Conceptos básicos de seguridad en la nube: definición
Los conceptos básicos de la seguridad en la nube incluyen ser conscientes de lo que los equipos de seguridad necesitan proteger en la nube, administrar qué empleados tienen acceso a la nube, qué pueden hacer con la nube y garantizar que los equipos de seguridad en la nube estén suficientemente capacitados.
Cada vez más organizaciones se trasladan a la nube y utilizan los servicios asociados a ella. La mayoría de las organizaciones confían en la nube pública para proteger los datos confidenciales. Sin embargo, los proveedores de servicios en la nube no manejan todos los aspectos de la seguridad que afectan a la nube. Por eso, las organizaciones que priorizan la nube planean colocar el 27 % de los presupuestos de seguridad, en promedio, en la seguridad de la nube con la expectativa de que crezca con el tiempo.
Otras preocupaciones sobre la seguridad en la nube se muestran en el 40% de los encuestados que ralentizan la adopción de la nube debido al personal de seguridad cibernética poco calificado. Además, una cuarta parte de los encuestados experimentó el robo de datos de la nube pública y el 20 % sufrió un ataque avanzado contra su infraestructura de nube pública. La necesidad de seguridad en la nube es real. A continuación se presentan algunos aspectos básicos de la seguridad en la nube que deben tener en cuenta las organizaciones que buscan un entorno de nube más seguro.
Modelo de Responsabilidad Compartida
El modelo de responsabilidad compartida describe los elementos de seguridad que maneja el proveedor de servicios en la nube o el cliente. El alcance de la responsabilidad varía según el servicio o los servicios para los que el cliente utiliza la nube. Estos servicios incluyen software como servicio (SaaS) , plataforma como servicio (PaaS) e infraestructura como servicio (IaaS) .
Según el proveedor de servicios en la nube que utilice una organización, la división de responsabilidades variará. Esta sección analizará el concepto general que estos proveedores modifican para adaptarse a su negocio.
SaaS: las organizaciones tienen menos de qué preocuparse al proteger la nube si solo usan aplicaciones SaaS. El proveedor de servicios en la nube protege la infraestructura que ejecuta la aplicación y la propia aplicación. Las organizaciones deben proteger y administrar los datos que colocan en la nube. Además, la organización gestiona qué empleados utilizan la aplicación y cómo la utilizan.
PaaS: las organizaciones que utilizan los servicios de PaaS tienen que proteger los mismos elementos que para las ofertas de SaaS, así como la implementación y administración de aplicaciones. Los proveedores de servicios en la nube están a cargo de proteger la infraestructura y los sistemas operativos que ejecutan los servicios.
IaaS: las organizaciones tienen el mayor control del entorno de nube que utilizan con los servicios de IaaS; sin embargo, eso significa que deben asegurar más. Además de las responsabilidades mencionadas anteriormente, las organizaciones también son responsables de proteger los sistemas operativos invitados y configurar el software de seguridad o dispositivos como firewalls que protegen la infraestructura alquilada.
Gestión de Acceso
Una de las responsabilidades del cliente de la nube es controlar quién tiene acceso a la nube y en qué medida pueden acceder a ella.
Los actores maliciosos de fuera de la organización pueden acceder a la nube obteniendo las credenciales de los empleados. Los actores malintencionados desde dentro de la organización pueden abusar del grado de acceso que se les ha otorgado.
Para limitar las amenazas internas, las organizaciones deben asegurarse de que los empleados cuyos roles de trabajo hayan cambiado o hayan dejado la organización ya no tengan sus niveles de acceso anteriores. Esto se puede hacer auditando y actualizando regularmente las listas de control de acceso (ACL), además de hacer que el software de seguridad supervise los comportamientos.
La autenticación multifactor (MFA) puede dificultar que los piratas informáticos obtengan las credenciales de acceso necesarias. MFA involucra a los empleados que usan múltiples formas de credenciales para obtener acceso a parte de la nube que ha sido protegida. Por ejemplo, es posible que un empleado deba usar una contraseña segura, ingresar un código enviado a su teléfono y proporcionar evidencia biométrica de su identidad.
El control de acceso basado en roles ( RBAC ) utiliza roles de usuario asignados asociados con cuentas de usuario. Una vez que se ha autenticado la identidad de un usuario, la función que se le ha asignado limitará las capacidades disponibles para un usuario. Por ejemplo, un usuario puede estar limitado a ver archivos, crear archivos o editar archivos. Esto limita las amenazas internas en las que el empleado abusaría de su acceso a la nube.
Obstáculos comunes de seguridad en la nube
Las cuatro principales áreas problemáticas de seguridad para los centros de operaciones de seguridad (SOC) son el cumplimiento de las regulaciones, la falta de visibilidad de la seguridad de la infraestructura, el establecimiento de políticas de seguridad coherentes en todos los entornos y la falta de personal calificado. personal de seguridad.
La velocidad del cambio y la complejidad de la nube es una de las principales razones por las que el cumplimiento de la normativa es difícil para las organizaciones. Cuando la infraestructura de la nube cambia, es posible que una organización no sepa qué significan esos cambios para sus responsabilidades. La complejidad de un entorno de nube significa que una organización puede pasar por alto una vulnerabilidad en el entorno, dejándola abierta a ataques.
Sin un grado suficiente de visibilidad de la infraestructura de la nube, las organizaciones pueden perder vulnerabilidades en la nube, evidencia de infiltración o comportamiento anómalo del usuario. Una mayor visibilidad para las organizaciones significa una respuesta más rápida a las infracciones en la nube antes .
Si una organización no tiene políticas de seguridad establecidas de manera consistente en la nube y en los entornos locales, los piratas informáticos inevitablemente encontrarán y explotarán las vulnerabilidades.
Es difícil mantener a los empleados actualizados sobre las complejidades de la seguridad en la nube. El personal de seguridad en la nube no informado no puede protegerse contra amenazas contra las que no está capacitado para defenderse. Alternativamente, si no saben lo suficiente sobre la infraestructura de la nube, entonces no importa cuánta visibilidad haya: las vulnerabilidades pasarán desapercibidas. Si este es un problema que tiene una organización, mejorar las habilidades de sus empleados es una solución más efectiva y asequible que reemplazarlo.
Fuente: SDX Central