Tres trampas de seguridad que debe evitar durante su migración a la nube
Al desarrollar una estrategia de migración a la nube, debe comprender cómo afectará la transición a la ciberseguridad.
El valor real de la nube es la capacidad de escalar los recursos según sea necesario, lo que permite a las empresas satisfacer rápidamente la demanda del mercado. Sin embargo, al desarrollar una estrategia de migración a la nube, debe comprender cómo afectará la transición a la ciberseguridad y tomar las decisiones correctas.
Cuando la informática en la nube apareció por primera vez, muchas organizaciones pensaron que sería una forma de reducir los gastos generales. Se creía que el coste de los servicios en la nube sería significativamente menor que los asociados con el mantenimiento de un centro de datos en las instalaciones.
A medida que los servicios en la nube se volvieron más sólidos y capaces, las empresas pronto reconocieron la ventaja real que ofrece la nube: la agilidad. La capacidad de escalar recursos informáticos y de almacenamiento según sea necesario, aprovisionar y desaprovisionar servicios a pedido y entregar productos al mercado más rápido. Estos impulsores son en gran medida los motivos por los que la firma de analistas Gartner predice que para 2026 el gasto en la nube pública representará el 45 % de todo el gasto empresarial en TI, frente a menos del 17 % en 2021.
Por lo tanto, es comprensible que la gran mayoría de las organizaciones empresariales estén explorando cómo hacer la transición, total o parcialmente, de la infraestructura de TI local heredada a la nube. Pero la transición no es simple, y hay mucho por resolver con respecto a la estrategia y la ejecución.
Los errores de seguridad más comunes en la migración a la nube
Las organizaciones deben comprender cómo afectará la transición a su postura y programas de seguridad cibernética en la nube al desarrollar una estrategia de migración. La naturaleza de las tecnologías nativas de la nube exige, en muchos sentidos, un enfoque fundamentalmente diferente de la seguridad, y es esencial planificar y prepararse. Destaquemos tres errores comunes que enfrentan muchas organizaciones al desarrollar un plan de seguridad para las cargas de trabajo que migran a la nube:
Trampa n.º 1: falta de visibilidad de los activos y servicios en la nube
Al migrar aplicaciones y cargas de trabajo a la nube, es crucial tener una comprensión integral de los activos de la nube subyacentes, los servicios que utilizarán y sus configuraciones de seguridad en la nube. Los recursos locales que estas cargas de trabajo empleaban anteriormente (servidores, bases de datos, almacenamiento, etc.) tenían direcciones IP y sus capacidades de acceso y conectividad (es decir, «qué puede hablar con qué y quién puede hablar con quién») probablemente gestionado mediante reglas de cortafuegos de red. Pero en la nube, los recursos que utilizan las aplicaciones a menudo se entregan como servicios, no tienen una dirección IP asociada (o estática) y se pueden entregar a través de múltiples servicios en la nube, inquilinos o zonas de disponibilidad. Entonces, para garantizar que estas nuevas cargas de trabajo en la nube sean seguras, es fundamental tener una visibilidad completa de los recursos que consumirá su aplicación migrada y tener una manera fácil de evaluar su configuración de acceso y conectividad. Sin este nivel de visibilidad granular, los datos confidenciales administrados, almacenados o procesados por estos recursos en la nube pueden estar en riesgo de exposición.
Trampa n.º 2: escasez del talento necesario en la nube
La seguridad en la nube requiere un enfoque diferente al de la seguridad de red tradicional. Los recursos basados en servicios, la arquitectura de diseño de microservicios, la contenedorización, la infraestructura como código y las canalizaciones de DevOps son paradigmas dominantes en los entornos de nube. Necesita un equipo que comprenda cómo implementar los controles de seguridad en la nube adecuados. Es necesario saber cómo aprovechar la automatización de políticas de seguridad y la seguridad como código para aprovechar al máximo el dinamismo y la agilidad que la nube hace posible sin debilitar su postura de seguridad. Comprensiblemente, existe una brecha de habilidades en el mercado, ya que la demanda supera con creces la oferta. Asegúrese de haber creado un equipo sólido que comprenda la nube, sus tendencias y metodologías en evolución.
Trampa n.º 3: no utilizar la automatización
Gartner predice que para 2025, al menos el 99 % de las fallas de seguridad en la nube se deberán a configuraciones incorrectas manuales. Esto no es del todo sorprendente, dado el gran volumen de controles de seguridad que deben administrarse en entornos de nube y la alta velocidad con la que pueden cambiar la arquitectura, los servicios y los activos de la nube. Pero este escollo se puede evitar si las organizaciones abordan la seguridad en la nube de la misma manera que abordan la gran mayoría de las demás operaciones en la nube: con automatización.
La automatización es una característica fundamental de la nube. Los operadores de la nube aprovechan herramientas como Jenkins, Ansible y Terraform para automatizar una amplia variedad de tareas, incluido el aprovisionamiento de nuevos activos y servicios, la promoción de aplicaciones y la incorporación de nuevos usuarios. Los desarrolladores pueden utilizar código para automatizar procesos que, en el pasado, solo podían realizarse a través de consolas de administración y un esfuerzo tedioso. La automatización y «X-as-Code» son capacidades que hacen que la nube sea muy atractiva, ya que elimina el esfuerzo manual y minimiza el riesgo de mala configuración.
La automatización de la seguridad toma muchas formas, pero la más importante es el uso de la política de seguridad. Estas son reglas o medidas de seguridad que garantizan que cada recurso y servicio en la nube se aprovisione y configure siguiendo los protocolos de cumplimiento y seguridad de su organización. Por ejemplo, una política de seguridad puede dictar que cualquier servicio de almacenamiento en la nube que se ponga en línea necesita la capacidad de comunicarse solo con los recursos que necesita, utilizando solo protocolos específicos y sin acceso a Internet. O bien, si su organización utiliza contenedores, una política de seguridad puede dictar con precisión a qué recursos pueden acceder y comunicarse con un nuevo clúster de Kubernetes que está siendo activado por un miembro del equipo de desarrollo.
Las políticas son un medio eficaz para impulsar la seguridad en el mundo de alta velocidad de la nube, y es esencial inyectar esas políticas en los procesos automatizados que utilizan los equipos de la nube. La evaluación automática de las compilaciones y promociones propuestas en la canalización de CI/CD frente a una política de seguridad organizacional es fundamental, por lo que elegir un enfoque que admita sus herramientas de automatización existentes (o planificadas) debe ser una prioridad.
Migración consciente
Las organizaciones tienen muchas consideraciones que hacer malabarismos con respecto a la adopción y la migración de la nube, pero tener una visibilidad adecuada, el equipo adecuado y la estrategia de automatización de seguridad correcta sin duda deben estar entre las principales prioridades. La planificación cuidadosa en estos frentes optimizará en última instancia los costes asociados con la gestión de la seguridad en la nube, minimizará el riesgo de errores de configuración, agilizará el proceso de demostración del cumplimiento, promoverá la colaboración en equipo y, lo que es más importante, impulsará la agilidad y el rendimiento empresarial.
Mientras busca migrar aplicaciones o cargas de trabajo a la nube, pregúntese:
- ¿Tengo alguna forma de ver todos los activos y servicios en la nube (y locales) que utilizan mis aplicaciones y cargas de trabajo? ¿Entiendo qué habla con qué y quién habla con quién?
- ¿Puedo identificar fácilmente configuraciones de acceso y conectividad riesgosas en mis activos y servicios en la nube? ¿Cómo evito que se aprovisionen nuevos activos con configuraciones desprotegidas?
- ¿Entiende mi equipo en qué se diferencia la arquitectura de la nube de la arquitectura de red tradicional y cómo integrar la seguridad en los procesos automatizados de la nube?
La nube ofrece la promesa de una agilidad increíble y una diferenciación competitiva. Al priorizar las capacidades discutidas anteriormente, puede evitar muchos de los desafíos y barreras que otros han encontrado.
Fuente: SpiceWorks