¿Qué es la seguridad de la nube híbrida?

La seguridad de la nube híbrida consiste en la protección de los datos, las aplicaciones y la infraestructura relacionados con una arquitectura de TI que incorpora cierto grado de gestión, organización y portabilidad de las cargas de trabajo en varios entornos de TI, los cuales incluyen al menos una nube pública o privada.

Las nubes híbridas ofrecen la posibilidad de reducir la exposición potencial de tus datos. Puedes mantener los datos importantes o confidenciales fuera de la nube pública, sin dejar de aprovecharla para la información que no presenta el mismo tipo de riesgo.

Ventajas de usar la nube híbrida para mejorar la seguridad de tus datos

Con las nubes híbridas, las empresas eligen la ubicación de las cargas de trabajo y los datos en función de los requisitos de cumplimiento normativo, auditoría, políticas o seguridad.

Si bien los diversos entornos que conforman una nube híbrida siguen siendo entidades únicas e individuales, se simplifica la migración entre ellos con el uso de los contenedores o las interfaces de programación de aplicaciones (API) cifradas que ayudan a trasladar los recursos y las cargas de trabajo. Esta arquitectura independiente pero conectada es la que permite que las empresas ejecuten las cargas de trabajo más importantes en la nube privada y aquellas menos confidenciales en la nube pública. Se trata de una configuración que reduce la exposición de los datos y ofrece a las empresas la posibilidad de personalizar una cartera de TI flexible.

La seguridad de la nube híbrida, al igual que la seguridad informática en general, consta de tres partes: los elementos físicos, los técnicos y los administrativos.

Los controles físicos protegen el hardware. Algunos ejemplos son las cerraduras, el personal de seguridad y las cámaras de vigilancia.

Los controles técnicos son protecciones integradas en los propios sistemas de TI, como el cifrado, la autenticación de red y el software de gestión. Muchas de las herramientas de seguridad más eficaces para la nube híbrida son de carácter técnico.

Por último, los controles administrativos son programas que ayudan a las personas a adoptar ciertos comportamientos para mejorar la seguridad, como la capacitación y la planificación ante desastres.

Lista de verificación: El cloud computing puede respaldar tus funciones de seguridad de seis formas diferentes

Las nubes híbridas pueden abarcar varios entornos físicos, por lo que la seguridad se vuelve todo un desafío. En efecto, no es posible establecer un perímetro alrededor de todas las máquinas y bloquear el acceso.

En el caso de recursos compartidos como una nube pública, es posible que se apliquen acuerdos de nivel de servicio (SLA) con el proveedor de la nube que determinen los estándares de seguridad física que se cumplirán. Por ejemplo, algunos proveedores de nube pública mantienen acuerdos con clientes del ámbito gubernamental para dar acceso al hardware físico únicamente a ciertos miembros del personal.

Sin embargo, aunque se apliquen SLA adecuados, cuando se depende de un proveedor de nube pública se cede cierto nivel de control. Por ello, otros controles de seguridad cobran aún más relevancia.

Los controles técnicos son fundamentales para la seguridad de la nube híbrida. La gestión concentrada de la nube híbrida facilita la implementación de los controles técnicos.

Algunas de las herramientas más eficaces de seguridad para la nube híbrida incluyen el cifrado, la automatización, la organización, el control de acceso y la seguridad del extremo de la red.

Cifrado

El cifrado reduce significativamente el riesgo de que cualquier dato legible se vea expuesto, incluso si se compromete una máquina física.

Puedes cifrar tanto los datos en reposo como aquellos en tránsito. A continuación, se explica cómo hacerlo:

Protege tus datos en reposo:

• El cifrado del disco completo (o de particiones) protege los datos mientras la computadora está apagada. Puedes usar el formato Linux Unified Key Setup-on-disk (LUKS), que permite cifrar las particiones del disco duro de manera masiva.
• El cifrado de hardware protege el disco duro contra accesos no autorizados. Puedes usar el Trusted Platform Module (TPM), un chip de hardware que almacena claves criptográficas. Cuando el TPM está activado, el disco duro permanece bloqueado hasta que el usuario pueda autenticar su acceso.
• Cifra los volúmenes raíz sin necesidad de ingresar manualmente tus contraseñas. Si diseñaste un entorno de nube con un alto nivel de automatización, aprovéchalo como base para el cifrado automatizado. Si utilizas Linux, prueba Network Bound Disk Encryption (NBDE), que funciona tanto en máquinas físicas como virtuales. Puedes obtener aún más control al integrar el TPM con NBDE para obtener dos capas de seguridad (el primero protege los sistemas locales y el segundo, los entornos en red).

Protege tus datos en tránsito:

• Cifra tus sesiones de red. Los datos en tránsito corren mayor riesgo de ser interceptados y alterados. Puedes usar Internet Protocol Security (IPsec), una extensión del protocolo de Internet que emplea criptografía.
• Elige productos que ya implementen estándares de seguridad.  Busca aquellos que cumplan con la certificación Federal Information Processing Standard (FIPS) 140-2, que utiliza módulos criptográficos para proteger los datos de alto riesgo.

Automatización

Para comprender por qué la automatización es ideal para los entornos de nube híbrida, hay que tener en cuenta las desventajas de realizar la supervisión y la aplicación de parches de manera manual.

La supervisión manual de la seguridad y del cumplimiento normativo suele entrañar más riesgos que beneficios. Se corre el riesgo de que la gestión de la configuración y los parches manuales se implementen a destiempo. También dificulta la implementación de sistemas de autoservicio. En caso de un fallo de seguridad, se pueden perder los registros de las configuraciones y de los parches manuales, lo que puede generar conflictos y acusaciones entre los miembros del equipo. Además, los procesos manuales tienden a ser más propensos a errores y consumen más tiempo.

En cambio, la automatización te permite anticiparte a los riesgos en lugar de reaccionar a ellos. La automatización te ofrece la posibilidad de establecer reglas, compartir procesos y comprobarlos, lo que, en última instancia, facilita la aprobación de las auditorías de seguridad. Al evaluar tus entornos de nube híbrida, considera automatizar los siguientes procesos:

• supervisión de los entornos;
• gestión de los datos;
• verificación del cumplimiento;
• implementación de parches;
• aplicación de configuraciones de seguridad personalizadas o reglamentarias.

Organización

La organización en la nube ofrece un nivel superior. Se puede pensar en la automatización como la selección de ingredientes específicos, y en la organización como un recetario que los combina.

Gracias a la organización, puedes gestionar los recursos de la nube y el software relacionado con ellos como una sola unidad y, luego, implementarlos con una plantilla de forma automatizada y replicable.

El mayor beneficio de la organización para la seguridad es la estandarización. Te permite ofrecer la flexibilidad de la nube y, al mismo tiempo, garantizar que los sistemas implementados cumplen con tus estándares de seguridad y cumplimiento normativo.

Control de acceso

Las nubes híbridas también dependen del control de acceso. Restringe las cuentas de los usuarios para que solo tengan los privilegios que necesitan y considera implementar la autenticación de dos factores. Limitar el acceso a los usuarios conectados a una red privada virtual (VPN) también puede ayudarte a mantener los estándares de seguridad.

Seguridad en el extremo de la red

La seguridad en el extremo de la red suele implicar el uso de software para revocar el acceso de forma remota o borrar datos confidenciales si a un usuario se le pierde o le roban el smartphone, la tableta o la computadora, o si estos son objeto de un ataque informático.

Los usuarios pueden conectarse a una nube híbrida con dispositivos personales desde cualquier lugar, lo que convierte la seguridad en el extremo en un elemento de control imprescindible. Es posible que alguien ataque sus sistemas suplantando la identidad de los usuarios y utilizando malware, que pone en riesgo los dispositivos personales.

Aunque lo incluimos en este apartado como uno de los elementos de control técnico, la seguridad en el extremo de la red combina controles físicos, técnicos y administrativos: protege los dispositivos físicos, utiliza controles técnicos para limitar los riesgos si un dispositivo cae en manos equivocadas y capacita a los usuarios en prácticas recomendadas de seguridad.

Por último, se implementan los controles administrativos para contemplar los factores humanos. Dado que los entornos de nube híbrida están sumamente conectados, la seguridad compete a todos los usuarios.

Un ejemplo de control administrativo es la preparación y la recuperación ante desastres. Si una parte de la nube híbrida queda sin conexión, ¿qué acciones debe tomar cada persona? ¿Tienes protocolos establecidos para la recuperación de datos?

La arquitectura híbrida ofrece importantes ventajas para la seguridad administrativa. Los recursos pueden estar distribuidos entre el hardware local y externo, por lo que cuentas con distintas opciones de respaldo y redundancias. En soluciones híbridas que combinan nubes públicas y privadas, puedes realizar una conmutación por error a la nube pública si falla un sistema de la nube de tu centro de datos privado.

¿Qué son SPIFFE y SPIRE?

Para lograr la seguridad de la TI, se requiere tiempo y constancia. El panorama de amenazas está en constante cambio. Por eso, en lugar de esforzarte por conseguir un estado de protección perfecto (que es imposible de alcanzar), concéntrate en proceder paso a paso y adoptar medidas razonables y bien planificadas para mejorar la seguridad de a poco.