La seguridad en la nube es una disciplina de la ciberseguridad dedicada a asegurar los sistemas informáticos. Se dedica a mantener los datos privados y seguros a través de la infraestructura, guardando las aplicaciones y las plataformas en línea. Asegurar estos sistemas implica los esfuerzos de los proveedores de la nube y de los clientes que los utilizan, bien se trate de un usuario, una pequeña o mediana empresa o una organización. Los proveedores de servicios en la nube alojan los servicios en sus servidores a través de conexiones de Internet siempre activas. Debido a que su negocio depende de la confianza de los clientes, se utilizan varios métodos de seguridad en la nube para que los datos de los clientes se mantengan privados y almacenados de forma segura. La seguridad en la nube también está parcialmente en manos del Usuario. Comprender ambas facetas es fundamental para una solución saludable de seguridad en la nube.
La extensión total de la seguridad en la nube está diseñado para proteger lo siguiente, independientemente de sus responsabilidades:
Redes físicas: enrutadores, energía eléctrica, cableado, controles de clima, etc.
Almacenamiento de datos: discos duros, Memorias etc.
Servidores de datos: hardware y software informáticos de la red central.
Plataformas de virtualización de equipos informáticos: software de máquinas virtuales, máquinas anfitrionas y máquinas invitadas.
Sistemas operativos: software que soporta todas las funciones informáticas.
Middleware: gestión de la interfaz de programación de aplicaciones (API).
Entornos de ejecución: ejecución y mantenimiento de un programa en ejecución.
Datos: toda la información almacenada, modificada y a la que se ha accedido
Aplicaciones: servicios tradicionales de software (correo electrónico, software de impuestos, paquetes de productividad, etc.)
Hardware de usuario final: ordenadores, dispositivos móviles, dispositivos de Internet, etc.
Como funciona la seguridad en la nube (CBSP)
Un ambiente en la nube es tan seguro como su punto más débil, por lo que una seguridad eficaz en la nube implica que diferentes tecnologías trabajen juntas para proteger los datos y las aplicaciones desde todos los ángulos. Esto a menudo contiene cortafuegos, gestión de identidad y acceso (IAM), segmentación y cifrado, aunque las necesidades de seguridad pueden variar según el tipo de implementación en la nube.
En lugar de proteger un perímetro, la seguridad en la nube protege los recursos y los datos individualmente. Esto quiere decir que aplicar medidas de seguridad más granulares y específicas, como la gestión de la postura de seguridad en la nube (CBSP), contiene la protección de datos, la seguridad de los datos y la recuperación de desastres, así como un conjunto de herramientas para cumplir los requisitos de conformidad.
Los entornos en la nube, especialmente las nubes híbridas que combinan nubes públicas con centros de datos privados remotos o locales, pueden tener muchas debilidades internas y externas. Por eso es fundamental aprovechar los controles de acceso, la autenticación multifactorial, la protección de datos, el cifrado, la gestión de la configuración, para mantenerlos accesibles y seguros.
Tipos de seguridad en la nube (CBSP)
Algunas organizaciones, como empresas financieras, adoptan nubes privadas para proteger mejor los recursos confidenciales. En total, hay cuatro subtipos de implementación de infraestructura en la nube, así como cuatro modelos principales de servicio.
Los cuatro subtipos de implementación en la nube son:
Nube privada: infraestructura exclusiva que utiliza una sola organización propiedad de un tercero o de la propia organización, que es responsable de todos los aspectos de la gestión de la seguridad.
Nube pública: infraestructura propiedad de un tercero y compartida entre varias organizaciones, que también comparte las responsabilidades de seguridad con el proveedor de acuerdo a un modelo de responsabilidad compartida.
Nube híbrida: una combinación de implementación privada y pública en la que una organización utiliza cada una de sus ventajas, como la escalabilidad.
Multinube: infraestructura compartida, generalmente entre organizaciones que necesitan acceder a las mismas aplicaciones y tienen los mismos requisitos de segmentación y privacidad (por ejemplo, PCI DSS).
Riesgos de seguridad en la nube
La nube le ayuda a construir, usar y mantener los recursos de manera flexible. Debido a que su organización no es responsable del hardware, puede usar tanto volumen de nube como necesite sin invertir en más dispositivos para gestionar la escala. Sin embargo, cuando traslada los recursos fuera de la red, las defensas de tipo perimetral dejan de funcionar, lo que le obliga a reevaluar cómo y dónde trabajan sus empleados, así como la forma más audaz de identificar los problemas de seguridad, controla las vulnerabilidades, bloquear el malware y evitar la pérdida de datos.
El mayor riesgo que plantea la nube es que no existe un perímetro. La ciberseguridad tradicional se centraba en proteger el perímetro, pero los entornos en la nube están altamente conectados, lo que conlleva que las interfaces de programación de aplicaciones (API) sean inseguras y los secuestros de cuentas puedan plantear problemas reales. Frente a los riesgos para la seguridad que afectan a la computación en la nube, los profesionales de la ciberseguridad deben adoptar un planteamiento más centrado en los datos.
La interconexión también plantea problemas para las redes. Los actores maliciosos a menudo acceden las redes debido a credenciales comprometidas o vulnerables. Una vez que un hacker consigue acceder a una red, puede propagarse fácilmente y utilizar las interfaces mal protegidas de la nube para localizar datos en diferentes bases de datos y modos. Incluso puede utilizar sus propios servidores en la nube como destino donde exportar y almacenar los datos robados. La seguridad tiene que estar en la nube y no servir como elemento exclusivo para proteger frente al acceso a los datos que allí se almacenamiento.
Pro y contras de la seguridad en la nube
La seguridad en la nube beneficia a una organización pero también se pueden mostrar las posibles formas en que aumentan el riesgo en la seguridad que tiene la nube.
PROS
Visibilidad mejorada sobre los recursos en la nube.
Seguridad que se adapta a las necesidades del cliente.
Mejor protección de los datos en la nube y de los puntos finales únicos.
CONTRAS
El amenazador riesgo de perdida de configuración.
Posible mala estrategia de asociación/despliegue.
Acceso no autorizado a los recursos, lo que aumenta la superficie de ataque.
Evolución de la seguridad de la nube
La nube ha cambiado el panorama tecnológico mundial, y la seguridad en la nube está cambiando con ella. Más actualmente, esta circunstancia se ha evidenciado en la narrativa sobre el perímetro del servicio de seguridad (SSE) y la confianza cero. Como tendencia creciente del sector, SSE resuelve los retos fundamentales relacionados con el trabajo remoto, la nube, la informática de perímetro seguro y la transformación digital, proporcionando acceso seguro a Internet, a las aplicaciones SaaS y en la nube, y a las aplicaciones privadas de su organización.
¿Quieres saber más?
Komentar