda sus cosas más valiosas en una caja fuerte. Tener opciones es bueno.

Este es el motivo por el que cada vez más empresas están migrando a las nubes híbridas, que ofrecen lo mejor de todas las nubes. Las nubes híbridas permiten elegir dónde colocar las cargas de trabajo y los datos según el cumplimiento, las auditorías, las políticas o los requisitos de seguridad; de esta manera, protegen especialmente las cargas de trabajo sensibles en una nube privada y a la vez operan con cargas de trabajo menos sensibles en la nube pública. Existen algunos desafíos singulares en cuanto a la seguridad de las nubes híbridas (como la migración de datos, el aumento de la complejidad y una mayor superficie de ataque), pero la presencia de varios entornos puede constituir una de las defensas más fuertes contra los riesgos de seguridad.

Podemos ayudarlo con la seguridad de la nube

Una solución completa de infraestructura como servicio de nube privada con una gestión sin fallas en todas las implementaciones de nubes públicas y privadas.

Un conjunto unificado de capacidades de gestión para la nube privada, la nube pública y las plataformas de virtualización.

Un sistema de software empresarial que brinda un marco escalable y seguro para establecer y mantener identidades de confianza y conservar la privacidad de las comunicaciones.

Un registro basado en la red independiente del sistema operativo que permite a los administradores almacenar de manera central la identidad del usuario y la información de la aplicación.

Todavía queda mucho por hacer con la seguridad