Mejores prácticas de seguridad en la nube

La seguridad de la nube se ha convertido en una de las principales prioridades para la mayoría de las organizaciones que operan en la nube, especialmente para las que utilizan entornos híbridos o multinube. En este blog, analizaremos 20 mejores prácticas de seguridad de la nube que las organizaciones pueden implementar durante el proceso de adopción de la nube para garantizar la protección de sus entornos frente a ciberataques.

¿Por qué es importante la seguridad de la nube?

Las organizaciones recurren a plataformas en la nube para ejecutar sus cargas de trabajo más esenciales debido a la flexibilidad y la eficiencia que les proporcionan estos entornos en comparación con los datacenter tradicionales.

La seguridad es una de las inquietudes más importantes de las empresas cuando se embarcan en el viaje de la transformación digital en la nube, ya que proteger este entorno implica un cambio de paradigma con respecto a las soluciones y enfoques de seguridad tradicionales. Además, las brechas de datos y los ataques de malware están volviéndose algo habitual en la nube, y los vectores de ataque no paran de evolucionar. Es importante comprender en qué consiste la seguridad de la nube para poder implementar las mejores prácticas y las herramientas adecuadas y proteger las cargas de trabajo alojadas en la nube. Comprender mejor la seguridad de la nube puede ayudarte a elevar la madurez de tus prácticas de seguridad a medida que tu organización avanza en su proceso de adopción de la nube.

20 mejores prácticas para la seguridad de la nube

Cuando las organizaciones se adentran por primera vez en la nube, hay determinadas cuestiones en materia de seguridad que no pueden pasar por alto.

¿Cuáles son las mejores prácticas para la seguridad de la nube?

1. Entender el modelo de responsabilidad compartida.
2. Proteger el perímetro.
3. Monitorizar los errores de configuración.
4. Utilizar la gestión de identidades y accesos.
5. Habilitar la visibilidad sobre la posición de seguridad.
6. Implementar las directivas de seguridad de la nube.
7. Proteger los contenedores.
8. Ejecutar la evaluación y remediación de vulnerabilidades.
9. Implementar una política de Zero Trust.
10. Llevar a cabo un programa de formación de ciberseguridad.
11. Utilizar la gestión de logs y la monitorización continua.
12. Realizar pruebas de penetración.
13. Cifrar los datos.
14. Cumplir las normativas.
15. Implementar un plan de respuesta a incidentes.
16. Proteger todas las aplicaciones.
17. Tener en cuenta la posición de seguridad de los datos.
18. Consolidar las soluciones de ciberseguridad.
19. Recurrir a un enfoque de detección y respuesta en la nube.
20. Protegerse con CrowdStrike Falcon Cloud Security

1. Entender el modelo de responsabilidad compartida

Los principales proveedores de servicios en la nube (CSP) —AWS, Azure, and Google Cloud— aplican el modelo de responsabilidad compartida para gestionar la seguridad de la nube. Aunque el proveedor de servicios se encarga de gestionar algunos aspectos de la seguridad (como la seguridad del hardware subyacente), se espera que los clientes gestionen la seguridad en las capas de infraestructura y aplicación.

En el caso de las implementaciones de infraestructura como servicio (IaaS), esto incluye proteger el sistema operativo (SO) de cualquier máquina virtual mediante la aplicación de parches, la configuración del firewall y el despliegue de protección frente a virus y malware, entre otras medidas. En las implementaciones de plataforma como servicio (PaaS), el nivel de protección de la máquina virtual es una competencia del proveedor de la nube. Sin embargo, el cliente debe encargarse de la protección de datos y aplicaciones. En las implementaciones de software como servicio (SaaS), la mayoría de los controles de seguridad durante el desarrollo de la aplicación son gestionados por el proveedor de la nube, y el cliente se encarga de las políticas de uso y acceso.

Es esencial que el proveedor de servicios en la nube revise la matriz de responsabilidad compartida que se incluye a continuación, así como habilitar los controles pertinentes para tu aplicación utilizando herramientas y servicios de seguridad nativos o de terceros.

2. Proteger el perímetro

Dado que las redes de la nube se basan en redes definidas por software (SDN), hay una mayor flexibilidad para implementar medidas de seguridad multicapa. Lo recomendable es empezar por la segmentación básica de las cargas de trabajo entre las distintas redes virtuales, y solo permitir la comunicación necesaria entre ellas. También es importante restringir el tráfico entrante a las aplicaciones mediante firewalls en la capa de la aplicación o la red.

Los firewalls de aplicaciones web (WAF) basados en las reglas de detección de amenazas de OWASP pueden ayudar a las empresas a detectar y defenderse de ataques como las inyecciones SQL, la exposición de datos o los scripts entre sitios, que son algunas de las principales amenazas para la seguridad de las aplicaciones. Es indispensable contar con una estrategia de defensa contra los ataques de denegación de servicio distribuido (DDoS) multicapa para proteger las cargas de trabajo de los ataques DDoS organizados en la nube. Todos los proveedores de servicios en la nube ofrecen herramientas de protección DDoS que se integran con el front-end de la aplicación para detectar este tipo de ataques y ofrecer protección frente a ellos.

Por otro lado, es necesario implementar en el perímetro de red un firewall que pueda actuar como defensa frente a las amenazas entrantes y los ataques maliciosos. Puedes optar por servicios de firewall nativos de la nube o por herramientas de terceros más avanzadas con capacidades de detección de intrusiones, inspección de paquetes, análisis de tráfico y detección de amenazas. Otra opción son los sistemas de detección de intrusiones (IDS) independientes o los sistemas de prevención de intrusiones (IPS) que se implementan en la arquitectura para reforzar el perímetro de seguridad de las implementaciones en la nube.

3. Monitorizar los errores de configuración

Las infiltraciones exitosas en cargas de trabajo de la nube suelen ser el resultado de errores de configuración del servicio o de errores de configuración manual. Es recomendable incorporar soluciones de gestión de la posición de seguridad de la nube (CSPM) en la arquitectura para detectar posibles errores de configuración en la implementación de la nube.

Las soluciones de CSPM aportan valor al comparar la implementación con una serie de mejores prácticas, que pueden ser estándares definidos por la organización o pautas alineadas con las principales referencias en materia de seguridad y cumplimiento. Las soluciones de CSPM proporcionan una puntuación de seguridad que cuantifica el estado actual de la seguridad de todas las cargas de trabajo en la nube, siendo una puntuación de seguridad buena un indicativo de una implementación segura en la nube. Estas herramientas también alertan sobre posibles desviaciones de las prácticas estándar para que los clientes puedan tomar las medidas correctivas que sean necesarias.

4. Utilizas la gestión de identidades y accesos

En lo relativo a las cargas de trabajo de la nube, la seguridad en el plano de control es esencial, ya que aquí se encuentra la llave de control del sistema. Para implementar controles de acceso detallados y basados en roles a los recursos de la nube, es necesario utilizar servicios de gestión de identidades y accesos nativos de la plataforma de nube escogida.

Las plataformas de la nube también proporcionan herramientas para integrar sin complicaciones soluciones locales, como Active Directory, con servicios de gestión de identidades y accesos (IAM) nativos de la nube. De este modo, los usuarios disfrutan de una experiencia fluida de inicio de sesión único (SSO) en las cargas de trabajo alojadas en la nube. En relación con los controles de IAM, la regla básica es seguir el principio del mínimo de privilegios, es decir, dar a los usuarios únicamente aquellos permisos necesarios para acceder a los datos y recursos de la nube que necesitan para hacer su trabajo.

5. Habilitar la visibilidad sobre la posición de seguridad

A medida que el panorama de la nube crece, también lo hace la probabilidad de que se produzcan brechas que pasen desapercibidas. Disponer de las herramientas adecuadas te permitirá obtener la visibilidad necesaria sobre la posición de seguridad para gestionar proactivamente la seguridad.

Todas las plataformas líderes de la nube incluyen un nivel avanzado/premium de una solución de CSPM nativa que ofrece capacidades como la detección de exfiltración de datos, amenazas de eventos, secuestros de cuentas de IAM y ataques de criptominería, entre otros. Sin embargo, ten en cuenta que estas funcionalidades suelen estar limitadas a sus respectivas plataformas en la nube. En el caso de implementaciones híbridas o multinube, se recomienda incorporar una herramienta especializada para habilitar la visibilidad de la posición de seguridad.

6. Implementar las directivas de seguridad de la nube

Las organizaciones deben definir directivas de seguridad de la nube que contemplen la aplicación de restricciones en toda la organización y garanticen la seguridad. Por ejemplo, estas directivas pueden restringir la implementación de cargas de trabajo mediante IP públicas, contener el flujo de tráfico este-oeste o monitorizar los patrones de tráfico de las cargas de trabajo de contenedores.

El enfoque de implementación será distinto en función del proveedor del servicio. En Azure, los clientes pueden utilizar directivas de Azure. En Google Cloud, los clientes pueden utilizar directivas organizativas. La ventaja de las directivas de seguridad es que aplican de manera automática y generalizada el estándar de cumplimiento en las implementaciones en la nube.

7. Proteger los contenedores

Cuando hablamos de seguridad de los contenedores, hablamos tanto de la protección del contenedor como de la plataforma de orquestación, y Kubernetes es la solución más utilizada para ello en la nube. Deberás crear líneas base de seguridad estándares del sector para cargas de trabajo en contenedores que incluyan la monitorización continua y la notificación ante cualquier desviación.

Las organizaciones necesitan herramientas que puedan detectar actividades maliciosas en contenedores, incluso durante el tiempo de ejecución. No podemos dejar de insistir en la necesidad de incorporar tecnologías de seguridad que ofrezcan visibilidad sobre las actividades relacionadas con los contenedores, así como la detección y el desmantelamiento de contenedores no autorizados. Ante un panorama de amenazas que no para de evolucionar, lo mejor es recurrir a tecnologías que hagan uso de la IA avanzada y el aprendizaje automático para detectar malware sin depender de firmas.

8. Ejecutar la evaluación y remediación de vulnerabilidades

Es necesario contar con un servicio de escaneado y remediación de vulnerabilidades en tiempo real para proteger las cargas de trabajo frente a ataques de malware y virus. Este servicio debe ser compatible con las cargas de trabajo implementadas tanto en las máquinas virtuales como en los contenedores.

Lo ideal es dar con una solución de gestión de vulnerabilidades que pueda escanear continuamente las cargas de trabajo en busca de vulnerabilidades, compilar informes, presentar los resultados en paneles de control y resolver de manera automática los problemas.

9. Implementar una política de Zero Trust

La política de Zero Trust (confianza cero) es el referente en seguridad de la nube. Implica no asumir ninguna confianza entre servicios, incluso si están dentro del perímetro de seguridad de la organización.

Los principios fundamentales de este enfoque incluyen la segmentación y un nivel mínimo de comunicación entre los diferentes servicios de una aplicación. Una comunicación en la que solo deben utilizarse identidades autorizadas. Cualquier comunicación que se produzca dentro de una aplicación o con recursos externos debe monitorizarse, registrarse y analizarse para detectar posibles anomalías, lo que también se aplica a las actividades de los administradores. Para ello, se puede optar por herramientas de monitorización y registro nativas o de terceros.

10. Llevar a cabo un programa de formación de ciberseguridad

Aunque existen diversas herramientas de calidad para proteger la nube de los diferentes tipos de adversarios, muchos líderes de seguridad se han dado cuenta de que, en materia de seguridad, es mejor adoptar un enfoque proactivo.

Un buen punto de partida para incorporar la ciberseguridad a la cultura de la empresa y convertirla en una prioridad para empleados y partes interesadas es implementar un programa integral de formación para empleados en materia de seguridad. En el programa se debe incluir información sobre los adversarios más comunes del sector y cómo ejecutan sus ataques.

Además, es importante incorporar formación específica para detectar intentos de phishing, ya que es una de las formas más comunes en las que los hackers obtienen acceso no autorizado a la red de una empresa y, potencialmente, a información confidencial.

11. Utilizar la gestión de logs y la monitorización continua

Es esencial que las empresas habiliten funcionalidades de registro en su infraestructura de la nube para obtener visibilidad completa de la red, identificar con rapidez actividades anómalas y corregirlas de ser necesario. Dentro de la plataforma de gestión de registros, asegúrate de activar las notificaciones para que te enteres en tiempo real de cualquier actividad inusual.

12. Realizar pruebas de penetración

Además de llevar a cabo evaluaciones de vulnerabilidades, las empresas deben realizar pruebas de penetración. Estas pruebas les ayudarán a determinar si las medidas de seguridad que han implementado son suficientes para proteger sus aplicaciones y su entorno. A este tipo de pruebas también se les denomina "hackeo ético", ya que hackers de sombrero blanco actúan como adversarios para simular un ataque real.

13. Cifrar los datos

El cifrado de datos de la nube es un elemento indispensable para logar una estrategia de seguridad de la nube sólida. Permite un flujo de datos fluido y seguro entre aplicaciones basadas en la nube al ocultarlo de usuarios no autorizados. Los datos deben cifrarse en la propia nube y cuando están en tránsito para garantizar una protección óptima.

Determinado proveedores de nube ofrecen servicios de cifrado de datos. Algunos de ellos son gratuitos y otros tienen un coste, pero sea cual sea la solución que decidas adoptar, debes poder incorporarla a tus procesos actuales para evitar cuellos de botella y otras ineficiencias.

14. Cumplir las normativas

Como ocurre con cualquier otro producto, servicio o proceso, las estrategias y soluciones de seguridad de la nube deben entender la normativa en materia de datos y nube como una prioridad. Cumplir con la normativa significa que estás cumpliendo con los estándares establecidos por las leyes y regulaciones para garantizar la protección del cliente.

Dependiendo del sector, las empresas pueden poseer mucha información confidencial de los clientes, como números de tarjeta de crédito, números de la Seguridad Social, direcciones e información médica. Para que la estrategia o solución de seguridad de la nube pueda considerarse robusta, debe tener en cuenta el cumplimiento en cada uno de los pasos del proceso.

15. Implementar un plan de respuesta a incidentes

En lo que a ciberseguridad respecta, aquellas organizaciones que cuenten con un plan de respuesta a incidentes estarán mejor equipadas para corregir la situación, evitar interrupciones en las operaciones y recuperar los datos en caso de que se produzca una brecha.

Los planes de respuesta a incidentes están diseñados para garantizar que los equipos de seguridad pueda reaccionar del modo más eficiente posible en caso de ataque. Este plan debe entenderse como un marco de corrección que defina de manera estricta las responsabilidades y las funciones para que todo el equipo sepa qué hacer en cada escenario. Habilita las notificaciones para que tu equipo se entere lo antes posible en caso de que ocurra una brecha.

16. Proteger todas las aplicaciones

Los procesos de integración continua/entrega continua (IC/EC) y la nube han abierto la puerta a que organizaciones de todo el mundo puedan desarrollar, entregar y actualizar aplicaciones con una velocidad sin precedentes. Sin embargo, la implementación continua de cambios en el código de las aplicaciones ha creado un riesgo constante que los equipos de seguridad deben gestionar. Aunque se lleven a cabo pruebas sólidas de seguridad de las aplicaciones antes de la fase de producción, seguirá habiendo vulnerabilidades que no se puedan detectar, errores de configuración que pasen desapercibidos y variables del entorno que no se tengan en cuenta.

Las herramientas de gestión de la posición de seguridad de las aplicaciones (ASPM) te ayudarán a identificar las vulnerabilidades de las aplicaciones, evaluar los riesgos y priorizar la mitigación. Además, ayudan a proteger datos confidenciales, evitar brechas de datos y garantizar que el entorno cumple con la normativa del sector.

17. Tener en cuenta la posición de seguridad de los datos

Los datos son omnipresentes y favorecen la innovación y el crecimiento de las empresas. Sin embargo, su naturaleza dinámica e incontrolable los convierte en un objetivo prioritario para los atacantes. Dado que los datos confidenciales pasan de un entorno de la nube a otro, y salen y entran de repositorios de datos no gestionados y en la sombra, el riesgo de exposición es significativo. Recurrir a una solución de gestión de la posición de seguridad de los datos (DSPM) te ayudará a detectar, clasificar y proteger datos confidenciales (como información de identificación personal, información sujeta a las regulaciones de la Industria de Tarjetas de Pago o información médica protegida) frente a la pérdida, el robo, el uso indebido y el acceso no autorizado.

Las soluciones de DSPM brindan a los equipos de seguridad un enfoque para proteger los datos en la nube al garantizar que los datos confidenciales y regulados cuentan con la posición de seguridad adecuada, sin importar dónde se almacenen o a dónde se transfieran.

18. Consolidar las soluciones de ciberseguridad

Según Gartner, "Una organización debe implementar 10 o más herramientas para aprovechar al máximo sus funciones. Sin embargo, las organizaciones tienen motivos para querer consolidarlo todo en una sola plataforma de protección de aplicaciones nativas de la nube". La consolidación de plataformas de ciberseguridad unifica las diferentes herramientas y sistemas de seguridad en una única plataforma, lo que agiliza las operaciones, mejora la seguridad y optimiza los procesos de desarrollo. Este enfoque simplificado reduce la complejidad, proporciona directivas de seguridad coherentes y posibilita una gestión de riesgos eficiente. Incorporar las pruebas de seguridad a lo largo del ciclo de vida del desarrollo garantiza una detección más temprana de los problemas y una implementación más rápida. Además, la consolidación elimina la duplicación de capacidades y mejora la visibilidad desde el tiempo de ejecución hasta el desarrollo, y viceversa, lo que refuerza la protección a nivel general.

19. Recurrir a un enfoque de detección y respuesta en la nube

Las empresas están adoptando un enfoque de seguridad basado en la detección y respuesta en la nube (CDR) para ayudar a abordar los desafíos comunes relacionados con los entornos en la nube. Este enfoque se centra en la detección de amenazas, la respuesta inmediata a incidentes y las integraciones de servicios personalizadas para favorecer la soberanía de los datos, la innovación y la escalabilidad en la nube.

20. Protegerse con CrowdStrike Falcon^® Cloud Security

CrowdStrike Falcon^® Cloud Security consolida y unifica todas las medidas de seguridad que acabamos de analizar en una única solución que agiliza las operaciones de seguridad. La plataforma consolida una amplia gama de productos individuales que se usan para proteger y monitorizar endpoints, cargas de trabajo en la nube, identidades y datos para una cobertura completa y la eliminación de la complejidad.

Al contar con una vista consolidada, las empresas pueden comprender y rastrear los comportamientos de los adversarios y la progresión de los ataques sin tener que mirar varias consolas para generar una vista fiable del riesgo. El enfoque unificado de CrowdStrike combina funciones de monitorización de agentes nativos de la nube y sin agentes en puntos donde implementar el software supone un reto. Falcon® Cloud Security ofrece visibilidad completa en toda la infraestructura de nube con un solo agente, una única consola y una sola interfaz de usuario.

Sustituir las distintas herramientas por las funciones de la plataforma de protección de aplicaciones nativas de la nube (CNAPP) de Falcon Cloud Security, también reduce la sobrecarga operativa asociada con las licencias y permite que los grupos de seguridad apliquen las directivas rápidamente en todas las cuentas, regiones, proyectos y redes virtuales.