¿Qué es la seguridad en la nube?

La seguridad en la nube es una responsabilidad compartida

La seguridad en la nube es una responsabilidad compartida entre el proveedor de la nube y el cliente. Básicamente, hay tres categorías de responsabilidades en el Modelo de Responsabilidad Compartida: responsabilidades que son siempre el proveedor, responsabilidades que son siempre el cliente, y las responsabilidades que varían según el modelo de servicio: Infraestructura como servicio (IaaS), Plataforma como servicio (PaaS) o Software como servicio (SaaS), como correo electrónico en la nube.

Las responsabilidades de seguridad que son siempre los del proveedor están relacionados con la protección de la infraestructura misma, así como con el acceso, la aplicación de parches y la configuración de los hosts físicos y la red física en la que se ejecutan las instancias informáticas y residen el almacenamiento y otros recursos.

Las responsabilidades de seguridad que son siempre Las del cliente incluyen la gestión de usuarios y sus privilegios de acceso (gestión de identidad y acceso), la protección de cuentas en la nube contra accesos no autorizados, el cifrado y protección de activos de datos basados en la nube y la gestión de su postura de seguridad (cumplimiento).

Los 7 principales desafíos de seguridad avanzada en la nube

Debido a que la nube pública no tiene perímetros claros, presenta una realidad de seguridad fundamentalmente diferente. Esto se vuelve aún más desafiante cuando se adoptan enfoques modernos en la nube, como métodos automatizados de integración continua e implementación continua (CI/CD), distribuidos. sin servidor arquitecturas y activos efímeros como Functions as a Service y contenedores.

Algunos de los seguridad nativa de la nube Los desafíos y las múltiples capas de riesgo que enfrentan las organizaciones orientadas a la nube de hoy incluyen:

1. Mayor superficie de ataque

   El entorno de la nube pública se ha convertido en una superficie de ataque grande y muy atractiva para los piratas informáticos que explotan los puertos de entrada a la nube mal protegidos para acceder e interrumpir cargas de trabajo y datos en la nube. El malware, el día cero, la apropiación de cuentas y muchas otras amenazas maliciosas se han convertido en una realidad del día a día.

2. Falta de visibilidad y seguimiento

   En el modelo IaaS, los proveedores de la nube tienen control total sobre la capa de infraestructura y no la exponen a sus clientes. La falta de visibilidad y control se amplía aún más en los modelos de nube PaaS y SaaS. Los clientes de la nube a menudo no pueden identificar y cuantificar eficazmente sus activos en la nube ni visualizar sus entornos en la nube.

3. Cargas de trabajo en constante cambio

   Los activos de la nube se aprovisionan y desmantelan dinámicamente, a escala y a velocidad. Las herramientas de seguridad tradicionales son simplemente incapaces de aplicar políticas de protección en un entorno tan flexible y dinámico con sus cargas de trabajo efímeras y siempre cambiantes.

4. DevOps, DevSecOps y Automatización

   Las organizaciones que han adoptado la cultura DevOps CI/CD altamente automatizada deben garantizar que se identifiquen e incorporen controles de seguridad adecuados en el código y las plantillas en las primeras etapas del ciclo de desarrollo. Cambios relacionados con la seguridad implementados después una carga de trabajo que se ha desplegado en producción puede socavar la postura de seguridad de la organización, así como alargar el tiempo de comercialización.

5. Privilegios granulares y administración de claves

   A menudo, los roles de los usuarios de la nube se configuran de manera muy flexible, otorgando amplios privilegios más allá de lo previsto o requerido. Un ejemplo común es dar permisos de escritura o eliminación de bases de datos a usuarios no capacitados o usuarios que no tienen necesidad comercial de eliminar o agregar activos de base de datos. A nivel de aplicación, las claves y los privilegios configurados incorrectamente exponen las sesiones a riesgos de seguridad.

6. Entornos complejos

   Gestionar la seguridad de manera consistente en el híbrido y Multicloud Los entornos preferidos por las empresas hoy en día requieren métodos y herramientas que funcionen a la perfección en todos los proveedores de nube pública. nube privada proveedores e implementación local, incluidos Protección de bordes de sucursales para organizaciones distribuidas geográficamente.

7. Cumplimiento y Gobernabilidad en la Nube

   Todos los principales proveedores de nube se han alineado con la mayoría de los programas de acreditación más conocidos, como PCI 3.2, NIST 800-53, HIPAA y GDPR. Sin embargo, los clientes son responsables de garantizar que su carga de trabajo y sus procesos de datos cumplan con los requisitos. Dada la escasa visibilidad y la dinámica del entorno de la nube, el proceso de auditoría de cumplimiento se vuelve casi una misión imposible a menos que se utilicen herramientas para lograr controles de cumplimiento continuos y emitir alertas en tiempo real sobre configuraciones incorrectas.

Cero confianza y por qué debería abrazarla

El término Zero Trust fue presentado por primera vez en 2010 por John Kindervag quien, en ese momento, era un analista senior de Forrester Research. El principio básico de Zero Trust en seguridad en la nube es no confiar automáticamente en nadie ni en nada dentro o fuera de la red, y verificar (es decir, autorizar, inspeccionar y asegurar) todo.

Zero Trust, por ejemplo, promueve una estrategia de gobierno de privilegios mínimos mediante la cual los usuarios solo tienen acceso a los recursos que necesitan para desempeñar sus funciones. De manera similar, pide a los desarrolladores que se aseguren de que las aplicaciones web estén debidamente protegidas.  Por ejemplo, si el desarrollador no ha bloqueado puertos de manera constante o no ha implementado permisos "según sea necesario", un pirata informático que se haga cargo de la aplicación tendrá privilegios para recuperar y modificar datos de la base de datos.

Además, las redes Zero Trust utilizan la microsegmentación para hacer que la seguridad de la red en la nube sea mucho más granular. La microsegmentación crea zonas seguras en el centro de datos y la implementación de la nube, segmentando así las cargas de trabajo entre sí, asegurando todo dentro de la zona y aplicando políticas para proteger el tráfico entre zonas.

Los 6 pilares de una seguridad robusta en la nube

Mientras que los proveedores de nube como Amazon Web Services (AWS) Azure de Microsoft Azure), y Google Cloud Platform (GCP) ofrecen muchas funciones y servicios de seguridad nativos de la nube; las soluciones complementarias de terceros son esenciales para lograr un nivel empresarial protección de carga de trabajo en la nuben contra infracciones, fugas de datos y ataques dirigidos en el entorno de la nube. Solo una pila de seguridad integrada nativa de la nube o de terceros proporciona la visibilidad centralizada y el control granular basado en políticas necesarios para ofrecer las siguientes mejores prácticas de la industria:

1. Controles de autenticación y IAM granulares basados en políticas en infraestructuras complejas

   Trabaje con grupos y roles en lugar de a nivel individual de IAM para facilitar la actualización de las definiciones de IAM a medida que cambian los requisitos del negocio. Otorgue solo los privilegios de acceso mínimos a los activos y API que sean esenciales para que un grupo o rol lleve a cabo sus tareas. Cuanto más amplios sean los privilegios, mayores son los niveles de autenticación. Y no descuide la buena higiene de IAM, la aplicación de políticas de contraseñas sólidas, permisos de tiempo de permiso, etc.

2. Confianza cero seguridad de la red en la nube controles en segmentos rojos y microsegmentos lógicamente aislados

   Implemente recursos y aplicaciones críticos para el negocio en secciones lógicamente aisladas de la red en la nube del proveedor, como nubes privadas virtuales (AWS y Google) o vNET (Azure). Utilice subredes para microsegmentar cargas de trabajo entre sí, con políticas de seguridad granulares en la subred puerta de enlace. Utilice enlaces WAN dedicados en arquitecturas híbridas y utilice configuraciones de enrutamiento estáticas definidas por el usuario para personalizar el acceso al dispositivo virtual, la red virtual y su puerta de enlace, y las direcciones IP públicas.

3. Aplicación de políticas y procesos de protección de servidores virtuales, como administración de cambios y actualizaciones de software:

   Los proveedores de seguridad en la nube ofrecen soluciones sólidas Administración de la Postura de Seguridad en la Nube, aplicando constantemente reglas y plantillas de gobernanza y cumplimiento al aprovisionar servidores virtuales, auditando las desviaciones de configuración y remediando automáticamente cuando sea posible.

4. Protección de todas las aplicaciones (y especialmente de las aplicaciones distribuidas nativas de la nube) con un firewall web de aplicaciones de próxima generación

   Esto inspeccionará y controlará de manera granular el tráfico hacia y desde los servidores web de aplicaciones, actualizará automáticamente las reglas WAF en respuesta a los cambios en el comportamiento del tráfico y se implementará más cerca de los microservicios que ejecutan cargas de trabajo.

5. Protección de datos mejorada

   Protección de datos mejorada con cifrado en todas las capas de transporte, comunicaciones y recursos compartidos de archivos seguros, gestión continua de riesgos de cumplimiento y mantenimiento de una buena higiene de los recursos de almacenamiento de datos, como la detección de depósitos mal configurados y la eliminación de recursos huérfanos.

6. inteligencia sobre amenazas que detecta y repara amenazas conocidas y desconocidas en tiempo real

   Los proveedores externos de seguridad en la nube agregan contexto a los grandes y diversos flujos de registros nativos de la nube al cruzar de manera inteligente datos de registros agregados con datos internos, como sistemas de gestión de activos y configuración, escáneres de vulnerabilidades, etc., y datos externos como inteligencia pública. sobre amenazas feeds, bases de datos de geolocalización, etc. También proporcionan herramientas que ayudan a visualizar y consultar el panorama de amenazas y a promover tiempos de respuesta a incidentes más rápidos. Se aplican algoritmos de detección de anomalías basados en IA para detectar amenazas desconocidas, que luego se someten a un análisis forense para determinar su perfil de riesgo. Las alertas en tiempo real sobre intrusiones e infracciones de políticas acortan los tiempos de corrección, a veces incluso desencadenando flujos de trabajo de autorremediación.

Obtenga más información sobre las soluciones CloudGuard de Check Point

La plataforma unificada de seguridad en la nube CloudGuard de Check Point se integra perfectamente con los servicios de seguridad nativos de la nube de los proveedores para garantizar que los usuarios de la nube cumplan con su parte del Modelo de Responsabilidad Compartida y mantengan políticas de Confianza Cero en todos los pilares de la seguridad en la nube: control de acceso, Seguridad de la red, cumplimiento de servidores virtuales, carga de trabajo y protección de datos, e inteligencia sobre amenazas.

Soluciones unificadas de seguridad en la nube de Check Point

• Soluciones de seguridad en la nube nativas de la nube
• Administración de la Postura de Seguridad en la Nube
• Protección de carga de trabajo en la nube
• Inteligencia de la nube y búsqueda de amenazas (Threat Hunting) 
• Seguridad de Red en la Nube
• Seguridad sin servidor
• Seguridad de contenedores
• Seguridad de AWS
• Seguridad de Azure
• Seguridad GCP
• Sucursal seguridad en la nube