¿Qué es la arquitectura de seguridad de la nube?

La arquitectura de seguridad de la nube es un término que engloba todo el hardware, el software y la infraestructura que protegen el entorno de la nube y sus componentes, como datos, cargas de trabajo, contenedores, máquinas virtuales y API.

La arquitectura de seguridad de la nube proporciona documentación sobre cómo abordará la organización los siguientes aspectos:

• Definición de procedimientos, reglas y principios de seguridad y gobernanza para todas las aplicaciones y servicios de la nube desde el desarrollo hasta el tiempo de ejecución.
• Configuración adecuada de las actividades y operaciones en la nube para mantener niveles óptimos de seguridad.
• Definición de los derechos de gestión de identidades y accesos (IAM) para todos los usuarios de la nube.
• Protección de los datos, las aplicaciones y otros recursos.
• Descripción de las responsabilidades, roles y procedimientos de actualización y aplicación de parches.
• Cumplimiento de la normativa gubernamental y del sector de aplicación.
• Conexión de las tecnologías, herramientas y prácticas de seguridad de la nube con la arquitectura empresarial más amplia y la estrategia de seguridad general de la empresa.

La arquitectura de seguridad de la nube es un componente central de todas las estrategias de seguridad de la nube, y su cometido es proteger todo lo que hay dentro de la nube, incluida la infraestructura, los datos y las aplicaciones de la nube.

¿Por qué es importante la arquitectura de seguridad de la nube?

Al migrar a la nube, la seguridad puede ser una preocupación secundaria para muchas organizaciones, lo que las deja expuestas a los riesgos y amenazas específicos del entorno de la nube que no están cubiertos por las herramientas y medidas de seguridad locales tradicionales.

Aunque muchas organizaciones optan por implementar una serie de soluciones puntuales para mejorar la seguridad de la nube, este enfoque fragmentado limita significativamente la visibilidad, lo que dificulta lograr una posición de seguridad sólida.

Las organizaciones que han migrado a la nube o están en proceso de hacerlo deben desarrollar una estrategia de seguridad integral específicamente diseñada para la nube que se integre con la estrategia y las soluciones generales de seguridad de la empresa.

Cuatro elementos clave de la arquitectura de seguridad de la nube

La arquitectura de seguridad de la nube abarca todo el hardware, el software y la infraestructura necesarios para garantizar la seguridad en el entorno de la nube. Los cuatro elementos clave de la arquitectura de seguridad en la nube son los siguientes:

1. Gestión de la posición de seguridad de la nube (CSPM): se centra en la seguridad de las API de la nube, evitando errores de configuración e integraciones en la canalización IC/EC.
2. Plataforma de protección de cargas de trabajo en la nube (CWPP): supervisa la protección en tiempo de ejecución y la gestión continua de vulnerabilidades de los contenedores en la nube.
3. Agente de seguridad de acceso a la nube (CASB): su cometido es mejorar la visibilidad en los endpoints, lo que incluye quién accede a los datos y cómo se utilizan.
4. Seguridad de las aplicaciones de la nube: directivas, herramientas, tecnologías y reglas a nivel de aplicación para mantener la visibilidad de toda la actividad de computación en la nube y proteger las aplicaciones basadas en la nube a lo largo del ciclo de vida del desarrollo.

Arquitectura de seguridad de la nube y modelo de responsabilidad compartida

De acuerdo con el modelo de responsabilidad compartida, la seguridad y el cumplimiento son una responsabilidad que deben compartir el cliente y el proveedor de la nube.  Los proveedores de servicio en la nube (p. ej., Amazon AWS, Microsoft Azure o Google GCP) deben monitorizar y responder a las amenazas de seguridad relacionadas con la infraestructura subyacente de la nube. Por otro lado, los usuarios finales, incluidos particulares y empresas, son responsables de proteger los datos y otros recursos almacenados en los entornos de nube pública, híbrida y multinube.

Por desgracia, esta premisa puede malinterpretarse y llevar a pensar que el proveedor en la nube se encarga de proteger en su totalidad las cargas de trabajo en la nube. Como consecuencia, los usuarios ejecutan inadvertidamente cargas de trabajo en una nube pública que no están del todo protegidas, lo que implica que los adversarios pueden atacar el sistema operativo y las aplicaciones para obtener acceso. Incluso las cargas de trabajo configuradas de forma segura pueden convertirse en un objetivo durante el tiempo de ejecución, ya que son vulnerables a los exploits de día cero.

Para las empresas que operan en la nube o que están migrando a este entorno, es fundamental contar con una estrategia de seguridad completa que proteja y defienda concretamente sus recursos en la nube.

Arquitecturas de seguridad de la nube por modelos de servicio

Hay tres modelos principales de servicios en la nube, y todos ellos funcionan según el modelo de responsabilidad compartida.

• Software como servicio (SaaS): SaaS es un modelo de entrega de software en el que el proveedor aloja de manera central una aplicación en la nube para que la utilice un suscriptor.
• Plataforma como servicio (PaaS): PaaS es un modelo de entrega de plataforma que puede adquirirse y utilizarse para desarrollar, ejecutar y gestionar aplicaciones. En el modelo de plataforma de la nube, el proveedor proporciona tanto el hardware como el software que los desarrolladores de aplicaciones suelen utilizar. Además, el proveedor del servicio también es el responsable de garantizar la seguridad de la plataforma y su infraestructura.
• Infraestructura como servicio (IaaS): IaaS es un modelo de entrega de infraestructura en el que el proveedor ofrece un amplio abanico de recursos de computación, como servidores virtualizados, almacenamiento o equipos de red en Internet. En este modelo, la empresa es responsable de la seguridad de todo lo que posea o instale en la infraestructura, como sistemas operativos, aplicaciones y middleware.

Tres principios de seguridad para la arquitectura de la nube

La seguridad de la arquitectura de la nube se basa en tres principios de seguridad fundamentales: accesibilidad, integridad y disponibilidad.

1. Accesibilidad: garantizar que los servicios basados en la nube, los datos y otros recursos sean accesibles solo para usuarios y dispositivos autorizados y autenticados.
2. Integridad: garantizar que el sistema y las aplicaciones funcionan de manera correcta y eficiente.
3. Disponibilidad: garantizar que el sistema está disponible para los usuarios, incluidos empleados y clientes, y protegido frente a ataques relacionados con el servicio, como los ataques de denegación de servicio (DoS) o de denegación de servicio distribuido (DDoS).

Principales amenazas para la arquitectura de seguridad de la nube

Las organizaciones que utilizan la nube o tienen previsto hacerlo deben saber que las medidas de seguridad tradicionales existentes no protegerán los servicios, aplicaciones o recursos basados en la nube. El diseño y la implementación de una estrategia de seguridad integral que ofrezca protección frente a una creciente variedad de amenazas y ataques cada vez más sofisticados dentro del entorno de la nube es de vital importancia.

Según un estudio reciente de CrowdStrike y Enterprise Strategy Group (ESG) en el que se entrevistó a 383 profesionales de I y seguridad de la información (Infosec), solo el 12 % de las organizaciones afirmaron no haber sufrido ningún ciberataque dirigido a sus aplicaciones o infraestructura nativas de la nube durante el año pasado.

Entre los desafíos de seguridad más comunes dentro de un entorno en la nube se incluyen:

Seguridad sistemática

En nuestro estudio, el desafío más señalado para la seguridad de las aplicaciones nativas de la nube fue el relativo a conseguir seguridad sistemática entre el datacenter y el entorno de nube pública donde se implementan las aplicaciones nativas de la nube. Este aislamiento en lo relativo a la seguridad contribuye a la falta de controles y directivas centralizados. Esta realidad se ve agravada por una mala comprensión del modelo de amenazas para las aplicaciones e infraestructuras nativas de la nube, así como por la falta de visibilidad sobre la infraestructura de la nube pública que aloja las aplicaciones nativas de la nube.

Visibilidad

El cambio a la nube es un fenómeno relativamente reciente para muchas organizaciones. Esto significa que es posible que muchas empresas no tengan la madurez de seguridad necesaria para operar de forma segura en un entorno multinube. Por ejemplo, es posible que algunas herramientas de escaneo de vulnerabilidades no analicen todos los recursos, como los contenedores dentro de un clúster dinámico. Otras tal vez no distingan el riesgo real de las operaciones normales, lo que genera una serie de falsas alarmas que el equipo de Infosec debe investigar.

En tales casos, las organizaciones deben desarrollar las herramientas, tecnologías y sistemas para inventariar y monitorizar todas las aplicaciones en la nube, cargas de trabajo y otros recursos. También deben eliminar cualquier recurso que la empresa no necesite para limitar la superficie de ataque.

Errores humanos y de configuración

La mayoría de las brechas en la nube han sido provocadas por errores humanos, como errores de configuración. Estos errores convierten las cargas de trabajo en la nube en objetivos claros y fácilmente localizables con un simple rastreador web. Como en la nube no hay seguridad del perímetro, estos errores pueden resultar muy costosos. Muchas de las brechas de seguridad comunicadas comenzaron con buckets S3 mal configurados que se utilizaron como punto de entrada.

Según nuestra encuesta, los errores de configuración en la nube más frecuentes en los últimos 12 meses fueron: tener una contraseña predeterminada o no requerir contraseña para acceder a las consolas de administración (30 %); alojar cargas de trabajo de servidores con acceso al exterior (27 %); asignar demasiados permisos a las cuentas de servicio (25 %) y a las cuentas de usuario (25 %).

Malinterpretar el modelo de responsabilidad compartida

Como hemos co mentado antes, los proveedores de servicios en la nube tienen una responsabilidad limitada en materia de seguridad. En las nubes públicas, gran parte de la infraestructura subyacente está protegida por el proveedor de la nube. Sin embargo, todo lo demás, desde el sistema operativo hasta las aplicaciones y los datos, es responsabilidad del usuario.

Shadow IT 

El shadow IT (que se produce cuando las aplicaciones y la infraestructura se gestionan y utilizan sin el conocimiento del departamento de TI de la empresa) es otro de los grandes problemas de los entornos de la nube. En muchos casos, DevOps agrava el problema, ya que la barrera para entrar y utilizar un recurso en la nube, ya sea una carga de trabajo o un contenedor, es extremadamente baja. Los desarrolladores pueden generar cargas de trabajo fácilmente, utilizando sus cuentas personales. Estos recursos no autorizados son una amenaza para el entorno, pues en general no están correctamente protegidos y se accede a ellos con configuraciones y contraseñas predeterminadas, que pueden verse comprometidas fácilmente.

Falta de una estrategia integral de seguridad de la nube

Aunque las cargas de trabajo se trasladan a la nube, los administradores siguen intentando protegerlas del mismo modo que protegen los servidores de un datacenter privado o local. Lo malo es que los modelos de seguridad tradicionales para datacenters no son adecuados para la nube. Teniendo en cuenta los ataques sofisticados y automatizados a los que nos enfrentamos hoy en día, es indispensable contar con una seguridad integrada y avanzada para evitar brechas. La organización debe proteger todo el entorno de TI, incluidos los entornos multinube, así como los datacenters de la organización y los usuarios móviles. Adoptar un enfoque coherente e integrado que proporcione una visibilidad completa y un control detallado de toda la organización reducirá los problemas, minimizará las interrupciones del negocio y permitirá a las organizaciones trabajar en la nube de forma segura y con confianza.