Seidor
seguridad cloud

16 de noviembre de 2022

¿Cómo garantizar la seguridad de la infraestructura y las aplicaciones Cloud?

En la medida en que las empresas son conscientes de todas las ventajas que tiene la informática en la nube, cada vez se extiende y se populariza más su uso. Algo que también abre nuevos escenarios en lo que a la seguridad se refiere, puesto que el número de vectores de ataque aumenta drásticamente y se diversifica.

La seguridad en entorno Cloud

A medida que las organizaciones trasladan una mayor parte de su infraestructura a la nube, sus planteamientos y políticas de seguridad tradicionales puedan seguir siendo válidas para algunas instancias, pero deben adaptarse a las arquitecturas distribuidas e híbridas. Por tanto, es necesario tener un enfoque diferente para abordar la seguridad en este nuevo entorno.

Asegurar la infraestructura Cloud

Empecemos por la seguridad de la infraestructura en la nube. Para acometer esto, debemos tener en cuenta una combinación de políticas, mejores prácticas y tecnologías para garantizar que los recursos en la nube (incluidos los entornos informáticos, las aplicaciones y las bases de datos) estén seguros frente a las amenazas (tanto internas como externas) de la nube.

Esta seguridad de la infraestructura en la nube no debe confundirse con los servicios de seguridad en la nube que ofrecen varios servicios de seguridad a través de un modelo de negocio de software como servicio.

De hecho, la seguridad en la nube consiste en diferentes controles, procedimientos y tecnologías para proteger los sistemas y datos críticos de cualquier organización contra las amenazas de ciberseguridad y los riesgos derivados de los entornos en la nube.

Según el tipo de computación en la nube que usemos, podemos adoptar un tipo de seguridad en la nube u otra:

  • Servicios de nube pública, operados por un proveedor de nube pública. Aquí se incluyen el software como servicio (SaaS), la infraestructura como servicio (IaaS) y la plataforma como servicio (PaaS).
  • Servicios de nube privada, operados por un proveedor de nube pública. Estos servicios proporcionan un entorno informático dedicado a un cliente, operado por un tercero.
  • Servicios de nube privada, operados por personal interno. Es decir, una evolución del centro de datos tradicional, donde el personal interno opera un entorno virtual que controla.
  • Servicios de nube híbrida. Aquí se combinan configuraciones de computación en nube privada y pública, alojando cargas de trabajo y datos en función de la optimización de factores como el coste, la seguridad, las operaciones y el acceso. En la operación participará el personal interno y, opcionalmente, el proveedor de la nube pública.

Securizar las aplicaciones en entorno Cloud

Si abordamos la necesaria necesidad de asegurar las aplicaciones de software basadas en la nube, debemos hablar también de políticas, herramientas, tecnologías y reglas a nivel de aplicación para mantener la visibilidad de todos los activos, proteger las aplicaciones basadas en la nube de los ciberataques y restringir el acceso sólo a los usuarios autorizados.

La seguridad de las aplicaciones en la nube es esencial para las organizaciones que utilizan aplicaciones web que se ejecutan en un entorno multi-nube alojado por un proveedor de nube de terceros. Estos servicios o aplicaciones en la nube aumentan significativamente la superficie de ataque por naturaleza, proporcionando muchos nuevos puntos de acceso para que los atacantes entren en la red.

Buenas prácticas para asegurar las aplicaciones Cloud

En cualquier caso, y como siempre en seguridad, hay una serie de recomendaciones de buen uso de la tecnología para evitar comprometer la seguridad, tanto de la infraestructura como de las aplicaciones en la nube. Algunas de ellas son:

  • Aprovechar la autenticación multifactor (AMF) por ser uno de los mecanismos más eficaces para limitar el riesgo de que la cuenta se vea comprometida.
  • Ingeniería social. Los errores humanos son una de las causas más comunes de las violaciones de datos. Hay que formar a los empleados e implantar herramientas como filtros de URL, antimalware y cortafuegos inteligentes.
  • Automatización. Las empresas deben automatizar la supervisión de las aplicaciones en la nube, la respuesta a los incidentes y la configuración en la medida de lo posible. Los flujos de trabajo manuales son propensos a los errores y una causa común de descuido o filtración de datos.
  • Privilegios mínimos. Las cuentas de usuario y las aplicaciones deben estar configuradas para acceder únicamente a los activos necesarios para su función empresarial, aplicando el principio de mínimo privilegio en todas las plataformas en la nube.
  • Seguridad de los datos. Especialmente en las aplicaciones, gran parte del enfoque de seguridad debe garantizar la integridad e inviolabilidad de los datos. Si puede utilizar sistemas de encriptado, mejor.
  • Auditorías y test. Por último, es recomendable hacer auditorías constantes, así como pruebas para garantizar que todo funciona correctamente y que los sistemas y políticas de seguridad son capaces de dar respuesta a un posible incidente de seguridad.