La expansión de la nube se ha convertido en una realidad para la mayoría de las organizaciones. A medida que las organizaciones trasladan las cargas de trabajo de los centros de datos locales a múltiples plataformas de nube pública, los límites de su perímetro de defensa tradicional se desdibujan y disuelven, lo que crea una expansión de la nube y desafíos de seguridad espinosos.
Para proteger este nuevo entorno de nube híbrida, debes cambiar los controles de seguridad para aplicarlos con nuevas herramientas y basarlos en cinco principios básicos: administración de acceso unificado, automatización, shift-left, seguridad de datos y zero trust. En esta publicación, explicamos cómo puedes adoptar estos cinco principios.
Cinco principios para la seguridad en la nube híbrida
Principio 1: crear una estrategia de gestión de acceso unificado
En la computación en la nube, el perímetro tradicional se mueve fuera del centro de datos de la empresa, por lo que la identidad reemplaza a las redes como límite principal de confianza. Con ese fin, una estrategia de administración unificada de identidades y accesos (IAM) es esencial para proteger la nube. Para lograrlo debes buscar:
- Una estrategia de identidad unificada para garantizar que las identidades en la nube no existan en directorios o sistemas de autenticación separados
- Aplicar la autenticación multifactorial (MFA) para todos los accesos o, mínimo, usar MFA para cuentas con privilegios
El uso de herramientas de automatización ayuda monitorear las cuentas en la nube en busca de accesos inusuales y aplicar privilegios según sea el caso
Es fundamental asegurarse de que el sistema IAM central realice un seguimiento de las cuentas en la nube y usar herramientas automatizadas para buscar accesos no autorizados a las cuentas en la nube. La autenticación básica es insuficiente para las cuentas de usuario accesibles externamente, así que usa en MFA para todos los accesos a la nube pública.
Principio 2: Automatiza la configuración y la validación en la nube híbrida
“La gran mayoría de los incidentes de seguridad en la nube se derivan de errores de los clientes, mucho más que de actores malintencionados”.
En nuestros años de experiencia en al asesorar y analizar empresas descubrimos que la gran mayoría de los incidentes de seguridad en la nube se derivan de configuraciones incorrectas o errores de los clientes, mucho más que de actores malintencionados. En el mundo de la nube, configurar correctamente es tan importante como escribir un código seguro. Las principales recomendaciones para reducir las configuraciones incorrectas incluyen:
- Utilizar CSPM para garantizar configuraciones seguras en todos los entornos
- Usar una plataforma de seguridad unificada para recopilar datos en todos los entornos, como Tenable One Exposure Management Platform
La automatización de la seguridad en la nube se ha convertido en una parte cada vez más importante de las estrategias de seguridad modernas. Permite a las organizaciones reducir el esfuerzo manual necesario para gestionar sus entornos de nube, al mismo tiempo que mejora la postura de seguridad y la capacidad de escalar.
Esta es la razón por la que hemos visto la adopción y evolución continuas de herramientas automatizadas de administración de posturas de seguridad en la nube (CSPM) como Tenable Cloud Security. Las soluciones de CSPM no se tratan solo de validar configuraciones de tiempo de ejecución en la nube, sino que han evolucionado para escanear repositorios de códigos IaC y buscar desafíos de administración de acceso e identidad, como cuentas y roles con privilegios excesivos.
Principio 3: Adopción DevSecOps y cambios a shift-left
“La seguridad en la nube no debería ser una entidad separada con las propias herramientas y procesos. Los equipos deben estar unificados bajo una sola estrategia y usar herramientas que les permitan hablar el mismo idioma en todos los equipos”.
Los equipos de seguridad y los desarrolladores no hablan el mismo idioma. Cuando los desarrolladores piensan en la seguridad de la nube, piensan en controles técnicos, productos de código abierto y características geniales que pueden permitir que las aplicaciones nativas de la nube se ejecuten en contenedores o Kubernetes. Cuando los equipos de seguridad piensan en los controles, quieren saber sobre el riesgo, tanto cualitativo como cuantitativo. Quieren saber qué controles existen, cómo se monitorean y cómo se pueden validar.
Por estas razones, no es una buena práctica permitir que los equipos de la nube diseñen controles de seguridad. Corresponde a los equipos de seguridad adoptar las prácticas de DevSecOps y garantizar que los controles se implementen lo antes posible en el pipeline de desarrollo. La seguridad en la nube no debería ser una entidad separada con las propias herramientas y procesos. Los equipos deben estar unificados bajo una sola estrategia y usar herramientas que les permitan hablar el mismo idioma en todos los equipos.
Ejecutar una estrategia “shift-left ” necesita:
- Escanear la infraestructura para encontrar configuraciones incorrectas en la canalización de desarrollo utilizando herramientas de seguridad de infraestructura como código (IaC), como Terrascan
- Estandarizar las imágenes base y escanearlas en un entorno de desarrollo aislado
Shift-left permite escalar a múltiples nubes al abstraer los controles y aplicarlos antes de implementarlos en plataformas de nube pública
También cabe destacar aquí la consolidación de herramientas.
Es importante usar la menor cantidad de herramientas para brindar una medida precisa de la exposición al riesgo y normalizar los factores en múltiples entornos locales y de nube pública. Ha habido una proliferación de nuevos proveedores en el mercado en lo que respecta a la nube pública, llenando los vacíos de control utilizando técnicas innovadoras, mientras que los principales actores han adoptado un enfoque más mesurado. Afortunadamente, ese ya no es el caso. Las soluciones como Tenable One pueden proteger las cargas de trabajo locales y de la nube pública para brindar una plataforma de seguridad de nube híbrida consistente.
Principio 4: Fortalecer la seguridad de los datos
Las organizaciones deben proteger los datos en la nube cifrando todos los datos en reposo. Como mínimo, se debe configurar el sistema de administración de claves nativo del proveedor de servicios en la nube (CSP) para usar una clave maestra controlada por el cliente. Idealmente, emitir claves propias de cifrado maestras y mantenerlas en las instalaciones en un módulo de seguridad de hardware (HSM) o utilizar un HSM virtual en un entorno de nube pública.
- Las mejores prácticas clave para la seguridad de datos en la nube pública incluyen:
- Cifrar todos los datos en reposo, pero controlar las claves de cifrado
- Integrar los sistemas de administración de claves de los proveedores en la nube
- Idealmente, usar un HSM propio y mantener las claves en las instalaciones o en una plataforma de nube alternativa
Principio 5: Usar zero-trust para unificar estrategias en la nube híbrida
Zeero-trust es un término usado en exceso, en este caso significa confianza implícita cero y visibilidad completa de todo el comportamiento de la entidad del usuario después de la autenticación y durante todo el ciclo de vida de cada sesión. Este es un requisito clave para la nube, pero el principio de confianza cero también debe introducirse en los entornos de nube privada.
Para beneficiarse plenamente de zero-trust:
- Adoptar principios zero-trust en entornos de nube pública y privada siempre que sea posible
- Eliminar gradualmente las redes de confianza y la idea de “confianza implícita”
- Los principios nativos de la nube y zero-trust pueden ser una fuerza impulsora para la transformación de la seguridad, lo que hace que las aplicaciones sean más seguras en entornos de nube híbrida
El panorama de la seguridad en la nube híbrida
La seguridad exitosa de la nube híbrida requiere un enfoque unificado. La TI bimodal ha dejado puntos ciegos de deuda técnica y seguridad en las cargas de trabajo de la nube pública. Los líderes de seguridad deben tratar de eliminar los problemas de seguridad antes de implementarlos en una infraestructura compartida mediante la aplicación de estándares sólidos en todo el proceso de desarrollo en los entornos de nube pública y privada.
A medida que continuamos adoptando la nube pública, es esencial que evolucionemos en nuestra estrategia de seguridad para usar las mejores técnicas de operaciones de seguridad probadas y combinarlas con las mejores prácticas de seguridad de las tecnologías de la nube. También es importante consolidar las herramientas tradicionalmente aisladas que resultan en demasiados controles, lo que lo ralentiza y al mismo tiempo deja brechas de control como resultado de la falta de cobertura de nube unificada.
Involucrar a los equipos de tecnología puede ser un desafío, pero los líderes de seguridad deben adoptar la transición a los principios zero-trust y nativos de la nube. Al utilizar estos cinco principios clave como base, podemos asegurar que las aplicaciones de nube híbrida sean más seguras y fáciles de administrar que las del centro de datos local.
También te puede interesar: Informe del panorama de las amenazas de 2022 de Tenable: reduzca su exposición abordando vulnerabilidades conocidas
Para terminar – Mejorar la ciberseguridad en la nube híbrida de nuestro negocio con Tenable
Los nuevos tipos de dispositivos conectados y plataformas de computación, desde la nube hasta la IoT, han explotado la superficie de ataque cibernético. Y más herramientas que recopilan más datos no equivalen a una perspectiva accionable para el CISO, la alta dirección y la Junta Directiva. La vieja forma de simplemente escanear dispositivos de TI locales para detectar vulnerabilidades ya no es suficiente. ¡Es hora de un nuevo enfoque!
Nuestro objetivo es brindarle a cada organización, sin importar lo grande o pequeña que sea, la visibilidad y la perspectiva para responder cuatro preguntas fundamentales en todo momento: ¿Dónde estamos expuestos? ¿Dónde debemos priorizar en función del riesgo? ¿Estamos reduciendo la exposición con el tiempo? ¿Qué resultado obtenemos si nos comparamos con nuestros pares? Agenda una demostración para conocer Tenable y descubre cómo permite a las organizaciones implementar una única base de control de protección para varios requisitos de cumplimiento y estándares de seguridad.
Consulta la información original en inglés.