Estrategias para evitar errores de seguridad en la nube
Las empresas no deben ver la seguridad en la nube como un obstáculo, sino como un medio para permitir la innovación.
Los entornos de infraestructura en la nube a menudo fomentan configuraciones erróneas complejas que pueden provocar tiempo de inactividad del sistema o infracciones importantes.
Esas configuraciones incorrectas pueden variar desde errores simples que involucran recursos únicos hasta fallas de diseño arquitectónico más amplias que involucran múltiples recursos que son más difíciles de detectar para los equipos de seguridad.
Las configuraciones incorrectas son un problema reconocido a nivel mundial. La mala configuración de los recursos de la nube sigue siendo la vulnerabilidad de la nube más frecuente, y agrega una gran complejidad a la configuración segura de la nube, afirmó la agencia en un informe reciente.
5 formas de conquistar la seguridad en la nube
1- Piensa como un hacker
Conocer tu entorno es fundamental para asegurarlo con éxito. Se recomienda comprender cómo se ejecutan todas las piezas de tu entorno en contexto completo: cómo se diseña e implementa, y cómo los piratas informáticos pueden explotarlo.
2- Integrar seguridad y diseño
En el momento en que un atacante obtiene acceso a tu entorno y compromete el plano de control, es demasiado tarde para detectar y detener el ataque.
El truco es evitar que se implementen configuraciones incorrectas en primer lugar.
Las organizaciones exitosas y seguras han agregado consideraciones de seguridad a sus procesos de diseño para evitar los tipos de vulnerabilidades en la nube que los atacantes tienen como objetivo en los procesos de implementación inicial.
3- Desplazamiento a la izquierda
Cambiar la seguridad a la izquierda, es decir, empoderar a los desarrolladores e ingenieros de DevOps , todos los involucrados en el diseño, desarrollo y administración de la infraestructura de la nube, con herramientas para ayudarlos a diseñar e implementar de manera segura.
4- Implementar política como código
El habilitador de tecnología para la estrategia antes mencionada es la política como código . Al alinear a todos los equipos bajo «la misma fuente de verdad con respecto a la seguridad», las empresas pueden construir una base tecnológica escalable para la seguridad en la nube.
La creación de aplicaciones para la nube es diferente de la práctica tradicional de introducir aplicaciones en la infraestructura física del centro de datos porque incluye la creación de la infraestructura para las aplicaciones. Eso se hace con código, lo que significa que DevOps y los desarrolladores están a cargo de ese proceso.
La política como código permite a los equipos de seguridad compartir reglas de seguridad y cumplimiento a través de un lenguaje de programación que utiliza una aplicación para verificar las configuraciones en busca de errores. Esto se puede hacer automáticamente para verificar otro código o entornos en ejecución en busca de «configuraciones erróneas peligrosas» u otras condiciones no deseadas.
Automatizar ese proceso de encontrar y reparar errores de configuración en la nube es crucial para eliminar las vulnerabilidades antes de que los atacantes puedan acceder a ellas. También disminuye la carga manual de los equipos de seguridad que se encuentran al límite en medio de la escasez de habilidades .
Cuando esa automatización se basa en políticas como código, puede escalarla a medida que crece el uso de la nube y la complejidad. Y los desarrolladores pueden usar esas mismas políticas para garantizar que la infraestructura sea segura antes de la implementación para reducir la frecuencia de las configuraciones incorrectas que deben abordar los equipos de seguridad.
5- Medir lo que importa
Finalmente, las empresas seguras identifican métricas clave de riesgo, velocidad e inversión en seguridad para realizar un seguimiento antes de establecer líneas de base, establecer objetivos y medir el progreso.
Necesitas saber cuál es tu posición actual en materia de seguridad en la nube, hacia dónde quiere ir y poder medir tu progreso en el camino. Considera cuánto riesgo estás asumiendo en la nube, qué tan rápido tus equipos logran avances en la seguridad de la nube y cuántas horas de ingeniería se invierten en la seguridad de la nube, por ejemplo.
Estas estrategias están en práctica en muchas organizaciones con programas efectivos de seguridad en la nube y deberían ser posibles de emular para cualquier empresa.
Fuente: Sdxcentral