¿Qué es la seguridad en la nube?
La seguridad en la nube es una colección de tecnologías, estrategias, servicios y plataformas que protegen las aplicaciones basadas en la nube, los datos en la nube y los servicios basados en la nube de amenazas internas y externas. Esta protección se extiende a los datos almacenados por estas aplicaciones y servicios. En esta guía, explicamos más sobre qué es la seguridad en la nube y por qué es importante para usted.
Definición de seguridad en la nube
La seguridad en la nube se refiere a varias formas de proteger las aplicaciones, los datos y los servicios basados en la nube de las amenazas que plantean las fuentes internas y externas. Kaspersky , que vende antivirus y otro software de seguridad, dice que la seguridad en la nube tiene cinco áreas clave:
- Seguridad de datos: garantizar que todos los datos generados por los servicios en la nube se almacenen de forma segura y que el acceso a estos datos esté estrictamente controlado
- Gestión de acceso e identidad (IAM): controlar quién y qué accede a los servicios en la nube a través de métodos como la autenticación multifactor
- Gobernanza: creación de políticas para detectar, mitigar y prevenir amenazas informáticas en la nube de piratas informáticos y otros malhechores
- Retención de datos y continuidad comercial: planificación implementada para responder a la corrupción y pérdida de datos como resultado de un ataque y planes para garantizar que las operaciones comerciales puedan continuar
- Cumplimiento legal: auditorías implementadas para garantizar que sus métodos de seguridad en la nube sean suficientes para protegerlo de la responsabilidad
Los proveedores de servicios en la nube como Amazon Web Services solo son responsables de la seguridad de sus servidores en la nube, no de la seguridad de las aplicaciones basadas en la nube. La responsabilidad recae en los desarrolladores y usuarios de aplicaciones en la nube para garantizar que sus aplicaciones y conexiones sean seguras, ya sea en la nube pública o privada.
¿Cómo funciona la seguridad en la nube?
Muchas empresas prefieren usar servicios en la nube porque el proveedor de la nube asume algunas responsabilidades de seguridad, dice Brian Wilson, director de seguridad de la información de la empresa de software de análisis SAS .
Explica que hay dos tipos básicos de seguridad en la nube: «de la nube» y «en la nube».
El primero es donde una empresa transfiere parte de la responsabilidad de la prestación de sus servicios a los proveedores de servicios en la nube, mientras que el segundo es donde las medidas de ciberseguridad de protección se administran completamente fuera del sitio.
Los entornos de nube híbrida, en los que los centros de datos en el sitio se combinan con aplicaciones y almacenamiento basados en la nube, son una situación en la que la seguridad «de la nube» es útil. «Esto no permite que las empresas que usan la nube se liberen por completo«, dice. «La responsabilidad compartida varía según los servicios de seguridad que usa la empresa y la sofisticación del proveedor de la nube«.
Por ejemplo, una empresa podría seguir siendo responsable de mantener la seguridad de sus sistemas locales, así como el vínculo entre la parte local de su red y la nube.
Otras empresas recurren a la seguridad “en la nube”, donde transfieren toda la responsabilidad de la ciberseguridad a un proveedor de seguridad en la nube. Wilson dice que esto es especialmente atractivo para las empresas más pequeñas, que normalmente no tienen el presupuesto para un CISO o CSO. “Transferir el cuidado diario y mantener las actualizaciones de las correcciones de seguridad y reforzar la resiliencia significa que la empresa no necesita esa experiencia en seguridad en el personal”, dice.
¿Qué es la computación en la nube?
La computación en la nube consiste esencialmente en alquilar potencia informática que se entrega a través de Internet, dicen Wilson y el Dr. Robert Blumofe, director de tecnología del proveedor de la nube Akamai .
“Antes de la computación en la nube, las empresas ejecutaban programas en infraestructura propia”, dice el Dr. Blumofe. “Compraron las computadoras, encontraron un lugar para almacenarlas y apilarlas, las alimentaron, las conectaron a Internet, instalaron un sistema operativo y les dieron mantenimiento”.
Con la llegada de los servicios de computación en la nube, todo ese trabajo ya no es responsabilidad de la empresa. Los servicios y proveedores de la nube se encargan de estos pasos para sus clientes. Esto hace que sea relativamente fácil para una empresa escalar sus servicios mediante el alquiler de aplicaciones de servidor adicionales.
RedHat dice que los tipos más populares de entornos de nube incluyen:
- Nube pública: un entorno de nube generalmente creado a partir de la infraestructura propiedad de la empresa. Los ejemplos de proveedores de nube pública incluyen Amazon Web Services (AWS), Google Cloud e IBM Cloud.
- Nube privada: entornos de nube que una empresa administra internamente, generalmente detrás de un firewall. Como podría adivinar por el nombre, los servicios de nube privada no son accesibles públicamente y son solo para uso interno.
- Nube de gestión privada: Infraestructura de nube que las empresas no tienen que mantener porque está alojada por un tercero.
- Nube híbrida: Infraestructura in situ y en la nube combinada en un entorno perfecto. Una nube híbrida también se llama multinube.
- Nube múltiple: un entorno de nube con múltiples plataformas basadas en la nube alojadas por más de un proveedor de nube pública o privada. Las nubes múltiples se convierten en nubes híbridas cuando todas las plataformas en la nube están integradas de alguna manera.
Estos términos describen entornos de nube. Las aplicaciones, plataformas y servicios en la nube también tienen nombres diferentes. Si alguna vez ha oído hablar de algo que se describe como «como un servicio», se está sirviendo en la nube. El software como servicio (SaaS) involucraba una o más aplicaciones de software basadas en la nube, mientras que Microsoft define la plataforma como servicio (PaaS) como «un entorno completo de desarrollo e implementación en la nube», incluida la escalabilidad para entregue aplicaciones de cualquier tamaño.
Por último, Infraestructura como servicio, o IaaS, es un servicio en la nube en el que las empresas pueden alquilar infraestructura en la nube a pedido, como almacenamiento informático o recursos de red, para satisfacer las necesidades de infraestructura in situ insatisfechas (o para trasladar el desarrollo por completo al entorno). nube).
¿Por qué es importante la seguridad en la nube?
Hace años, nuestros datos de trabajo generalmente nunca salían de los servidores de la empresa donde se almacenaban. Los datos personales se almacenaron en nuestras computadoras personales. Los dos rara vez, si es que alguna vez, se encontraron.
Ese no es el caso hoy. El trabajo remoto, así como el uso cada vez mayor de dispositivos inteligentes como computadoras portátiles y tabletas tanto para el trabajo como para tareas personales, han obligado a las empresas a repensar sus medidas de ciberseguridad.
“Simplemente ejecutar herramientas de seguridad tradicionales, como firewalls en la nube, no es suficiente”, dice el Dr. Blumofe. “Es fácil cometer errores y terminar con programas y datos críticos y sensibles expuestos al mundo”.
Es mucho más fácil y rentable para las empresas subcontratar las responsabilidades de ciberseguridad. La externalización de datos y seguridad a la nube permite a las empresas centrarse en su propio negocio en lugar de las complejidades de desarrollar, implementar, mantener y proteger un entorno de nube por sí mismas.
“Las soluciones de seguridad en la nube permiten que los equipos hagan más con menos”, dijo Wilson. “Las soluciones de seguridad entregadas en la nube obtienen nuevas funciones y correcciones más rápido que los clientes basados en software”. Agrega que la escalabilidad también permite que cualquier solución de seguridad crezca con el negocio.
La necesidad de seguridad en la nube también se está volviendo cada vez más importante a medida que más y más de nuestros datos, servicios y aplicaciones migran a la nube. Statista dice que la cantidad de datos corporativos almacenados en la nube se duplicó de 2015 a 2022, y más del 60% de todos los datos ahora están basados en la nube.
Sin las medidas de seguridad adecuadas, una gran cantidad de datos confidenciales podría estar en riesgo.
Desafíos de seguridad en la nube
Según Blumofe, la creciente complejidad de las aplicaciones basadas en la nube es uno de los mayores desafíos de seguridad en la nube de la actualidad. “La complejidad es el enemigo de la seguridad, y las aplicaciones en la nube son cada vez más complejas”, dice. Por ejemplo, muchas aplicaciones usan múltiples bibliotecas de terceros, a menudo de fuentes desconocidas.
Wilson señala que las interrupciones siguen siendo un problema para algunos proveedores de nube. Como resultado, los usuarios tienen que planificar los momentos en los que la protección en la nube no está disponible. También dice que el coste es un problema potencial que algunos usuarios de la nube podrían no esperar, dada toda la exageración en torno a la capacidad de la nube para reducir los costes de computación.
Algunas soluciones basadas en la nube pueden ser más costosas a largo plazo que una solución local equivalente. “La licencia perpetua que alguna vez fue común, en la que compra el software directamente y luego paga el soporte anual, ya no es una opción”, señaló Wilson.
Soluciones de seguridad en la nube
Blumofe dice que no existe un enfoque único para las soluciones de seguridad en la nube. En cambio, la seguridad en la nube debe considerarse como una idea que cubre una gran cantidad de herramientas y sistemas de seguridad.
Algunas empresas pueden recurrir a la administración de acceso a la identidad de AWS, un servicio web que ofrece control sobre quién y qué accede a los recursos confidenciales. Otros pueden apreciar diversas soluciones de prevención de pérdida de datos, continuidad comercial y recuperación ante desastres.
Otra importante solución de seguridad en la nube implica el cumplimiento de la creciente cantidad de regulaciones estatales y federales relacionadas con el manejo y la protección de datos. Garantizar dicho cumplimiento puede contribuir en gran medida a proteger los sistemas basados en la nube.
Wilson dice que el ejemplo más reciente de seguridad en la nube que superó los métodos de seguridad tradicionales fue el cambio dramático de la oficina al trabajo remoto durante la pandemia de COVID-19.
“Las empresas que ya habían hecho la transición a la seguridad del correo electrónico, la web y los puntos finales entregados en la nube hicieron la transición con bastante facilidad cuando los empleados repentinamente cambiaron a trabajar de forma remota”, dice. “Por el contrario, las empresas que no habían realizado la transición de dichos servicios locales a la nube tenían que conectar a los empleados a su centro de datos tradicional para garantizar el acceso a los recursos de la empresa”.
Si bien los expertos con los que hablamos mencionan el coste y la complejidad como desafíos, tienen mucho más que decir sobre los aspectos positivos de la seguridad en la nube en comparación con los métodos de seguridad tradicionales. En un entorno donde las ciberamenazas pueden cambiar minuto a minuto, la seguridad en la nube es muy superior a los métodos de ciberseguridad convencionales, donde las empresas son responsables de garantizar que las protecciones estén actualizadas y sean efectivas.
Fuente: Us News