El futuro de la seguridad de los datos está en la nube

Eyal Estrin
Seguridad en la nubes
September 14, 2021

El futuro de la seguridad de los datos está en la nube 

Recientemente hemos leído una gran cantidad de mensajes sobre el hack solarWinds  , una vulnerabilidad en un software de monitoreo popular utilizado por muchas organizaciones de todo el mundo.

Este es un buen ejemplo de Ataques de Suministro en Cadena que puede sucederle a cualquier organización.

Hemos  visto escenarios  similares  en  la  última  década,  desde  el  error Heartbleed,  Meltdown  y  Spectre,  Apache Struts y más.

Organizaciones de  todo  el  mundo se vieron  afectadas  por  el hack de SolarWinds ,  incluyendo  la empresa de  ciberseguridad  FireEye, y  Microsoft.

Eventos como estos hacen que  las organizaciones  se replanteen  sus  estrategias  de ciberseguridad y protección de datos  y  se hagan  preguntas importantes.

Los cambios recientes en las leyes y regulaciones europeas de protección de datos (como Schrems  II) están  tratando de limitar la transferencia de datos entre Europa y los EE. UU.

¿Deberían producirse tales  violaciones de  seguridad?  Absolutamente  no.

¿Debemos aceptar el hecho de que se haya violado una organización tan   grande? 

¡Absolutamente no!

¿Deberían las organizaciones que ya invirtieron una gran cantidad de recursos en la migración a la nube, retroceder las cargas de trabajo a las instalaciones?  No lo creo.  

Pero ninguna organización, ni siquiera las principales organizaciones financieras como los bancos o las compañías de seguros, o incluso las mayores empresas multinacionales, tienen suficiente mano de obra, conocimiento y presupuesto para invertir en la protección adecuada de sus propios datos o los datos de sus clientes, como proveedores de nube de hiperescala.

Hay  varias    razones  para  esto:

  1. Los  proveedores de nube de hiperescala invierten  miles de millones de dólares  en mejorar los  controles de  seguridad,   incluido  el personal dedicado  y  altamente  capacitado.
  2. La violación de los datos de los clientes que residen en proveedores de nube de hiperescala puede expulsar a un proveedor de nube del negocio, debido a la violación de la confianza del cliente.  
  3. La seguridad es importante para la mayoría de  las  organizaciones; sin embargo, no es  su  principal  línea  de  especialización.
    La organización necesita      centrarse en su negocio principal que le aporta valor, como la Manufactura, la banca, el sector salud, el sector educativo, etc., y repensar cómo obtener servicios que respalden sus objetivos de negocio, como los servicios de TI, pero que no agreguen valor directo.

Recomendaciones para  administrar la  seguridad

Supervisión de seguridad

Las mejores prácticas de seguridad a menudo indican:” documentar todo".

Hay   dos desventajas de esta recomendación: Una, la capacidad de almacenamiento es limitada y dos, la mayoría de las organizaciones no tienen suficiente mano de obra capacitada para revisar los registros y encontrar los principales incidentes para manejar.

El cambio de la supervisión de  seguridad a sistemas    administrados basados  en  la nube, como  Azure  Sentinel  o  Amazon  GuardDuty,  ayudará  a detectar incidentes importantes  y a controlar internamente  enormes    registros.

encriptación

Otro estado de práctica recomendada de seguridad: "cifrar todo".

Hace  unos  años, el  cifrado  era  todo un   reto. ¿El    servicio/aplicación  admitirá  el  cifrado?   ¿Dónde  almacenamos   la  clave de cifrado?    ¿Cómo  gestionamos  la rotación de   claves?

En el pasado, solo los bancos podían permitirse HSM (Hardware Security Module) para almacenar claves de cifrado, debido   al alto costo.

Hoy en día,  el cifrado es estándar  para la mayoría de los servicios en  la  nube,  como  AWS KMS,  Azure Key  Vault, Google Cloud KMS  y Oracle Key Management.

La mayoría de los proveedores de nube, no solo admiten el cifrado en       reposo, sino que también admiten la clave administrada por el cliente, lo que permite al cliente generar su propia clave de cifrado para cada servicio, en lugar de usar la clave de cifrado generada por el proveedor de la nube.

Cumplimiento de normas de seguridad

La mayoría de las organizaciones luchan por manejar el cumplimiento de la seguridad en entornos grandes en las instalaciones, por no mencionar los grandes entornos IaaS.

Este problema  se puede  resolver  mediante el uso de servicios   de conformidad  administrados  como  AWS Security Hub, Azure Security Center,  Google Security  Command  Center  u Oracle Cloud Access Security  Broker  (CASB).

Protección contra DDoS

Cualquier organización que exponga servicios a Internet (desde el sitio web de cara al público, a través del servicio de correo electrónico o DNS, hasta el servicio VPN), eventualmente sufrirá de denegación   volumétrica de servicio.

Solo los ISP  grandes  tienen  suficiente ancho de banda  para  manejar  un  ataque de este tipo  antes de la puerta de enlace  fronteriza  (firewall,  enrutador externo, etc.) se bloqueará    o  dejará de manejar el  tráfico entrante.

Los proveedores de nube de hiperescala  cuentan con infraestructura  que puede  manejar  ataques  DDoS  contra  sus    clientes,  servicios  como  AWS  Shield,  Azure  DDoS  Protection,  Google Cloud  Armor  u  Oracle  Layer  7  DDoS  Mitigation.

Uso de aplicaciones SaaS

En el pasado, las organizaciones tenían que mantener    toda su infraestructura, desde sistemas de mensajería, CRM, ERP, etc.

Tenían   que pensar en   la escala, la resiliencia, la seguridad y más.

La mayoría de las infracciones de los entornos en la nube se originan   en configuraciones incorrectas en el lado de los clientes en los servicios IaaS / PaaS.

Hoy en día, la forma preferida es consumir servicios gestionados en forma SaaS.

Estos son  algunos  ejemplos: Microsoft Office 365,  Google  Workspace  (anteriormente Google G Suite),  Salesforce Sales Cloud, Oracle ERP Cloud,  SAP HANA,etc.

Limitar el “Blast Radius”

Para limitar el “Blast Radius"   donde  una interrupción o violación de seguridad en un servicio afecta a otros   servicios, necesitamos   rediseñar la infraestructura.

El  cambio de  aplicaciones  implementadas dentro  de servidores virtuales al  desarrollo moderno,  como  microservicios  basados  en  contenedores,  o la creación de nuevas  aplicaciones  basadas  en sin servidor  (o  funcionan  como un  servicio)  ayudará a las organizaciones  a  limitar la superficie  de  ataque  y  las posibles  infracciones futuras.

Ejemplo de  estos  servicios:  Amazon ECS,  Amazon EKS,  Azure  Kubernetes  Service,  Google  Kubernetes  Engine,  Google  Anthos,  Oracle Container  Engine  for  Kubernetes,  AWS Lambda,  Azure  Functions,  Google Cloud  Functions, Google Cloud Run,  Oracle Cloud  Functions,etc.

resumen

La conclusión:  las organizaciones pueden aumentar su postura de seguridad, utilizando la nube    pública para proteger mejor sus datos, utilizar la experiencia de los proveedores de nube e invertir su tiempo en su negocio principal para maximizar el valor.

Las brechas de seguridad son inevitables.   El cambio  a los  servicios  en la nube no cambia la responsabilidad de una  organización  para  proteger  sus  datos.  Simplemente  lo  hace mejor.

Traducido por Rolando Lopez

‍ 






 


Eyal Estrin

Eyal Estrin

Information Security and Cloud Architect, IsraelClouds Analyst, public columnist, #CISSP, #CCSP, #CISM, #CISA, #CCSK

Related Posts

Boletin informativo SpainClouds.com

Thank you! Your submission has been received!

Oops! Something went wrong while submitting the form