Cómo funciona el modelo de responsabilidad compartida
En los entornos de nube, el proveedor de la nube y el cliente comparten la responsabilidad de la pila de infraestructura de TI. El proveedor de la nube siempre es responsable de la infraestructura física, y el cliente de la nube siempre es responsable de sus propios datos.
Todo lo demás depende del modelo de servicio en la nube que se emplee.
Con el control de la red sobre parte de la pila de infraestructura viene la responsabilidad de protegerla. Por ejemplo, si un cliente de la nube puede implementar máquinas virtuales (VM) en un entorno de nube, es responsable de usar imágenes de VM seguras y configurarlas correctamente para protegerlas contra posibles ataques.
El modelo de responsabilidad compartida en la nube establece qué áreas de seguridad son responsabilidad exclusiva del proveedor de servicios en la nube o del cliente y cuáles comparten. En el momento en que la responsabilidad pasa de uno a otro, el proveedor de la nube puede tener cierta responsabilidad, pero requerir que el cliente de la nube también configure ciertos ajustes.
¿Por qué es importante el modelo de responsabilidad compartida?
El modelo de responsabilidad compartida de la nube es una parte vital para garantizar que los datos y la aplicación de la nube estén protegidos contra ataques. El modelo de responsabilidad compartida de cada proveedor de nube describe:
- Qué tareas de seguridad son su responsabilidad.
- Que son las del cliente.
Los clientes de Nube necesitan entender el modelo de responsabilidad compartida de Nube para conocer su papel en la protección de su infraestructura de Nube contra ataques.
Ejemplos de Modelos de Responsabilidad Compartida
Cada proveedor de nube tiene su propio modelo de responsabilidad compartida, y estos definen el desglose de responsabilidades para cada uno de sus modelos de servicio.
Los tres principales modelos de responsabilidad compartida en la nube incluyen:
Desafíos en la implementación de la responsabilidad compartida en la nube
La responsabilidad de la seguridad en la nube se comparte entre los proveedores de la nube y sus clientes. Algunos desafíos comunes que enfrentan los usuarios de la nube cuando intentan hacer su parte incluyen:
- Falta de comprensión: El modelo de responsabilidad compartida en la nube establece la responsabilidad del cliente en la nube por su propia seguridad. Si una organización no comprende el modelo de responsabilidad compartida, no podrá proteger eficazmente su entorno en la nube.
- Entornos Multi-nube: La mayoría de las organizaciones tienen varios entornos en la nube y pueden aprovechar diferentes servicios dentro de esos entornos. Esto significa que los equipos de seguridad deben comprender y cumplir con una variedad de modelos de responsabilidad compartida.
- Visibilidad y control limitados: Los clientes de la nube tienen una visibilidad y un control limitados o nulos en las capas inferiores de su infraestructura de TI, pero son responsables de gestionar la seguridad de las capas superiores. Esta visibilidad y control limitados pueden dificultar la implementación de soluciones de seguridad capaces de cumplir con las responsabilidades de una organización.
- Errores de configuración de seguridad: Cumplir con las responsabilidades de seguridad bajo el modelo de responsabilidad compartida a menudo significa configurar los ajustes y las configuraciones de seguridad proporcionados por el proveedor. Los errores de configuración son una de las principales causas de violaciones de datos en la nube y otros incidentes de seguridad.
- Cumplimiento regulatorio: Las organizaciones todavía están sujetas a requisitos de cumplimiento regulatorio en la nube, pero la responsabilidad compartida puede hacer que esto sea más complejo. En lugar de gestionar directamente su seguridad, es posible que una compañía tenga que confiar en la propia certificación de cumplimiento de la nube de un proveedor.
- Administración de acceso: La gestión de identidades y accesos (IAM) es esencial en la nube, pero la integración de la gestión de accesos puede ser difícil en varias plataformas en la nube. Esta complejidad se agrava si la responsabilidad compartida significa que una organización no puede usar la misma solución en todos los entornos o se ve obligada a usar la solución del proveedor de la nube.
Mejores Prácticas para el Modelo de Responsabilidad Compartida
Algunas de las mejores prácticas para garantizar la seguridad en la nube bajo el modelo de responsabilidad compartida incluyen:
- Entendiendo el Modelo de Responsabilidad Compartida: El modelo de responsabilidad compartida en la nube describe las responsabilidades de seguridad en la nube de una organización. Entenderlo es el primer paso para proteger un entorno en la nube.
- Realización de evaluaciones de riesgos: Las evaluaciones de riesgos están diseñadas para identificar los posibles riesgos de seguridad para una organización. Realizarlos con regularidad ayuda a una organización a abordar rápidamente cualquier intervalo de seguridad antes de que puedan ser explotados por un atacante.
- Implementación de controles de seguridad: Muchas de las mejores prácticas de seguridad son igualmente aplicables en las instalaciones y en la nube. El cifrado de datos, los controles de acceso y soluciones similares siempre deben formar parte de la estrategia de seguridad en la nube de una organización.
- Cerciorando el cumplimiento: Los requisitos de cumplimiento normativo también se aplican en la nube. Compruebe que su organización y su proveedor de servicios en la nube cumplen con las responsabilidades de cumplimiento.
- Capacitación de los empleados: Los empleados pueden realizar inadvertidamente acciones que amenacen la seguridad en la nube. Proporcionar formación sobre el modelo de responsabilidad compartida en la nube y las mejores prácticas de seguridad ayuda a proteger contra estos riesgos.
Comentarios