Conceptos de Seguridad Cloud, controles y estrategia

La seguridad en la nube es una disciplina de la ciberseguridad dedicada a asegurar los sistemas informáticos en la nube. Esta disciplina incluye mantener los datos privados y seguros a través de la infraestructura, las aplicaciones y las plataformas en línea.

Asegurar estos sistemas implica esfuerzos de los proveedores de la nube y de los clientes que los utilizan, bien sea que se trate de una persona, una pequeña o mediana empresa, o una organización.

Los negocios usan una variedad de términos para destacar sus productos, en lugar de las descripciones más técnicas de NIST; desde DBaaS (disaster recovery) hasta HSMaaS (hardware security module), así como DBaaS (database) y, finalmente, XaaS (cualquier cosa). Dependiendo de lo que una empresa esté promocionando/vendiendo, puede ser difícil determinar si un producto es SaaS o PaaS, pero al final, es más importante comprender cuáles son las responsabilidades contractuales del proveedor de la nube. 

Los proveedores de la nube extienden sus contratos para agregar la seguridad en las formaciones de la nube por medio de servicios como HSMaaS (hardware security module) o DRMaaS (digital rights management).

Modelos de despliegue en la nube

• Nube pública: Una oferta multiinquilino pública como Amazon Web Services (AWS), Microsoft Azure o Google Cloud Platform (GCP).
• Nube privada: Un entorno en la nube dedicado a una sola entidad empresarial (pero normalmente compartido por muchas organizaciones dentro de esa entidad).
• Nube híbrida: Una combinación de servicios en la nube pública y privada a nivel local.
• Multinube: Una combinación de servicios en la nube; suele incluir diversos tipos de servicios (informática, almacenamiento, etc.) alojados en múltiples nubes públicas y privadas.

 Tipos de servicios en la nube

• Infraestructura como servicio (IaaS):
  Servicios de informática, almacenamiento y redes subyacentes bajo demanda.

• Plataforma como servicio (PaaS):
  Entornos y marcos de desarrollo de aplicaciones basadas en la nube.

• Software como servicio (SaaS):
  Soluciones bajo demanda como Salesforce u Office 365 que se ofrecen como aplicaciones basadas en la nube con modelos de licencia apoyados en suscripciones.

La arquitectura de la nube es la organización de los componentes y subcomponentes en una estructura lógica, eficiente y efectiva. Esta estructura debería permitir que los componentes trabajen juntos para lograr una meta, maximizando las fortalezas y minimizando las debilidades.

Los componentes básicos que se requieren para crear una nube incluyen redes, routers, switches, servidores y otros, como firewalls y sistemas de prevención de intrusiones. La nube también incluye todos los elementos dentro de los servidores: el hipervisor, las máquinas virtuales y, por supuesto, el software. La arquitectura de la nube también requiere un proveedor de la nube, un arquitecto de la nube y un broker de la nube para crear, administrar, vender y comprar servicios de la nube.

Muchos términos relacionados con la arquitectura de la nube solo agregan la palabra “nube” a un término ya familiar, como “consumidor de la nube”. Si usted entiende la definición de “consumidor”, entonces el nuevo término es claro: se refiere a un consumidor de los servicios de la nube en lugar de, digamos, servicios telefónicos.

 La terminología básica que se encuentra en NIST SP 500-299 incluye:

• Consumidor de la nube: La persona o empresa que utiliza el servicio de la nube de un proveedor de servicios.
• Proveedor de la nube: La persona o empresa con los recursos para ofrecer los servicios que requieren los consumidores. Esto involucra la tecnología necesaria para crear los servidores, máquinas virtuales, almacenamiento de datos o cualquier otro recurso que precise el consumidor.
• Broker de la nube: La persona o empresa que administra la entrega, uso y desempeño de la nube para el consumidor, negociando la relación con el proveedor en nombre del consumidor.
• Carrier de la nube: El carrier es el proveedor de servicio que conecta el negocio con la nube, por ejemplo, su proveedor de servicios de Internet. Para un negocio, esto usualmente sería una conexión MPLS (multiprotocol label switching).
• Auditor de la nube: La persona o empresa que realiza la auditoría del ambiente de un proveedor de servicios de la nube. Estas auditorías incluyen privacidad y seguridad.

La seguridad en la nube es una responsabilidad compartida entre el proveedor de la nube y el cliente.

Las prácticas de seguridad en la nube son similares en muchos aspectos a las prácticas de seguridad informática y de red tradicionales, pero hay algunas diferencias clave. En contraste con lo que ocurre con la seguridad de TI convencional, la seguridad en la nube suele regirse por un modelo de responsabilidad compartida donde el proveedor de servicios en la nube es responsable de gestionar la seguridad de la infraestructura subyacente (por ej., servicios de almacenamiento en la nube, servicios de informática en la nube, servicios de redes en la nube), y el cliente es responsable de gestionar la seguridad de todo lo que se encuentra por encima del hipervisor (por ej., sistemas operativos invitados, usuarios, aplicaciones, datos). 

 ¿Qué hace que la seguridad en la nube sea diferente?

La seguridad informática tradicional ha experimentado una inmensa evolución debido al cambio a la informática basada en la nube. Si bien los modelos de la nube permiten una mayor comodidad, la conectividad siempre activa requiere nuevas consideraciones para mantenerlos seguros. La seguridad en la nube, como una solución de ciberseguridad modernizada, se distingue de los modelos informáticos heredados en algunos aspectos.

1. Almacenamiento de datos: la mayor distinción es que los modelos antiguos de TI dependían en gran medida del almacenamiento de datos in situ. Las empresas han descubierto desde hace mucho tiempo que la creación de todas las plataformas informáticas internas para los controles de seguridad detallados y personalizados es costosa y rígida.
2. Velocidad de escalada: de manera similar, la seguridad en la nube exige una atención única al escalar los sistemas de TI de la empresa. La infraestructura y las aplicaciones centradas en la nube son muy modulares y se movilizan rápidamente.
3. Interfaz del sistema de usuarios finales: tanto para las empresas como para los usuarios individuales, los sistemas de nube también se conectan con muchos otros sistemas y servicios que se deben asegurar. Los permisos de acceso deben mantenerse desde el nivel de dispositivo de usuario final hasta el nivel de software e incluso el nivel de red.

Resolver la mayoría de los problemas de seguridad en la nube significa que tanto los usuarios como los proveedores de la nube, tanto en entornos personales como en empresariales, deben ser proactivos en cuanto a sus propias funciones en la ciberseguridad.

 ¿Cuáles son los problemas de seguridad en la informática en la nube?

Si no es consciente de su existencia, ¿cómo se supone que va a tomar las medidas adecuadas? Después de todo, una seguridad débil en la nube puede exponer a usuarios y proveedores a todo tipo de amenazas de ciberseguridad. Algunas amenazas comunes a la seguridad en la nube incluyen:

• Riesgos de la infraestructura basada en la nube, incluidas las plataformas informáticas heredadas incompatibles y las interrupciones de los servicios de almacenamiento de datos de terceros.
• Amenazas internas debidas a errores humanos, por ejemplo, la mala configuración de los controles de acceso de los usuarios.
• Amenazas externas causadas casi exclusivamente por actores maliciosos, como malware, phishing y ataques de DDoS.
• El mayor riesgo que plantea la nube es que no existe un perímetro. La ciberseguridad tradicional se centraba en proteger el perímetro, pero los entornos en la nube están altamente conectados, lo que conlleva que las interfaces de programación de aplicaciones (API) sean inseguras y los secuestros de cuentas puedan plantear problemas reales.

La interconexión también plantea problemas para las redes. Los actores maliciosos a menudo acceden con credenciales comprometidas o débiles. Una vez que un hacker consigue acceder a una red, puede propagarse fácilmente y utilizar las interfaces mal protegidas de la nube para localizar información en diferentes bases de datos y nodos.

El almacenamiento de los datos por parte de terceros y el acceso a través de Internet también plantean sus propias amenazas. Si, por algún motivo, estos servicios se interrumpen, podría perderse el acceso a los datos. Por ejemplo, un corte en la red telefónica podría significar que no sería posible acceder a la nube en un momento esencial.

 Prácticas recomendadas de seguridad para los clientes de la nube

Los clientes de la nube deben instituir diversas medidas para proteger tanto las aplicaciones como los datos basados allí y mitigar los riesgos de seguridad. Entre las habituales prácticas recomendadas de seguridad en la nube se incluyen:

• Proteger la consola de gestión en la nube. Todos los proveedores de la nube proporcionan consolas de gestión para administrar cuentas, configurar servicios, resolver problemas y monitorizar el uso y la facturación.
• Proteger la infraestructura virtual. Los servidores virtuales, los almacenes de datos, los contenedores y otros recursos en la nube también son un objetivo común de los ciberdelincuentes.
• Proteger claves SSH de API. Las aplicaciones en la nube suelen invocar API para detener o iniciar servidores, instanciar contenedores o realizar otros cambios en el entorno.
• Proteger las consolas y herramientas de administración de DevOps. La mayoría de organizaciones de DevOps dependen de una serie de herramientas de CI/CD para desarrollar y desplegar aplicaciones en la nube.
• Proteger el código de los procesos de DevOps. Los atacantes también pueden tratar de explotar las vulnerabilidades de las aplicaciones en la nube a lo largo del proceso de desarrollo y entrega.
• Proteger las cuentas de administración para las aplicaciones SaaS. Cada oferta de SaaS incluye una consola de gestión para administrar los usuarios y servicios.

Cumplimiento de la nube

Las empresas deben observar diversas leyes, regulaciones y contratos. Cuando coloca sus datos y servicios en posesión de alguien más, las auditorías requeridas para confirmar el cumplimiento pueden volverse más complicadas.

Pregúntese a sí mismo: “¿Qué es lo que más me preocupa?”

Esto le ayudará a determinar qué preguntas hacerle a su proveedor de la nube. Desde un punto de vista legal, las organizaciones deben cumplir con:

• EU GDPR (European Union General Data Protection Regulation),
• SOX (Sarbanes-Oxley - US financial data protection),
• HIPAA (Health Information Portability and Accountability Act - US healthcare),
• PCI-DSS (Payment Card Industry - Data Security Standard),
• Entre otras regulaciones, leyes de forma local.

Una vez que se identifica el sujeto del cumplimiento, es posible emprender varias acciones, una de las cuales es la auditoría. Esta debe conducirse usando un enfoque estandarizado y metodología comprobada, como el Accountants’ SSAE 18 (Statement of Standards on Attestation Agreements, No. 18.