Descubre el poder de las CNAPP con nuestra guía
Aprende cuáles son las ventajas clave y accede a consejos de integración para las plataformas de protección de aplicaciones nativas de la nube. Mejora tu estrategia de seguridad de la nube.
Descarga la guía ya
Descubre el poder de las CNAPP con nuestra guía
Aprende cuáles son las ventajas clave y accede a consejos de integración para las plataformas de protección de aplicaciones nativas de la nube. Mejora tu estrategia de seguridad de la nube.
Descarga la guía ya
¿Qué es el modelo de responsabilidad compartida?
El modelo de responsabilidad compartida es un marco de seguridad y cumplimiento que describe las responsabilidades de los proveedores de servicios en la nube (CSP) y los clientes a la hora de proteger todos los aspectos del entorno de la nube, lo que incluye hardware, infraestructura, endpoints, datos, configuraciones, ajustes, sistema operativo, controles de red y derechos de acceso.
Dicho de la forma más sencilla, el modelo de responsabilidad compartida dicta que el proveedor de la nube (como Amazon Web Service [AWS], Microsoft Azure o Google Cloud Platform [GCP]) debe monitorizar y responder a las amenazas de seguridad relacionadas con la propia nube y su infraestructura subyacente. Por otra parte, los usuarios finales, tanto las personas como las empresas, son responsables de proteger los datos y el resto de recursos que almacenan en el entorno de la nube.
Por desgracia, esta noción de responsabilidad compartida puede malinterpretarse y llevar a pensar que el CSP se encarga de proteger en su totalidad las cargas de trabajo en la nube, así como cualquier aplicación, dato o actividad asociada a ellas. Como consecuencia, los usuarios ejecutan inadvertidamente cargas de trabajo en una nube pública que no están del todo protegidas, lo que implica que los adversarios pueden atacar el sistema operativo, los datos y las aplicaciones. Incluso las cargas de trabajo configuradas de forma segura pueden convertirse en un objetivo durante el tiempo de ejecución, ya que son vulnerables a los exploits de día cero.
NETAPP
Jyoti Wadhwa, Head of Global Product and Cloud Security de NetApp, comparte su perspectiva sobre la presencia de mujeres en el sector de la ciberseguridad y cómo CrowdStrike Falcon® Cloud Security ofrece protección en tiempo de ejecución en el entorno multinube de NetApp.
Ver el caso del clienteEl modelo de responsabilidad compartida en los tres modelos de entrega para los servicios de la nube
Hay tres modelos principales de servicios de la nube:
Cada uno de estos modelos de entrega en la nube se basa en el concepto de responsabilidad compartida. Sin embargo, la propiedad de las tareas y funciones de seguridad varía en función del modelo de entrega utilizado.
Software como servicio (SaaS): SaaS es un modelo de entrega de software en el que el proveedor aloja de manera central una aplicación en la nube para que la utilice un suscriptor. En este modelo, el proveedor es responsable de la seguridad de la aplicación, así como de su mantenimiento y gestión.
Plataforma como servicio (PaaS): PaaS es un modelo de entrega de plataforma que puede adquirirse y utilizarse para desarrollar, ejecutar y gestionar aplicaciones. En el modelo de plataforma de la nube, el proveedor proporciona tanto el hardware como el software que los desarrolladores de aplicaciones suelen utilizar. Además, el proveedor del servicio también es el responsable de garantizar la seguridad de la plataforma y su infraestructura.
Infraestructura como servicio (IaaS): IaaS es un modelo de entrega de infraestructura en el que el proveedor ofrece un amplio abanico de recursos de computación, como servidores virtualizados, almacenamiento o equipos de red en Internet. En este modelo, la empresa es responsable de garantizar la seguridad de todo lo que posee o instala en la infraestructura de la nube, como el sistema operativo, las aplicaciones, el middleware, los contenedores, las cargas de trabajo, los datos y el código.
| Tipo de servicio | Responsabilidad del proveedor | Responsabilidad del usuario |
|---|---|---|
| SaaS | Seguridad de las aplicaciones | Seguridad de endpoints, usuarios y red; errores de configuración, cargas de trabajo y datos |
| PaaS | Seguridad de la plataforma, incluidos hardware y software | Seguridad de las aplicaciones desarrolladas en los endpoints de la plataforma, seguridad de usuarios y redes y cargas de trabajo |
| IaaS | Seguridad de todos los componentes de la infraestructura | Seguridad de las aplicaciones instaladas en la infraestructura (p. ej. sistema operativo, aplicaciones, middleware) endpoints, seguridad de usuarios y redes, cargas de trabajo y datos |
| Elemento | SaaS | PaaS | IaaS |
|---|---|---|---|
| Seguridad de las aplicaciones | CSP | Usuario | Usuario |
| Seguridad de la plataforma | CSP | CSP | Usuario |
| Infraestructura | CSP | Usuario | CSP |
| Seguridad de endpoints | Usuario | Usuario | Usuario |
| Seguridad de los datos/Protección de los datos | Usuario | Usuario | Usuario |
| Seguridad de la red | CSP | CSP | Usuario |
| Seguridad de los usuarios | Usuario | Usuario | Usuario |
| Cargas de trabajo de la nube y contenedores | Usuario | Usuario | Usuario |
| API y middleware | CSP | Usuario | Usuario |
| Código | Usuario | Usuario | Usuario |
| Virtualización | CSP | CSP | Usuario |
El modelo de responsabilidad compartida en la práctica
Control directo
Aunque el modelo de responsabilidad compartida se basa en la idea de que dos o más partes desempeñan una función en garantizar la seguridad de los distintos elementos del entorno de nube pública, es importante destacar que cliente y proveedor no comparten responsabilidad sobre el mismo recurso.
En su lugar, el proveedor o el cliente son plenamente responsables de la seguridad de todos los recursos bajo su control directo, independientemente del tipo de modelo de servicio.
Por ejemplo, el cliente siempre será el responsable de preservar la seguridad de los datos, el cumplimiento y los accesos independientemente de si ha contratado un modelo de SaaS, PaaS o IaaS. En términos prácticos, esto se debe a que los CSP no tienen visibilidad sobre los datos almacenados en la nube pública y, por tanto, no pueden gestionar eficazmente el acceso ni la seguridad de los datos.
Los clientes también suelen ser responsables de lo siguiente:
- Gestión de identidades y accesos (IAM)
- Credenciales y seguridad de los usuarios
- Seguridad de endpoints
- Seguridad de la red
- Seguridad de cargas de trabajo y contenedores
- Configuraciones
- API y middleware
- Código
Por otro lado, el proveedor de la nube (como Amazon, Microsoft o Google) es el responsable de aquellas áreas sobre las que tiene un control directo. Aquí se suele incluir la seguridad de:
- La capa física y toda la infraestructura y el hardware asociado.
- La capa de virtualización.
- Los servicios de proveedores y controles de red.
- Instalaciones que ejecutan recursos de la nube.
Responsabilidades divididas
En algunos modelos de IaaS y PaaS, las responsabilidades en materia de seguridad varían en función del proveedor de la nube o las condiciones definidas en el acuerdo de nivel de servicio (SLA).
Por ejemplo, en lo relativo a un control de la red como puede ser un firewall, el proveedor del servicio de la nube podría ser el responsable proporcionar dicho firewall. Sin embargo, recae sobre el usuario la responsabilidad de gestionar el resto de los aspectos, como la configuración, las reglas, la monitorización y la respuesta. Aunque ambas partes desempeñan un papel para preservar la seguridad, las responsabilidades están claramente definidas y divididas.
Del mismo modo, si un cliente utiliza un servicio de almacenamiento de datos en la nube pública ofrecido por un CSP, entonces el proveedor de la nube será el responsable de todos los aspectos de ese datacenter en la nube, incluidos la seguridad, la monitorización, el mantenimiento y la actualización. Pese a ello, el cliente seguirá teniendo la responsabilidad de proteger los datos contenidos en el entorno de la nube y de garantizar que solo los usuarios autorizados pueden acceder a ellos.
Sobre la base del concepto de la división de responsabilidades, ninguna parte tiene autoridad sobre otra en cuanto a la forma de proteger sus recursos. Por ejemplo, un cliente no puede dictar cómo ni cuando el CSP lleva a cabo las tareas de monitorización y pruebas. Dicho esto, en el acuerdo de servicio se deberían incluir las medidas que adoptará el proveedor para proteger a los clientes, así como el modo en que se compartirá la documentación al respecto. Normalmente, los proveedores de nube generan periódicamente informes de auditoría para confirmar que están tomando las medidas necesarias y adecuadas para proteger a sus clientes.
Ventajas modelo de responsabilidad compartida
Aunque el modelo de seguridad compartida es complejo y requiere esfuerzos exhaustivos de análisis y coordinación entre el CSP y el cliente, el enfoque ofrece a los usuarios ventajas importantes. Estas incluyen:
- Eficiencia: aunque, de acuerdo con el modelo de responsabilidad compartida, el cliente asume niveles importantes de responsabilidad, algunos aspectos clave de la seguridad, como la capa de virtualización, la infraestructura y el hardware de seguridad, siempre suelen estar sujetos a la gestión del CSP. En los modelos locales tradicionales, era el cliente quien se encargaba de estos aspectos, pero el salto a la nube libera al personal de TI de esta carga y le permite centrar sus esfuerzos en otras tareas y necesidades, así como destinar sus recursos disponibles e inversiones a aquellas áreas sobre las que sí son responsables.
- Protección mejorada: los proveedores de servicios en la nube se vuelcan por garantizar la seguridad de su entorno en la nube y suelen dedicar importantes recursos a garantizar la plena protección de sus clientes. Como parte del acuerdo de servicio, los CSP llevan a cabo procesos sólidos de monitorización y pruebas, y se encargan de la aplicación de parches y de las actualizaciones oportunas.
- Experiencia: los CSP suelen tener un mayor nivel de conocimientos y experiencia en lo que respecta al campo emergente de la seguridad de la nube. Los clientes que contratan a un proveedor de nube se benefician de la experiencia y los recursos de esa organización.
Mejores prácticas en el modelo de responsabilidad compartida
Para muchas de las organizaciones que están migrando a la nube, está es la primera vez que tienen que definir sus relaciones con los CSP. Para que puedas sortear este territorio tan complejo, te presentamos las siguientes mejores prácticas:
- Revisa con detenimiento el SLA. Las responsabilidades de seguridad variarán en función del modelo de nube, el proveedor del servicio y otras variables. Es esencial que las organizaciones revisen con atención su SLA Con el proveedor de nube para asegurarse de que conocen bien sus responsabilidades en términos de seguridad y para identificar áreas que clarificar. En el caso de las organizaciones que cambian de proveedor o de modelo de entrega, también es necesario que evalúen el nuevo contrato e identifiquen los cambios. Aunque el nuevo SLA puede parecer muy similar al anterior, un leve cambio en los términos puede dejar a la organización expuesta a graves riesgos de seguridad. Por último, las organizaciones que operen en un entorno multinube deben revisar cada SLA a nivel individual, ya que los términos difieren entre proveedores. Las pequeñas diferencias entre estos acuerdos deben tenerse en cuenta en la estrategia y la arquitectura generales de seguridad de la nube.
- Prioriza la seguridad de los datos. Los clientes de la nube son siempre los únicos responsables de los datos almacenados en la nube o generados por las aplicaciones de la nube. Por ello, las organizaciones deben desarrollar una estrategia sólida de seguridad de los datos que esté específicamente diseñada para proteger los datos basados en la nube, ya estén en uso, en reposo o en movimiento.
- Asegúrate de que la gestión de identidades y accesos es sólida. El cliente de la nube también es plenamente responsable de definir los derechos de acceso a los recursos basados en la nube y a conceder acceso a los usuarios autorizados. Estos esfuerzos deben incorporarse en el conjunto de soluciones y la directiva general de IAM de la organización.
- Abraza DevSecOps. DevSecOps (abreviatura en inglés de "Operaciones de seguridad de desarrollo") es la práctica de integrar la seguridad de forma continua a lo largo del ciclo de vida de desarrollo de software y/o aplicaciones con el fin de minimizar las vulnerabilidades de seguridad y mejorar el cumplimiento, todo ello sin afectar a la velocidad de los ciclos de vida de lanzamiento. Adoptar DevSecOps o una mentalidad shift-left es una necesidad imperiosa para cualquier organización de TI que esté utilizando contenedores o la nube, ya que ambos requieren nuevas pautas, directivas, prácticas y herramientas de seguridad.
- Recurre a un partner de ciberseguridad de confianza. La seguridad de la nube difiere radicalmente de la de las redes locales. Actualizar y adaptar el conjunto de herramientas y la estrategia de ciberseguridad para abordar los nuevos riesgos basados en la nube puede ser una tarea abrumadora y complicada, especialmente si la organización opera en un entorno híbrido o multinube. Un partner de ciberseguridad puede ayudar al equipo interno de seguridad de la organización a gestionar todos los aspectos de la seguridad de la nube, desde la selección de un CSP hasta la comprensión de sus responsabilidades específicas de seguridad, pasando por la implementación y la integración de las herramientas y soluciones que protegerán el negocio.
Soluciones de seguridad de la nube de CrowdStrike
CrowdStrike ha redefinido la seguridad con la plataforma nativa de la nube más avanzada del mundo, que protege a las personas, los procesos y las tecnologías que hacen avanzar a la empresa moderna. El sector sigue reconociendo a CrowdStrike como líder en su campo y, recientemente, CRN ha proclamado a CrowdStrike Ganador del premio a innovador tecnológico para la mejor seguridad de la nube de 2022.
Gracias a CrowdStrike Security Cloud, la plataforma CrowdStrike Falcon® se nutre de indicadores en tiempo real, inteligencia sobre amenazas, técnicas de ataque evolutivas de los adversarios y telemetría enriquecida con datos de toda la empresa para facilitar detecciones hiperprecisas, protección y corrección automatizadas, Threat Hunting de élite y observación de vulnerabilidades por prioridades.
Obtén más información sobre las soluciones de seguridad de la nube de CrowdStrike, incluidos los servicios específicos para AWS, GCP y Azure:
Guilherme (Gui) Alvarenga es Senior Product Marketing Manager de la cartera de seguridad en la nube en CrowdStrike. Cuenta con más de 15 años de experiencia en el fomento de soluciones en la nube, SaaS, red y ML para empresas como Check Point, NEC y Cisco Systems. Se graduó en publicidad y marketing en la Universidad Paulista de Brasil y obtuvo un máster en dirección y administración de empresas en la Universidad Estatal de San José. Estudió informática aplicada en la Universidad de Stanford y se especializó en seguridad en la nube y Threat Hunting.
