¿Qué es la seguridad de la computación en la nube?

La seguridad de la computación en la nube, también llamada seguridad en la nube, es un término genérico que hace referencia a las tecnologías, procesos y controles usados para proteger infraestructuras, servicios y aplicaciones en la nube, además de los datos almacenados y procesados en la nube.

¿Qué es la computación en la nube?

Antes de ahondar en las especificaciones de la seguridad en la nube, primero debemos comprender qué es la computación en la nube.

En un entorno de datos tradicional, una organización posee y opera su propio hardware back-end y otra infraestructura, ya sea localmente o en un centro de datos (este último conocido como nube privada). Esto significa que la organización es responsable de configurar, mantener y proteger todo, incluidos los servidores y otro hardware.

En un entorno de computación en la nube, básicamente la organización alquila la infraestructura en la nube a un proveedor de servicios en la nube. Este posee y opera el centro de datos, todos los servidores y otro hardware, así como toda la infraestructura subyacente, como los cables submarinos. Esto libera a la organización de tener que mantener y proteger la infraestructura en la nube y le ofrece otros muchos beneficios, como una sencilla ampliación y modelos de precios de pago por uso.

No todos los servicios de computación en la nube se crean igual. Existen tres tipos principales de servicios en la nube y, normalmente, las organizaciones modernas usan una combinación de ellos.

El software como servicio (Software-as-a-Service o SaaS) es el tipo de servicio en la nube más común. Casi todo el mundo usa aplicaciones SaaS, incluso aunque no lo sepan. Puede ser un producto SaaS entregado por internet y al que se accede a través de una aplicación móvil, una aplicación de escritorio o un navegador web. Las aplicaciones SaaS incluyen desde aplicaciones de consumo, como Gmail y Netflix, hasta soluciones para empresas, como Salesforce y el conjunto ofimático de Google Workspace.

La infraestructura como servicio (IaaS, por sus siglas en inglés) es un servicio en la nube destinado principalmente a organizaciones, aunque algunos entusiastas de la tecnología pueden adquirir un servicio IaaS para uso personal. El proveedor de servicios en la nube ofrece servicios de infraestructura, como servidores, almacenamiento, redes y virtualización, mientras que el cliente gestiona el sistema operativo y cualquier dato, aplicación, middleware y tiempo de ejecución. Cuando se habla de nube pública, normalmente se hace referencia a una IaaS. Algunos ejemplos de proveedores de nubes públicas son los tres grandes de la industria: Amazon Web Services (AWS), Google Cloud Platform (GCP) y Microsoft Entra ID (Azure).

Las soluciones de plataforma como servicio (PaaS, por sus siglas en inglés) están dirigidas directamente a los desarrolladores. El cliente se encarga de las aplicaciones y los datos, y el proveedor de la nube se ocupa de todo lo demás, incluidos el sistema operativo, el middleware y el tiempo de ejecución. En otras palabras, las soluciones PaaS ofrecen a los desarrolladores un entorno listo para usar en el que pueden crear, implementar y gestionar aplicaciones sin tener que preocuparse de actualizar el sistema operativo o el software. Algunos ejemplos de PaaS son AWS Elastic Beanstalk, Heroku y Google App Engine. Generalmente, la PaaS se utiliza junto con la IaaS. Por ejemplo, una empresa puede utilizar AWS para el alojamiento y AWS Elastic Beanstalk para el desarrollo de aplicaciones.

Comprender cuáles son las responsabilidades del proveedor y del cliente de la nube es clave para entender la seguridad en la nube.

¿Qué es la seguridad en la nube?

La seguridad en la nube sea basa en lo que se conoce como el modelo de responsabilidad compartido. En este modelo:

  • El proveedor de la nube es el responsable de la seguridad de la nube, es decir, de su centro de datos físico, de otros activos como los cables submarinos y de la infraestructura lógica en la nube.
  • Su organización es la responsable de la seguridad en la nube, es decir, de las aplicaciones, los sistemas y los datos almacenados en la nube.

Piense que es como alquilar una pequeña unidad de almacenamiento físico. Usted es responsable de proteger las pertenencias que almacene, es decir, asegurarse de cerrar la puerta y mantener a salvo la llave. La empresa propietaria es responsable de la seguridad de todo el complejo mediante controles, como entradas cerradas, cámaras, iluminación adecuada en áreas comunes y vigilantes. La empresa es responsable de la seguridad del centro de almacenamiento, pero usted es responsable de la seguridad de su propia unidad.

¿Cómo funciona la seguridad en la nube?

Tanto si hablamos de una aplicación SaaS como de una implementación IaaS (nube pública) o de una plataforma PaaS para desarrolladores, la seguridad en la nube se basa en gran medida en la gestión de accesos e identidades (IAM) y en la prevención de la pérdida de datos (DLP). En otras palabras, evitar que las partes no autorizadas accedan a su servicio en la nube y a sus datos.

Si continuamos con el ejemplo de centro de almacenamiento físico, si no protege adecuadamente la llave y alguien la roba y la usa para acceder a él, los controles de seguridad de la empresa no fallaron, fallaron los suyos. De forma similar, si utiliza una contraseña poco segura y fácil de adivinar para proteger su cuenta de Gmail o la consola de administración de GCP y un actor de amenazas la pone en riesgo, el error de seguridad será suyo, no de Google.

Además de impedir el acceso no autorizado y el robo de datos, la seguridad en la nube también intenta evitar la corrupción o pérdida accidental de datos por error humano o negligencia, garantizar la recuperación de datos en caso de pérdida y cumplir las leyes de privacidad de los usuarios como la HIPAA, que prohíbe el acceso no autorizado a los historiales médicos privados. La seguridad de la nube es fundamental para la respuesta a incidentes de seguridad, la recuperación en caso de catástrofe y la planificación de la continuidad de la actividad.

Las medidas de seguridad en la nube más comunes incluyen:

  • Controles IAM, como el control de accesos basado en roles (RBAC) y el acceso de privilegio mínimo, lo que significa que los empleados solo tienen acceso a las aplicaciones y datos que necesitan para hacer su trabajo y nada más.
  • Herramientas DLP que identifican datos sensibles, los clasifican, supervisan su uso y evitan su mal uso, como evitar que los usuarios finales compartan información confidencial fuera de las redes de la empresa
  • Cifrado de los datos tanto en tránsito como en reposo
  • Configuración y mantenimiento seguro del sistema

¿Tiene riesgos la seguridad en la nube?

Aquí tiene algunos de los principales retos y riesgos asociados con la seguridad en la nube.

Buenas prácticas de seguridad para la computación en la nube

Asegúrese de entender por completo el modelo de responsabilidad compartida y de las responsabilidades de seguridad que le corresponden a su organización. Puede parecer obvio, pero comprender quién es responsable de qué puede ser complicado, sobre todo en entornos híbridos.

Uno de los beneficios de la computación en la nube es que se puede acceder a los recursos desde cualquier parte y dispositivo. No obstante, desde una perspectiva de seguridad, esto significa que hay más puntos de conexión que proteger. Las herramientas de gestión de la seguridad de punto final y de dispositivos móviles le permitirán aplicar políticas de acceso e implementar soluciones de verificación de accesos, firewalls, antivirus, cifrado de disco y otras herramientas de seguridad. Otras buenas prácticas de computación en la nube incluyen:

Español (LAT) Llámenos