Cómo los CISO del sector sanitario pueden automatizar los controles de seguridad en la nube
Los entornos de nube ofrecen muchos beneficios, principalmente relacionados con su facilidad de escalabilidad y resiliencia. Esas cualidades existen gracias a la automatización y a la forma sencilla y directa de aprovecharla para mejorar un entorno de nube.
Si bien esa facilidad que ofrece la automatización puede tener desventajas (y si alguna vez recibió una factura inesperada de su proveedor de nube, conoce esos inconvenientes a la perfección), se puede aprovechar para lograr grandes economías de escala. Un área en la que la automatización es una gran ventaja es en la protección del entorno de la nube.
En este artículo se describen algunas de las formas en que los CISO del sector sanitario pueden automatizar los controles de seguridad en la nube e integrarlos en los ciclos de implementación estándar. El tema subyacente de todos estos consejos: mantener la estandarización y la uniformidad.
Elige un marco
La coherencia es fundamental porque proporciona previsibilidad. La imprevisibilidad puede tener repercusiones en el entorno de producción.
Existen muchos marcos de seguridad en la nube y prácticas recomendadas. Las mejores prácticas y recomendaciones son en gran medida las mismas, pero la forma de lograrlas puede estar más o menos prescrita en función de un marco. Lo importante aquí es elegir un marco de trabajo y ceñirse a él. Implementar un marco de trabajo a medias y luego cambiar a otro puede añadir complejidad innecesaria y confusión y conflicto internos.
Tratar la infraestructura y la política como código
El tratamiento de los activos como código permite lograr entornos uniformes y auditables. Es posible configurar y validar los parámetros de seguridad en la nube en función de las mejores prácticas del marco de trabajo. Es posible observar y documentar las excepciones (si es conveniente) o remediarlas (si no es conveniente).
En el caso de tratar la infraestructura como código, las plataformas de gestión de nube nativas y de terceros permiten a los usuarios crear plantillas de configuración de seguridad para la infraestructura y almacenar esas plantillas para un uso sencillo cada vez que sea necesario crear un nuevo entorno.
Esto se vuelve aún más sencillo en entornos de contenedores donde las configuraciones de los contenedores se pueden configurar en una plataforma de administración centralizada, lo que permite una implementación uniforme y segura cada vez que se crea un contenedor.
La política como código funciona básicamente de la misma manera. La creación de plantillas y la reutilización de políticas para configuraciones de red, aprovisionamiento de acceso y autorización permiten una implementación consistente de redes y cuentas de usuario. Esas configuraciones se vuelven consistentes y se implementan de manera predecible.
Además, la creación de repositorios centralizados de configuraciones de administración para infraestructura, contenedores y políticas permite auditar esos repositorios. No solo las configuraciones son auditables y consistentes, sino que también se puede administrar y auditar el acceso a esos repositorios de manera consistente. Si se realiza un cambio, ya sea intencional o no, el equipo de seguridad puede ver y validar ese cambio. Si ese cambio es impredecible, alguien puede tomar medidas.
Automatizar el etiquetado de activos
El etiquetado de activos es una característica fundamental para preservar la gobernanza de la información e identificar la sensibilidad (y, por lo tanto, el riesgo) de un activo en la nube. Los equipos de seguridad pueden recopilar información o tomar medidas en función de las etiquetas. Ese etiquetado se puede automatizar mediante un enfoque de infraestructura como código o mediante políticas de cumplimiento proporcionadas por la nube para automatizar el etiquetado de activos.
Si está incorporando Kubernetes, Docker o alguna otra tecnología de contenedorización en la infraestructura de su plataforma en la nube, debe emplear el etiquetado para etiquetar esos activos efímeros con metadatos consistentes con su esquema de etiquetado en la nube.
La automatización del etiquetado puede generar dividendos en el futuro. Por ejemplo, si sabe que ciertos activos contienen información médica protegida, datos de prescripción u otra información confidencial, puede aprovechar las etiquetas automáticas para marcar esos activos en el momento de su creación y evitar conjuntos de datos no autorizados. Tenga en cuenta que siempre necesitará alguna intervención manual, pero el etiquetado automático de activos la reducirá sustancialmente.
Automatice la implementación de la infraestructura de seguridad
Según las etiquetas que se asignen a su activo, es posible que desee tomar diferentes medidas en función de las etiquetas. Esto podría incluir la recopilación de más o menos telemetría para incorporarla a su SIEM u otra infraestructura de monitoreo centralizada. Si se trata de un servidor virtualizado, esto podría incluir la implementación de una infraestructura de detección y respuesta y otros agentes de soporte, si corresponde.
Existen numerosas consideraciones sobre cómo configurar e implementar la infraestructura de seguridad y qué datos recopilar o no. Una consideración importante es el costo, especialmente si su infraestructura de agregación centralizada se encuentra fuera de su entorno de nube y necesita pagar cargos de salida por esos datos de registro. Esos costos pueden acumularse rápidamente. El lado positivo es que el rendimiento no debería verse afectado demasiado.
Análisis de vulnerabilidades
No hace falta decir que es necesario realizar un análisis de vulnerabilidades y que debe realizarse para todos los activos. Si no automatiza la inclusión de nuevos activos en las herramientas de gestión de vulnerabilidades, es posible que pase por alto grandes áreas de su entorno, lo que lo deja expuesto a posibles ataques y vulnerabilidades.
Al igual que con la implementación de infraestructura, el coste es un factor importante. Si bien muchos escáneres de vulnerabilidades calculan su precio en función de la cantidad de direcciones IP o contenedores escaneados, la implementación de muchos servidores o contenedores nuevos a la vez para abordar un tráfico de alto volumen puede generar gastos imprevistos, especialmente si su proveedor no está dispuesto a trabajar con usted en una ampliación temporal.
Tratar la infraestructura como código es una forma fundamental de evitar esos costos. Si algunas de sus plantillas no necesitan un escaneo continuo, entonces no necesita hacerlo y no debería implementarlas. Si es así, puede monitorear esas partes específicas de la infraestructura para modelar los costos de manera continua.
Orquestación, automatización y respuesta de seguridad
SOAR trata la corrección de la seguridad como código. Se diferencia en algunos aspectos materiales, pero SOAR proporciona un repositorio y una plantilla de corrección de la seguridad. Cuando ocurre un evento, se pueden aplicar acciones predecibles, incluso si sucede caso por caso.
Si su entorno de nube se basa en una base de coherencia en la implementación, SOAR debería ser increíblemente predecible y altamente ajustable. La coherencia en el entorno de nube significa una mayor granularidad para una línea base de seguridad. Cuanto más granular sea la línea base, más obvias serán las desviaciones con respecto a esa línea base y más procesables (y automatizables) serán las reacciones de seguridad.
Puede haber otros sistemas de producción para los que se necesite una intervención manual antes de actuar. Los servidores de imágenes y registros médicos electrónicos son candidatos potenciales para un escrutinio más riguroso. También son los más afectados por los cambios adversos que afectan el tiempo de funcionamiento, lo que también podría justificar un escrutinio manual más riguroso. Si se etiquetan adecuadamente, debería ser sencillo identificar y excluir esos activos de la implementación del manual de estrategias.
La automatización de los controles de seguridad en la nube puede ser sencilla si se planifican, son estratégicos y coherentes. Esa planificación y coherencia rendirán frutos a la hora de modelar el riesgo, los costes y la viabilidad. No planificar adecuadamente puede dar lugar a un aumento innecesario del riesgo y de los costes, en algunos casos muy significativos.
Fuente: Help Net Security