¿Qué es la seguridad de la nube híbrida?

La seguridad de la nube híbrida es el conjunto de herramientas y procesos diseñados para proteger los datos e infraestructura que combina elementos de la nube privada, la nube pública y la infraestructura local en una arquitectura unificada. La nube híbrida es el entorno de TI que combina estos elementos. Este tipo de entorno ofrece una gran flexibilidad para trasladar rápidamente cargas de trabajo a otros entornos, aprovechando al mismo tiempo las mejores funcionalidades que ofrecen esos entornos.

Si bien existen motivos de peso para utilizar una arquitectura de nube híbrida, este entorno añade retos de seguridad que examinaremos en este artículo. Empecemos con los casos de uso de la nube híbrida.

Retos de la seguridad de la nube híbrida

La nube híbrida no resuelve ni mejora los problemas de seguridad inherentes a la infraestructura de nube única. Por el contrario, la nube híbrida presenta los siguientes retos de seguridad.

Cuando las aplicaciones se distribuyen en múltiples nubes, necesitan conectarse entre sí y transmitir datos. Por ello, es necesario cifrar y proteger el tráfico entre nubes. Crear una conexión segura de extremo a extremo entre múltiples infraestructuras en la nube es un reto, sobre todo cuando los modelos de red son distintos.

Las características de seguridad de cada solución de nube se centran en proteger sus propios servicios e infraestructura. Por ejemplo, se puede limitar el acceso a los recursos en la nube utilizando roles de IAM de AWS, pero solo funcionarán para la carga de trabajo que se ejecuta dentro de la infraestructura de AWS.

Las configuraciones de red (todo un reto ya en el servicio de nube única) se vuelven más complejas en contextos con varias nubes. Por ejemplo, para crear entornos de nube privada, debes configurar Amazon Virtual Private Cloud (VPC), Azure Virtual Network (VNet) y la Nube privada virtual de Google (VPC) por separado. Si no se presta la suficiente atención a estos entornos o se omiten algunos parámetros, será inevitable que aparezcan brechas de seguridad.

Cuando se conectan varias infraestructuras en la nube, los sistemas de detección de amenazas en tiempo real pueden generar falsas alarmas al identificar erróneamente el tráfico entre las nubes y/o el entorno local como malicioso, o al menos como anómalo. Cuando la infraestructura general se vuelve más compleja, los sistemas de monitorización y alerta deben configurarse meticulosamente para detectar brechas de seguridad reales.

Los administradores de secretos de la nube como el Secret Manager de CGP o el Secret Manager de AWS son herramientas muy útiles para almacenar contraseñas, claves, certificados y otros datos confidenciales. Sin embargo, son herramientas diseñadas para operar en su propia plataforma de la nube. Para distribuir y gestionar secretos en una infraestructura híbrida, será necesario implementar herramientas centrales y externas como Vault.

Tres componentes de seguridad de la nube híbrida

Hay tres componentes que son esenciales para crear una infraestructura unificada que funcione en sintonía: controles físicos, técnicos y administrativos.

1. Controles físicos

Acuerdos de nivel de servicio

Tu organización podría tener un acuerdo de nivel de servicio (SLA) con tu proveedor de nube pública. En resumidas cuentas, se trata de un acuerdo que describe las normas de seguridad física que deben cumplirse.  Estos controles ayudan a evitar que ciertos empleados sin los permisos necesarios accedan al hardware físico, lo que puede ser perjudicial si cae en las manos equivocadas.

2. Controles técnicos

Conexión en red

La conexión entre varias infraestructuras de la nube genera una configuración de nube híbrida. Las conexiones de red directas entre el entorno local y las nubes o los túneles VPN son las soluciones más comunes y suelen utilizarse en conjunto, siendo la conexión directa el método principal y la VPN un recurso de reserva.

Cifrado

Con el cifrado, puedes codificar los datos para que solo las partes autorizadas puedan acceder a ellos. Cuando diferentes infraestructuras y servicios en la nube se conectan entre sí, para lograr una comunicación segura y cifrada, puede recurrirse con facilidad a una solución externa; solución que puede ofrecer uno de los proveedores de la nube del entorno híbrido.

Autenticación

Una nube híbrida crea un entorno en el que las aplicaciones pueden consumir servicios de otros proveedores de nube. Por ejemplo, supongamos que la carga de trabajo en la nube A (o local) necesita autenticarse en la nube B, lo que se hace a través de un conjunto de credenciales.

Debes gestionar esas credenciales con cuidado, especialmente en relación con su distribución, ya que la filtración de esas credenciales podría tener consecuencias potencialmente devastadoras. Además, debes modificarlas con regularidad. Así, existe la clara necesidad de una arquitectura de seguridad de nube híbrida para conectar aplicaciones que residen en diferentes infraestructuras.

El descubrimiento y la visibilidad en la nube son vitales para gestionar, configurar y monitorizar estos componentes en una infraestructura distribuida. Falcon Cloud Security se centra en la gestión de la posición de seguridad de la nube (CSPM) para detectar errores de configuración y posibles amenazas, al tiempo que garantiza el cumplimiento en múltiples proveedores de nube como AWS, Azure y Google Cloud.

3. Controles administrativos

Preparación ante desastres

Para garantizar el funcionamiento continuo de la nube híbrida, es esencial contar con un plan de preparación ante desastres que pueda utilizarse rápidamente cuando sea necesario. El plan debe describir las funciones y responsabilidades clave para que cada parte interesada sepa qué hacer en caso de desastre. Además, debe explicar los protocolos clave que las partes interesadas deben seguir para garantizar la recuperación completa de los datos.

Por último, el plan de preparación ante desastres debe contemplar los errores humanos. Debido a que la nube híbrida genera una conexión acentuada entre entornos, la seguridad debe convertirse en una prioridad para todos los usuarios de la nube.

Mejores prácticas

Proteger la nube híbrida es un reto por la cantidad de componentes que presenta y su naturaleza distribuida. Por es, es una buena idea comenzar con las mejores prácticas ampliamente aceptadas en el sector:

• Los expertos en seguridad y conexión en red deben revisar detenidamente la topología de red.
• Planifica meticulosamente la gestión de secretos (credenciales, certificados, claves, contraseñas) para evitar filtraciones. Además, debes cambiar certificados y secretos regularmente.
• Tu equipo debe escanear las imágenes de contenedores en busca de vulnerabilidades, e implementar únicamente las que sean seguras. Echa un vistazo a las posibilidades de CrowdStrike Falcon® Container Security para detectar vulnerabilidades desde el inicio y automatizar los principios de DevSecOps.
• Realiza auditorías periódicamente para obtener visibilidad en tiempo real y comprobaciones de cumplimiento.
• Implementa un enfoque Zero Trust para nuevas aplicaciones, entornos y herramientas.

Conclusión

La nube híbrida reúne lo mejor de los sistemas locales y los proveedores de nube, pero también genera retos de seguridad adicionales en comparación con los entornos de nube única. Pese a ello, las ventajas que aporta la configuración de nube híbrida pueden justificar los costes adicionales necesarios para proteger el sistema en su conjunto. Aun así, es importante recurrir a expertos en seguridad general y redes y a ingenieros especializados en cada uno de los proveedores de la nube incluidos en el diseño del sistema.

CrowdStrike ofrece soluciones integrales de seguridad en la nube para la seguridad de cargas de trabajo, la CSPM y la seguridad de contenedores. Empieza una prueba gratuita ahora y obtén una protección rápida y sencilla contra todas las amenazas en tu entorno de nube híbrida.