Confusión de seguridad en la nube: ¿Qué marcos realmente ayudan?
La seguridad en la nube no es fácil de explicar
Existen marcos de seguridad en la nube que ayudan a organizar qué debería ser o no debería ser la seguridad en la nube. Pero también hay tantos marcos que la confusión en la seguridad de la nube es inevitable
¿Qué marcos ayudan, si los hay?
Una de las cosas que hace que esto sea tan confuso es que existen numerosos acrónimos de nube diferentes que explican diferentes marcos de seguridad en la nube; vale la pena explicar lo que se ha convertido en una especie de bingo de acrónimos.
- Existe la gestión de la postura de seguridad en la nube (CSPM)
- La protección de la carga de trabajo en la nube (CWP)
- Y un nuevo enfoque emergente llamado plataforma de protección de aplicaciones nativas de la nube o CNAPP.
- No olvidemos la administración de derechos e identidades en la nube (CIEM), que se centra en el acceso con privilegios mínimos y los derechos de recursos en la nube pública.
Pero cuando crea aplicaciones y consume cargas de trabajo en la nube pública de Amazon Web Services, Google Cloud Platform (GCP) y Azure
¿Cómo crea un programa de seguridad en la nube?
El principal desafío es que las aplicaciones en la nube se han convertido posiblemente en uno de los vectores de ataque más importantes y, definitivamente, en el vector de ataque más dinámico, donde las herramientas y los programas de seguridad antiguos realmente luchan por agregar mucho valor. Este es un problema de cobertura que todo equipo de seguridad debe enfrentar en estos días.
Dejando de lado las herramientas y los acrónimos, al crear un programa integral de seguridad en la nube, las organizaciones deben centrarse en tres prioridades principales:
- La primera prioridad son las barandillas. ¿Puede crear barandillas contra configuraciones erróneas obvias que conducirán a una violación de datos? ¿Cuántas veces hemos oído hablar de una empresa que ha creado algo en Amazon o Azure solo para que su depósito S3 sea pirateado? o sus bases de datos Firebase, Elastic DB, MongoDB o Azure están comprometidas, a menudo debido a una mala configuración? La buena noticia es que cada año hay más opciones de barandillas de seguridad básicas en la nube, y los precios finalmente están bajando.
- Siguiendo las medidas de seguridad básicas, la segunda prioridad para un programa de seguridad en la nube es proteger las cargas de trabajo, las aplicaciones y los servicios que utilizan los equipos de DevOps. En última instancia, es responsabilidad de la organización identificar y remediar continuamente las vulnerabilidades y las infracciones de las políticas. Estas soluciones de seguridad en la nube deberían ocurrir en la preproducción con la capacidad de aplicar controles durante el tiempo de ejecución de la aplicación en producción. Esto nunca será responsabilidad de Amazon, Microsoft, Google, Alibaba o cualquier otro proveedor de nube pública. Cada pieza de software escrita sobre su infraestructura y API es el código del cliente y la responsabilidad del cliente. Ese es el modelo de responsabilidad compartida de la seguridad en la nube, que se ha quedado atrás en la inversión adecuada por parte de la mayoría de las organizaciones,
- La última prioridad del programa de seguridad en la nube es una tendencia creciente que va más allá de los informes y auditorías básicos: la observabilidad es lo más importante para todos los programas de desarrollo, seguridad y operaciones (DevSecOps). La observabilidad significa observar los entornos no solo a través de la lente del cumplimiento, sino también a través de la lente del riesgo. Evolucionar de solo monitorear a observabilidad debe ser un área importante de inversión para que las organizaciones comprendan completamente cómo es el entorno de la nube. Es un requisito que resulta crítico pero no trivial en la nube pública.
¿Por qué deberíamos preocuparnos por las plataformas de protección de aplicaciones nativas de la nube (CNAPP) como otro acrónimo confuso de seguridad en la nube?
La respuesta es que los principios descritos en CNAPP abordan tres áreas muy importantes: Escaneo de artefactos de aplicaciones (preproducción), Configuración de la nube (barandillas para proteger los servicios subyacentes) y Protección en tiempo de ejecución (observabilidad y defensa de la producción).
- La primera área de protección en CNAPP está en la génesis de la aplicación o cuando el software se crea y se coloca en el entorno de la nube. Ya sea en preparación, preproducción o prueba y desarrollo, aquí es donde necesita un escaneo mejorado. Esto no es nada nuevo para los programas de seguridad de aplicaciones (AppSec), que han mantenido durante mucho tiempo el análisis estático, el análisis dinámico, el análisis de composición de software y el escaneo y descubrimiento de la interfaz de programación de aplicaciones (API). Este paso garantiza que, a medida que se forma la aplicación, los desarrolladores la entiendan y tengan un registro de ella y puedan realizar un análisis de seguridad antes de que se introduzca en el entorno de tiempo de ejecución de producción. Cuando CNPP funciona bien, puede aprovechar los resultados del análisis de AppSec y enviarlos a las siguientes dos etapas de configuración y tiempo de ejecución.
- El segundo principio de CNAP es la configuración en la nube. Ya sea que se trate de CSPM o de las mejores prácticas de configuración de la nube, esto es esencial. Muchas de las filtraciones de datos más importantes que han ocurrido en la nube se pueden atribuir a una mala configuración de la nube como causa raíz. Las pautas de CNPP para la configuración de la nube son más amplias que CSPM porque comienzan a aprovechar las capas de aplicaciones y API que van más allá del escaneo de infraestructura. Además, CNAPP audita el acceso con privilegios mínimos impuesto por la gestión de acceso de identidad (IAM) y la gestión de derechos e identidades en la nube (CIEM).
- La tercera área para CNAPP es la protección en tiempo de ejecución, y esto proviene de un legado de instalación de firewalls, firewalls de aplicaciones web y agentes de detección y respuesta de puntos finales. Este enfoque permite bloquear el tráfico malo y los ataques durante el tiempo de ejecución de la aplicación. Pero cuando se toman las herramientas del antiguo firewall y las eras tradicionales del centro de datos local, junto con los agentes de Windows, y se intenta trasladarlas a un entorno nativo de la nube, las herramientas en su mayoría se han quedado cortas y crean un riesgo significativo para las organizaciones. El enfoque de CNPP para la protección en tiempo de ejecución a menudo se centra en la observabilidad primero, seguido de la aplicación en la capa de aplicación en segundo lugar. El uso de herramientas creadas para aplicaciones en la nube que no requieren agentes tradicionales o puertas de enlace de red son distinciones clave para la aplicación del tiempo de ejecución de CNAPP. También,
Basado en todos los marcos disponibles, CNPP es el enfoque más completo para abordar tres de estas áreas críticas de seguridad para proteger las aplicaciones nativas de la nube y los datos confidenciales. Las organizaciones deben buscar construir sus programas de seguridad en la nube con herramientas que estén centradas en la aplicación de forma predeterminada y que puedan realizar fácilmente análisis de configuración y análisis de protección en tiempo de ejecución para las API y las aplicaciones que se ejecutan sobre estos entornos de nube. Una vez que estas protecciones de tiempo de ejecución y API estén implementadas, las organizaciones pueden estar seguras de que están en el camino correcto hacia controles de protección y observabilidad mejorados de sus cargas de trabajo en la nube.
Fuente: National Interest