¿Qué es el modelo de responsabilidad compartida?
El modelo de responsabilidad compartida describe la división de las responsabilidades de seguridad de red entre un proveedor de servicios en la nube y el cliente en la nube. Los detalles pueden depender del tipo de servicio en la nube empleado y del proveedor de nube específico.
Cómo funciona el modelo de responsabilidad compartida
En entornos de nube, el proveedor de nube y el cliente comparten la responsabilidad de la pila de infraestructura de TI. El proveedor de la nube es siempre responsable de la infraestructura física, y el cliente de la nube es siempre responsable de sus propios datos.
Todo lo que hay entre medias depende del modelo de servicio en la nube que se utilize.
Con el control de la red sobre parte de la pila de infraestructura viene la responsabilidad de protegerla. Por ejemplo, si un cliente de Nube puede desplegar máquinas virtuales (VMs) en un entorno Nube, es responsable de usar imágenes seguras de VM y configurarlas correctamente para protegerlas contra posibles ataques.
El modelo de responsabilidad compartida en la nube establece qué áreas de seguridad son responsabilidad exclusiva del proveedor de servicios o cliente en la nube y cuáles comparten. En el momento en que la responsabilidad pasa de una a otra, el proveedor de la nube puede tener cierta responsabilidad pero requerir que el cliente de la nube configure también ciertos ajustes.
¿Por qué es importante el Modelo de Responsabilidad Compartida?
El modelo de responsabilidad compartida de los nube es una parte vital para garantizar que los datos y las aplicaciones de nube estén protegidos frente a ataques. El modelo de responsabilidad compartida de cada proveedor de nube describe:
- ¿Qué tareas de seguridad son su responsabilidad?
- Que son de los clientes.
Los clientes de Nube deben comprender el modelo de responsabilidad compartida de Nube para conocer su papel en la seguridad de su infraestructura Nube frente a ataques.
Ejemplos de modelos de responsabilidad compartida
Cada proveedor de nube tiene su propio modelo de responsabilidad compartida, y estos definen la distribución de responsabilidades para cada uno de sus modelos de servicio.
Los tres principales modelos de responsabilidad compartida en la nube incluyen:
Desafíos en la implementación de la responsabilidad compartida en la nube
La responsabilidad de Seguridad en la nube se comparte entre los proveedores de nube y sus clientes. Algunos de los retos habituales a los que se enfrentan los usuarios de la nube al intentar aportar su parte incluyen:
- Falta de comprensión: El modelo de responsabilidad compartida en la nube establece la responsabilidad del cliente en la nube sobre su propia seguridad. Si una organización no entiende el modelo de responsabilidad compartida, no podrá cerciorar eficazmente su entorno en la nube.
- Entornos multinubio: La mayoría de las organizaciones cuentan con múltiples entornos nube y pueden aprovechar diferentes servicios dentro de esos entornos. Esto significa que los equipos de seguridad deben comprender y cumplir con una variedad de modelos de responsabilidad compartida.
- Visibilidad y control limitados: los clientes de Nube tienen visibilidad y control limitados o nulos en capas inferiores de su infraestructura de TI, pero son responsables de gestionar la seguridad de las capas superiores. Esta visibilidad y control limitados puede dificultar el despliegue de soluciones de seguridad capaces de cumplir con las responsabilidades de una organización.
- Errores de configuración de seguridad: Cumplir con las responsabilidades de seguridad bajo el modelo de responsabilidad compartida suele significar configurar configuraciones y configuraciones de seguridad proporcionadas por el proveedor. Las configuraciones incorrectas son una de las principales causas de brechas de datos en la nube y otros incidentes de seguridad.
- Cumplimiento regulatorio: Las organizaciones siguen estando sujetas a los requisitos regulatorios de cumplimiento en la nube, pero la responsabilidad compartida puede complicar la situación. En lugar de gestionar directamente su seguridad, una compañía puede necesitar basar en la propia certificación de un proveedor de nube cumplimiento.
- Administración de acceso: La gestión de identidad y acceso (IAM) es esencial en la nube, pero integrar la gestión de acceso puede ser difícil en múltiples plataformas en la nube. Esta complejidad se agrava si la responsabilidad compartida significa que una organización no puede usar la misma solución en todos los entornos o se ve obligada a emplear la solución del proveedor de la nube.
Mejores prácticas para el modelo de responsabilidad compartida
Algunas buenas prácticas para garantizar la Seguridad en la nube bajo el modelo de responsabilidad compartida incluyen:
- Comprendiendo el modelo de responsabilidad compartida: El modelo de responsabilidad compartida nube describe las responsabilidades de Seguridad en la nube de una organización. Entenderlo es el primer paso para cerciorar un entorno en la nube.
- Realización de evaluaciones de riesgos: Las evaluaciones de riesgos están diseñadas para identificar posibles riesgos de seguridad para una organización. Realizarlas de manera regular ayuda a una organización a abordar rápidamente cualquier intervalo de seguridad antes de que pueda ser explotado por un atacante.
- Implementación de controles de seguridad: Muchas mejores prácticas de seguridad son igualmente aplicables en local como en la nube. Los datos cifrados, los controles de acceso y soluciones similares siempre deben formar parte de la estrategia de Seguridad en la nube de una organización.
- Garantizar el cumplimiento: También se aplican los requisitos regulatorios de cumplimiento en el nube. Verifica que tu organización y tu proveedor de nube estén cumpliendo con sus responsabilidades de cumplimiento.
- Formación de empleados: Los empleados pueden tomar inadvertidamente acciones que pongan en peligro a Seguridad en la nube. Proporcionar formación sobre el modelo de responsabilidad compartida en la nube y las mejores prácticas de seguridad ayuda a proteger contra estos riesgos.
