¿Qué es la seguridad de la computación en la nube?
- Glosario IAM
- ¿Qué es la seguridad de la computación en la nube?
La seguridad de la computación en la nube, también llamada seguridad en la nube, es un término genérico que hace referencia a las tecnologías, procesos y controles usados para proteger infraestructuras, servicios y aplicaciones en la nube, además de los datos almacenados y procesados en la nube.
¿Qué es la computación en la nube?
Antes de ahondar en las especificaciones de la seguridad en la nube, primero debemos comprender qué es la computación en la nube.
En un entorno de datos tradicional, una organización posee y opera su propio hardware back-end y otra infraestructura, ya sea localmente o en un centro de datos (este último conocido como nube privada). Esto significa que la organización es responsable de configurar, mantener y proteger todo, incluidos los servidores y otro hardware.
En un entorno de computación en la nube, básicamente la organización alquila la infraestructura en la nube a un proveedor de servicios en la nube. Este posee y opera el centro de datos, todos los servidores y otro hardware, así como toda la infraestructura subyacente, como los cables submarinos. Esto libera a la organización de tener que mantener y proteger la infraestructura en la nube y le ofrece otros muchos beneficios, como una sencilla ampliación y modelos de precios de pago por uso.
No todos los servicios de computación en la nube se crean igual. Existen tres tipos principales de servicios en la nube y, normalmente, las organizaciones modernas usan una combinación de ellos.
El software como servicio (Software-as-a-Service o SaaS) es el tipo de servicio en la nube más común. Casi todo el mundo usa aplicaciones SaaS, incluso aunque no lo sepan. Puede ser un producto SaaS entregado por internet y al que se accede a través de una aplicación móvil, una aplicación de escritorio o un navegador web. Las aplicaciones SaaS incluyen desde aplicaciones de consumo, como Gmail y Netflix, hasta soluciones para empresas, como Salesforce y el conjunto ofimático de Google Workspace.
La infraestructura como servicio (IaaS, por sus siglas en inglés) es un servicio en la nube destinado principalmente a organizaciones, aunque algunos entusiastas de la tecnología pueden adquirir un servicio IaaS para uso personal. El proveedor de servicios en la nube ofrece servicios de infraestructura, como servidores, almacenamiento, redes y virtualización, mientras que el cliente gestiona el sistema operativo y cualquier dato, aplicación, middleware y tiempo de ejecución. Cuando se habla de nube pública, normalmente se hace referencia a una IaaS. Algunos ejemplos de proveedores de nubes públicas son los tres grandes de la industria: Amazon Web Services (AWS), Google Cloud Platform (GCP) y Microsoft Entra ID (Azure).
Las soluciones de plataforma como servicio (PaaS, por sus siglas en inglés) están dirigidas directamente a los desarrolladores. El cliente se encarga de las aplicaciones y los datos, y el proveedor de la nube se ocupa de todo lo demás, incluidos el sistema operativo, el middleware y el tiempo de ejecución. En otras palabras, las soluciones PaaS ofrecen a los desarrolladores un entorno listo para usar en el que pueden crear, implementar y gestionar aplicaciones sin tener que preocuparse de actualizar el sistema operativo o el software. Algunos ejemplos de PaaS son AWS Elastic Beanstalk, Heroku y Google App Engine. Generalmente, la PaaS se utiliza junto con la IaaS. Por ejemplo, una empresa puede utilizar AWS para el alojamiento y AWS Elastic Beanstalk para el desarrollo de aplicaciones.
Comprender cuáles son las responsabilidades del proveedor y del cliente de la nube es clave para entender la seguridad en la nube.
¿Qué es la seguridad en la nube?
La seguridad en la nube sea basa en lo que se conoce como el modelo de responsabilidad compartido. En este modelo:
- El proveedor de la nube es el responsable de la seguridad de la nube, es decir, de su centro de datos físico, de otros activos como los cables submarinos y de la infraestructura lógica en la nube.
- Su organización es la responsable de la seguridad en la nube, es decir, de las aplicaciones, los sistemas y los datos almacenados en la nube.
Piense que es como alquilar una pequeña unidad de almacenamiento físico. Usted es responsable de proteger las pertenencias que almacene, es decir, asegurarse de cerrar la puerta y mantener a salvo la llave. La empresa propietaria es responsable de la seguridad de todo el complejo mediante controles, como entradas cerradas, cámaras, iluminación adecuada en áreas comunes y vigilantes. La empresa es responsable de la seguridad del centro de almacenamiento, pero usted es responsable de la seguridad de su propia unidad.
¿Cómo funciona la seguridad en la nube?
Tanto si hablamos de una aplicación SaaS como de una implementación IaaS (nube pública) o de una plataforma PaaS para desarrolladores, la seguridad en la nube se basa en gran medida en la gestión de accesos e identidades (IAM) y en la prevención de la pérdida de datos (DLP). En otras palabras, evitar que las partes no autorizadas accedan a su servicio en la nube y a sus datos.
Si continuamos con el ejemplo de centro de almacenamiento físico, si no protege adecuadamente la llave y alguien la roba y la usa para acceder a él, los controles de seguridad de la empresa no fallaron, fallaron los suyos. De forma similar, si utiliza una contraseña poco segura y fácil de adivinar para proteger su cuenta de Gmail o la consola de administración de GCP y un actor de amenazas la pone en riesgo, el error de seguridad será suyo, no de Google.
Además de impedir el acceso no autorizado y el robo de datos, la seguridad en la nube también intenta evitar la corrupción o pérdida accidental de datos por error humano o negligencia, garantizar la recuperación de datos en caso de pérdida y cumplir las leyes de privacidad de los usuarios como la HIPAA, que prohíbe el acceso no autorizado a los historiales médicos privados. La seguridad de la nube es fundamental para la respuesta a incidentes de seguridad, la recuperación en caso de catástrofe y la planificación de la continuidad de la actividad.
Las medidas de seguridad en la nube más comunes incluyen:
- Controles IAM, como el control de accesos basado en roles (RBAC) y el acceso de privilegio mínimo, lo que significa que los empleados solo tienen acceso a las aplicaciones y datos que necesitan para hacer su trabajo y nada más.
- Herramientas DLP que identifican datos sensibles, los clasifican, supervisan su uso y evitan su mal uso, como evitar que los usuarios finales compartan información confidencial fuera de las redes de la empresa
- Cifrado de los datos tanto en tránsito como en reposo
- Configuración y mantenimiento seguro del sistema
¿Tiene riesgos la seguridad en la nube?
Aquí tiene algunos de los principales retos y riesgos asociados con la seguridad en la nube.
- La nube crea una superficie de ataque muy amplia sin perímetro de red. Uno de los mayores errores que cometen las organizaciones al migrar a la nube es pensar que pueden simplemente transferir todas sus herramientas y políticas de seguridad actuales. Aunque muchos aspectos de la seguridad en la nube son similares a los de los sistemas locales, la protección de un entorno en la nube es muy diferente a la del hardware local, ya que la nube no tiene un perímetro de red definido.
- Puede haber una falta de visibilidad en la nube, especialmente en los entornos de datos tan complejos de hoy en día. Son raras la organizaciones que utilizan solo una nube pública, pues la mayoría usa al menos dos (lo que se denomina entorno multinube) o una combinación de nubes públicas con infraestructura local (lo que se conoce como entorno de nube híbrida). Por desgracia, cada entorno de nube incluye sus propias herramientas de monitoreo nativas, lo que dificulta que los administradores de TI y el personal de DevOps tengan una visión general de lo que está ocurriendo en todo el entorno de datos.
- La proliferación de cargas de trabajo es otro problema de visibilidad, incluso para las organizaciones que utilizan una sola nube pública. Las máquinas virtuales (VM) y los contenedores son fáciles de poner en marcha, por lo que pueden proliferar muy rápidamente. Además de poner en peligro la seguridad, las máquinas virtuales y los contenedores no utilizados aumentan la factura de los servicios en la nube.
- Las TI en la sombra, o el uso por parte de los empleados de aplicaciones que no han sido examinadas por el personal de seguridad, son otro motivo de preocupación en la nube.
- Las empresas pueden enfrentarse a problemas de compatibilidad con software y sistemas heredados, sobre todo con aplicaciones de línea de negocio (LOB) que no pueden sustituirse o adaptarse a la nube de forma realista.
- Una mala configuración de la nube también puede causar problemas, como establecer por error que una carpeta en la nube sea públicamente visible cuando contiene datos sensibles.
Buenas prácticas de seguridad para la computación en la nube
Asegúrese de entender por completo el modelo de responsabilidad compartida y de las responsabilidades de seguridad que le corresponden a su organización. Puede parecer obvio, pero comprender quién es responsable de qué puede ser complicado, sobre todo en entornos híbridos.
Uno de los beneficios de la computación en la nube es que se puede acceder a los recursos desde cualquier parte y dispositivo. No obstante, desde una perspectiva de seguridad, esto significa que hay más puntos de conexión que proteger. Las herramientas de gestión de la seguridad de punto final y de dispositivos móviles le permitirán aplicar políticas de acceso e implementar soluciones de verificación de accesos, firewalls, antivirus, cifrado de disco y otras herramientas de seguridad. Otras buenas prácticas de computación en la nube incluyen:
- Cifrar todos los datos que almacena y procesa en la nube, tanto en tránsito como en reposo.
- Analizar su entorno en busca de vulnerabilidades y parchear cualquier incidencia cuanto antes.
- Realizar copias de seguridad de los datos de forma habitual en caso de ataque de ransomware o catástrofe.
- Registrar y supervisar toda la actividad de los usuarios y la red a través de un entorno de datos.
- Configurar los ajustes de la nube cuidadosamente. Una buena regla general es que rara vez conviene dejar los ajustes predeterminados tal cual están. Sáquele el máximo partido a los ajustes y herramientas de seguridad del proveedor de su nube y esté al tanto de las nuevas herramientas y mejoras.
- Implementar una política de seguridad de confianza cero con segmentación de la red y herramientas y controles de gestión de acceso e identidades (IAM), incluido el acceso basado en roles, el acceso de privilegio mínimo, contraseñas seguras, la aprobación de dispositivos y la autenticación multifactor (MFA).