Prácticas recomendadas de seguridad en varias nubes

La popularidad de las nubes múltiples está creciendo a medida que las empresas continúan explorando los beneficios de trabajar con más de un proveedor. Si bien la nube múltiple ofrece numerosas ventajas, depender de múltiples proveedores y nubes también aumenta la superficie de ataque y el riesgo general. Si una empresa desea mantener seguros los activos y los datos, la seguridad de múltiples nubes no debe ser una idea de último momento.

Este artículo es una introducción a la seguridad de múltiples nubes y los desafíos únicos de este enfoque de computación en la nube. También proporcionamos una lista de mejores prácticas que puede aplicar para diseñar y mantener una configuración segura de varias nubes.

¿Qué es la seguridad en varias nubes?

La seguridad de múltiples nubes es un conjunto de políticas, estrategias y soluciones en las que confía una empresa para garantizar la seguridad en un entorno de múltiples nubes. Este tipo de seguridad permite que una empresa disfrute de los beneficios de la nube múltiple sin exponer los datos y los activos a las ciberamenazas.

El mayor desafío de la seguridad de múltiples nubes es administrar y proteger entornos de diferentes proveedores de nube. Múltiples proveedores con diferentes funciones y reglas complican las tareas de seguridad en la nube, que incluyen:

• Garantizar controles de seguridad consistentes.
• Configurar una gestión de acceso fiable.
• Identificar y responder a las vulnerabilidades.
• Mantener una visión holística de la seguridad.

Por lo general, los proveedores de la nube son responsables de la seguridad de sus nubes mientras que el cliente es responsable de la seguridad en la nube. El trabajo del proveedor es:

• Asegúrese de que la infraestructura de la nube sea segura, confiable y esté actualizada.
• Proteja hosts y centros de datos.
• Proporcionar a los clientes capacidades para proteger los datos (vectores de verificación multifactor, software de gestión de acceso, herramientas de cifrado, etc.).

Una empresa que implementa una nube múltiple es responsable de cómo el equipo usa y conserva los datos en cada infraestructura de nube. El equipo interno debe:

• Diseñar la arquitectura general de seguridad.
• Asegúrese de que las operaciones cumplan con las leyes y regulaciones pertinentes.
• Defina reglas de acceso y privilegios.
• Manejar el monitoreo en la nube.
• Configure copias de seguridad.
• Identificar y responder a incidentes de seguridad.
• Diseñe procesos de implementación seguros.
• Mantenga las herramientas de terceros actualizadas.
• Configure la prevención de pérdida de datos (DLP).
• Defina los pasos para la recuperación ante desastres en la nube.

La mayoría de las empresas confían en varios roles para manejar estas tareas, distribuyendo las responsabilidades entre el CISO, el equipo DevOps y el Centro de operaciones de seguridad (SOC).

Riesgos de seguridad de varias nubes

Los principales riesgos de no configurar una seguridad multinube adecuada son:

• Pérdida de datos confidenciales por falta de protección o error humano.
• Pagar multas monetarias debido a una verificación de cumplimiento fallida.
• Perjudicar la experiencia del cliente con un tiempo de inactividad prolongado o un rendimiento deficiente de la aplicación.
• Ser víctima de malware que conduce a una violación de datos.
• Permitir que un usuario no autorizado acceda a datos internos.
• Sufrir un impacto en la reputación como resultado de la pérdida de datos privados del usuario.

Estos peligros son riesgos comunes del uso de la computación en la nube en general, ya sea en una configuración de una o varias nubes. Sin embargo, una empresa debe proteger una superficie de ataque más grande en una nube múltiple, y la gran complejidad hace que los problemas sean más probables. A continuación se presentan los principales desafíos que hacen que las nubes múltiples sean más riesgosas que una sola nube:

• El equipo debe configurar, asegurar y administrar más de una infraestructura.
• Cada plataforma requiere un mantenimiento continuo.
• Cada proveedor tiene políticas de seguridad, controles y granularidad únicos.
• Un atacante tiene más formas de infiltrarse en la configuración.
• La supervisión debe tener en cuenta el alcance completo de la implementación en la nube.
• El equipo debe conectar e integrar varios servicios de diferentes proveedores.

Mejores prácticas para lograr seguridad de datos en varias nubes

Las empresas requieren una estrategia de seguridad sólida para garantizar que las múltiples nubes no generen vulnerabilidades. A continuación se muestran 11 prácticas recomendadas de seguridad multinube que pueden ayudarlo a distribuir cargas de trabajo de manera segura entre múltiples proveedores y entornos.

Crear la estrategia de seguridad en torno al cumplimiento

El primer paso para lograr el cumplimiento en una nube múltiple es conocer los estándares y regulaciones que se aplican a su negocio. Ejemplos comunes de regulaciones que las empresas deben tener en cuenta son las leyes de privacidad de datos (a saber, RGPD y CPA), HIPAA y PCI.

Las regulaciones se aplican a industrias y ubicaciones específicas, así que sepa qué debe cumplir su nube múltiple antes de comenzar a implementar. Una vez que sepa cuáles son las expectativas, utilice los requisitos legales para:

• Describa el ciclo de vida de los datos relevantes.
• Definir controles de seguridad.
• Configurar la gestión de acceso.
• Clasificar todos los datos de la nube.
• Organizar almacenamientos adecuados.

Recuerde que cada plataforma en la nube tiene diferentes características de cumplimiento y certificaciones. Incluso puede ejecutar cargas de trabajo separadas con diferentes reglas de cumplimiento en una sola nube. Considere usar una herramienta automatizada para auditar continuamente el cumplimiento en todas las nubes y generar informes sobre posibles infracciones.

Administración inteligente de políticas

Las empresas deben desarrollar un conjunto de políticas de seguridad para aplicar en todos los entornos de nube y simplificar las operaciones de seguridad. Una política define:

• Tipos de datos aceptables.
• Propiedad de la nube.
• Reglas de autenticación y acceso.
• Puertas de enlace y seguridad de cargas de trabajo en la nube.
• Análisis de seguridad.
• Reglas de regulación y estado de cumplimiento actual.
• Protocolos de migración a la nube.
• Modelado de amenazas, priorización e inteligencia.
• Un plan de respuesta para cada tipo de ataque.

Si bien algunas incompatibilidades entre entornos son comunes, el uso de una política estandarizada como punto de partida:

• Acelere la configuración y la implementación.
• Reduzca el riesgo de descuidos y errores humanos.
• Asegúrese de la coherencia en la nube múltiple.

Si ejecuta las mismas operaciones en varias nubes, debe sincronizar las políticas. Por ejemplo, al usar varias nubes para garantizar la disponibilidad, ambas nubes deben tener la misma configuración de seguridad. El equipo debe usar una herramienta para sincronizar la configuración entre los dos proveedores y crear una política con definiciones genéricas que se apliquen a ambas nubes.

Aprovechar la automatización

Un factor de riesgo significativo en la seguridad de múltiples nubes es el error humano. Al automatizar tantas tareas como sea posible, una empresa puede:

• Reduzca la probabilidad de que los empleados cometan errores.
• Agregue agilidad al equipo.
• Acelere los procesos relacionados con la nube.
• Asegure la coherencia en todos los entornos.

La automatización debe desempeñar un papel vital en la seguridad de múltiples nubes. Por ejemplo, cada nuevo contenedor o máquina virtual puede pasar por escaneos de seguridad automáticos. Otra forma de utilizar la automatización es ejecutar comprobaciones continuas que prueben los controles de seguridad.

Adoptar DevSecOps es una excelente manera para que una empresa comience a pensar en el papel de la automatización en la seguridad informática en la nube. DevSecOps trata la seguridad como una consideración central en lugar de una ocurrencia tardía, un enfoque ideal para mantener la seguridad de varias nubes.

Simplifique la pila de herramientas de varias nubes

En lugar de confiar en una combinación de herramientas nativas del proveedor y soluciones de terceros, debe invertir en una herramienta única y global que brinde una seguridad perfecta en la nube múltiple. De lo contrario, corre el riesgo de:

• Integraciones deficientes que generan brechas de seguridad.
• Mayor probabilidad de error humano.
• Contratar más personal del necesario.
• Sobrecargar al equipo con demasiado mantenimiento.

Asegúrese de que la herramienta de su elección pueda:

• Se integra a la perfección con diferentes servicios en la nube.
• Escale junto con sus aplicaciones y cargas de trabajo.
• Proporcione actualizaciones en tiempo real de la actividad de datos.

Además, su herramienta de seguridad debe tener un panel único desde el cual los administradores puedan administrar las aplicaciones y los datos en las nubes. Una herramienta de vista única simplifica la expansión y hace que el equipo de seguridad sea más efectivo.

Configurar el monitoreo de múltiples nubes

Una nube múltiple requiere un monitoreo sólido que consolide eventos, registros, notificaciones y alertas de diferentes plataformas en una sola ubicación. Otra característica vital es tener una herramienta que pueda resolver problemas automáticamente o brindar orientación durante la reparación.

Más allá de la consolidación y las correcciones automáticas, su herramienta de supervisión también debería:

• Ser escalable para satisfacer la creciente infraestructura de la nube y los volúmenes de datos.
• Ofrecer monitoreo continuo en tiempo real.
• Proporcione contexto a todas las alertas.
• Permita que el equipo cree notificaciones personalizadas.

Aproveche al máximo el registro de auditoría

El registro de auditoría documenta todos los cambios relacionados con los inquilinos de la nube, incluidos:

• La adición de nuevos usuarios.
• Otorgamiento de derechos de acceso.
• Duración del inicio de sesión.
• Actividad del usuario durante el inicio de sesión.

Los registros de auditoría son cruciales para la seguridad de varias nubes, ya que esta actividad ayuda a:

• Identificar comportamiento malicioso.
• Descubra la brecha antes de que comience un ciberataque.
• Descubre problemas relacionados con el código o la nube.
• Ejecute la solución de problemas operativos.

Además, los registros de auditoría son registros oficiales en algunas industrias, y las empresas pueden usar registros para demostrar el cumplimiento a un auditor.

Confíe en el cifrado de datos y la informática confidencial

El cifrado es un método eficaz para proteger los datos, tanto en las instalaciones como en la nube. Una estrategia de seguridad de varias nubes debe cifrar los datos tanto en reposo como en tránsito:

• El cifrado en reposo protege los datos almacenados que no se mueven a través de la red. Si un intruso viola la base de datos, es imposible descifrar los datos sin la clave de descifrado.
• El cifrado en tránsito protege los datos mientras la información se mueve a través de la red. Si un intruso intercepta los datos con un ataque Man-in-the-Middle o escuchando a escondidas, los datos permanecen seguros.

Además de proteger los datos fijos y en movimiento, también debe cifrar todas las comunicaciones de programación, supervisión y enrutamiento. El cifrado completo garantiza que la información sobre su infraestructura y aplicaciones se mantenga en secreto.

Además de cifrar los datos en reposo y en tránsito, una estrategia de seguridad multinube también debe incluir informática confidencial. para garantizar que los datos no se vuelvan vulnerables mientras están en uso. El cifrado en uso proporciona una protección total de los datos en la nube al cifrar las cargas de trabajo durante el procesamiento.

Practicar el aislamiento de inquilinos

El aislamiento de inquilinos es un método simple y efectivo para mejorar la seguridad de varias nubes. El aislamiento de inquilinos requiere que el equipo se asegure de que:

• Cada aplicación se ejecuta en un inquilino independiente.
• Todos los entornos (desarrollo, prueba, puesta en escena, producción, etc.) se ejecutan dentro de inquilinos individuales.

Para mayor seguridad y agilidad, también puede usar zonas de aterrizaje . Una zona de aterrizaje permite que el equipo configure rápidamente un entorno de múltiples inquilinos con una línea de base predefinida de administración de acceso, seguridad de datos, gobierno y reglas de registro.

Hacer cumplir el Principio de Mínimo Privilegio

Cada empleado solo debe tener acceso a los recursos necesarios para que ese miembro del personal desempeñe su función. Este principio de privilegio mínimo tiene varios propósitos:

• Aísle los datos confidenciales y de misión crítica.
• Reducir la capacidad de los atacantes para moverse lateralmente a través del sistema si piratean una cuenta.
• Ayude a la empresa a cumplir con las leyes de seguridad y privacidad de datos.

Usar las herramientas nativas del proveedor de la nube para controlar el acceso no es una buena idea en una nube múltiple. Las soluciones de diferentes proveedores funcionan mal juntas y crean silos que aumentan el riesgo. En su lugar, utilice una herramienta holística que centralice los controles de acceso en todas las nubes.

Tenga cuidado de no obstaculizar al equipo con la falta de derechos de acceso o procesos de aprobación lentos. En su lugar, cree un proceso simple y transparente para asignar derechos de acceso que ayude a proteger la nube múltiple sin ralentizar las operaciones.

Copia de seguridad rutinaria de datos en la nube

Realice regularmente copias de seguridad en la nube de datos y sistemas. Ya sea que decida almacenar las copias de seguridad internamente o en la nube, debe seguir varias buenas prácticas:

• Utilice copias de seguridad inmutables para asegurarse de que los atacantes no puedan cifrar ni eliminar datos incluso si violan la nube múltiple.
• Copia de seguridad de datos varias veces al día.
• Mantenga una copia de seguridad separada para cada nube para simplificar las recuperaciones.
• Utilice estrategias de confianza cero para mantener las copias de seguridad seguras.
• Utilice una herramienta que analice continuamente las copias de seguridad en busca de datos maliciosos.

Además de las copias de seguridad, una estrategia de seguridad de múltiples nubes también requiere un plan de recuperación ante desastres. Diseñe un plan que restaure los datos rápidamente y mantenga los servicios disponibles en una nube de reserva.

Crear una Cultura de Mejoras Continuas

Cada estrategia de seguridad de múltiples nubes debe pasar por evaluaciones periódicas para garantizar que las defensas se mantengan al día con los estándares más recientes. Para garantizar que la seguridad no se quede atrás, un equipo debe:

• Compruebe periódicamente si hay actualizaciones de software.
• Manténgase al día con las últimas tendencias de ciberseguridad al observar cómo las empresas protegen los datos y cómo los delincuentes violan los sistemas.
• Ejecute evaluaciones de vulnerabilidad periódicas, tanto con expertos externos como a nivel interno.
• Asegúrese de que todas las herramientas de terceros estén actualizadas con las últimas actualizaciones.
• Buscar constantemente nuevas formas de hacer que la seguridad sea más automatizada y eficiente.

Utilice la seguridad como elemento básico para su estrategia de varias nubes

Cualquier empresa cuidadosa debe considerar y tener en cuenta las necesidades de seguridad antes de comenzar el viaje de múltiples nubes. Asegúrese de que la seguridad sea la base de su estrategia y cree una nube múltiple que aumente su flexibilidad sin hacerlo vulnerable a las ciberamenazas.