Opciones para la seguridad de la nube híbrida
En este artículo, exploramos los modelos de responsabilidad compartida para la gestión de la nube híbrida, junto con los controles de seguridad de los seguros cibernéticos.
No todas las empresas tienen una presencia de nube híbrida o multinube en la actualidad y todo se reduce a la seguridad de la nube. A medida que los proveedores de la nube lanzan nuevas ofertas de Infraestructura como servicio (IaaS) y Plataforma como servicio (PaaS), a algunas empresas les resultará difícil no migrar, solo si existen controles de seguridad para proteger los datos a los que los equipos de seguridad no pueden acceder directamente.
La seguridad fue la razón principal por la que los encuestados usan múltiples nubes mientras intentan equilibrar el rendimiento y la escala, según el Informe de tendencias globales de nube híbrida 2022 de Cisco realizado por 451 Research. El informe destaca que la nube híbrida brinda a las empresas más opciones de seguridad al facilitar el despliegue de la segmentación. La nube híbrida también mejora el aislamiento, utilizando diferentes proveedores de nube para diferentes cargas de trabajo, según el informe.
Más del 80 % de los 2500 encuestados han adoptado una nube híbrida, mientras que el 92 % utiliza más de dos proveedores de nube pública. Y el 80 % dice que más de la mitad de sus cargas de trabajo se ejecutarán en hardware diferente en todos los entornos, lo que refuerza la necesidad de un conjunto de herramientas completo para administrar las cargas de trabajo.
Otro hallazgo clave del estudio: la nube híbrida es ahora la norma entre las empresas. Este es el por qué:
- gestionar la seguridad,
- mejorar el desarrollo de aplicaciones y
- mejorar la agilidad empresarial (elegir la mejor ubicación para cada carga de trabajo)
Adoptar una nube híbrida y responsabilidad compartida
Las organizaciones que planean adoptar una nube híbrida deben crear un modelo de responsabilidad compartida para mapear los controles de seguridad para los modelos de implementación de IaaS, PaaS y SaaS, dijo Doug Glair, director de seguridad cibernética de la firma de asesoría e investigación de tecnología global, ISG.
«Si bien la mayoría de las organizaciones eventualmente aprenden este concepto teórico de responsabilidad compartida, muchas aún necesitan probar sus modelos de responsabilidad compartida contra casos de uso de amenazas de seguridad cibernética de la vida real con sus propias aplicaciones y proveedores», dijo.
Aunque a los proveedores les gusta jactarse de que los productos cumplen con las «mejores prácticas», las defensas de seguridad cibernética están cambiando rápidamente a medida que el ransomware, los ataques patrocinados por el estado y otras amenazas cibernéticas aumentan en sofisticación. Los equipos de seguridad de hoy deben mirar más allá de las mejores prácticas de ayer para determinar si es necesario tomar medidas de seguridad más agresivas.
«Aunque contraintuitivo, la consideración más importante en la construcción de un centro de datos seguro es la simplicidad«, dijo Ugur Tigli, CTO de MinIO. «La tecnología subyacente puede ser notablemente sofisticada, [pero] la implementación, configuración, gestión y rendimiento de la seguridad el software debe ser simple; de lo contrario, eso se convierte en una vulnerabilidad«.
La gestión de la seguridad del segundo día debe ser simple y eficaz, señaló. “La seguridad que impone restricciones de rendimiento es la seguridad que está diseñada o comprometida para cargas de trabajo de alto rendimiento. Esto es importante para los datos en reposo y los datos en vuelo”.
Implementación de controles de seguridad de seguros cibernéticos
«Algunos corredores y operadores de seguros cibernéticos determinan si cubrir a una empresa en función de los controles de seguridad cibernética que tienen implementados. Las listas de controles proporcionados por las aseguradoras pueden ser útiles como punto de partida para identificar los controles que una organización debería tener«, dijo Daniel Chan, CTO de Marketplace Fairness.
Sin embargo, estas listas no son necesariamente exhaustivas y es posible que no reflejen los riesgos y necesidades específicos de cada organización. Los controles de cumplimiento específicos de la industria podrían tener prioridad sobre los controles requeridos por las aseguradoras.
“Casi todas las organizaciones de hoy tienen que lidiar con un modelo de centro de datos híbrido, incluida la gestión de datos locales y basados en la nube”, señaló Cliff Madru, vicepresidente de operaciones digitales globales de Iron Mountain. “Es probable que se enfrenten a desafíos y riesgos sustanciales en lo que respecta a la protección de datos. Es probable que muchos estén lidiando con la expansión de datos, TI en la sombra y muchos de los otros desafíos de gestión de datos asociados con este tipo de entornos”.
Si bien es posible que los proveedores de la nube no puedan compartir detalles exactos de toda su operación, busque proveedores que cumplan o superen sus estándares definidos, continuó. Entre los estándares esenciales de seguridad de datos que su proveedor debe poder demostrar que siguen se encuentran ISO 27001, SOC 2 ( Controles de sistemas y organizaciones) Tipo 2, Reglamento de protección de datos global (GDPR), Ley de portabilidad y responsabilidad de seguros médicos (HIPAA) o US FedRAMP.
Para garantizar el cumplimiento, solicite cartas de certificación de proveedores u organizaciones de evaluación de terceros para garantizar que se cumplan los estándares para los datos que no están bajo su control directo.
Fuente: datacenterknowledge
