Estrategias de gestión de seguridad en entornos de múltiples nubes
Share
Por Martín González, Senior Manager Forensics, Compliance & Technology en CPA Consultores & Robalino Law
Rara vez las organizaciones tienen un solo entorno de nube; es más probable que una organización tenga varios entornos que abordan diversas necesidades de datos, aplicaciones, plataformas e infraestructura. La administración de servicios en nube diferentes puede ser un desafío, por lo que las organizaciones necesitan una estrategia sólida que proteja los activos corporativos. Con un sistema de múltiples nubes, los equipos de operaciones y seguridad se enfrentan potencialmente a un conjunto fragmentado de controles de acceso de seguridad y herramientas de monitoreo. Esto presenta un desafío si se diseñan e implementan de manera única en cada entorno de proveedor por separado.
Para que la expansión sea controlada, las organizaciones deben centralizar la adquisición, implementación y administración de sus entornos de múltiples nubes. Hacerlo puede garantizar que las políticas de seguridad y los requisitos de cumplimiento de la organización se apliquen y se cumplan.
La centralización es fundamental para que las organizaciones puedan colaborar y comunicarse de manera uniforme sobre las amenazas y las estrategias de mitigación de riesgos. La centralización es una de las áreas más críticas en las que los equipos de seguridad deben enfocarse cuando su organización crea una estrategia de seguridad de múltiples nubes.
Para grandes implementaciones en la nube, una implementación básica de algunos controles nativos de la nube puede resultar valiosa, pero un diseño de múltiples nubes con numerosos activos puede realmente beneficiarse de una mayor visibilidad de la aplicación que se aplica de manera similar en todos los entornos de nube. Esto también puede ayudar a centralizar el seguimiento y la presentación de informes.
Si bien es la tendencia entre las grandes empresas pasar a un entorno de múltiples nubes, todavía existe un debate sobre los pros y los contras de la centralización. Un sistema centralizado da como resultado la coordinación y la eficiencia de la comunicación y garantiza la uniformidad. Esto contrasta con un sistema descentralizado y no jerárquico en el que existen inconsistencias que dificultan su implementación y mantenimiento en organizaciones grandes.
A pesar de lo anterior, la centralización no debería ser el único enfoque cuando se pasa a una arquitectura de múltiples nubes. Los equipos de seguridad también deben implementar controles en múltiples capas y considerar cómo se aplican en cada entorno. En este sentido, se debe considerar la implementación de una estrategia de segmentación de red de varios niveles. Los firewalls tradicionales todavía tienen su lugar para permitir la conectividad de red entre entornos locales y en la nube. También pueden proporcionar prevención de intrusiones y otros controles que muchas empresas necesitan en la actualidad.
Los equipos de seguridad en la nube deben probar sus entornos en la nube con regularidad. Las pruebas de penetración son esenciales para el modelo de responsabilidad compartida en el que los equipos de seguridad internos y del proveedor asumen juntos la función de proteger los activos en la nube. Las pruebas de penetración de la nube son una forma útil de probar el modelo de responsabilidad compartida y la seguridad de un entorno de nube en general.
De la misma forma, uno de los tipos de ataques más importantes que los equipos de seguridad deben evitar mediante una mejor gestión de la seguridad en la nube es el secuestro de cuentas en la nube, en el que los hackers comprometen una suscripción u otro tipo de cuenta en la nube para participar en actividades maliciosas.
Existen también otras opciones para implementar una arquitectura de control de defensa en profundidad en múltiples nubes, así como en entornos locales. Por ejemplo, una opción rápida está relacionada con las herramientas que se pueden implementar de forma centralizada para la creación de políticas y la gestión general. Cuanto más fáciles de administrar operativamente, más exitoso será el resultado del diseño de la red.
Algunas organizaciones en industrias altamente reguladas o de alto riesgo pueden querer emplear técnicas forenses en su entorno de nube para respaldar las investigaciones que se soliciten. La automatización debe ser una prioridad para este objetivo, de modo que las organizaciones no solo puedan inspeccionar y analizar información en la nube para procedimientos judiciales (por ejemplo, paquetes de red, memoria de carga de trabajo, volúmenes de disco de carga de trabajo y registros y otros datos de eventos) sino también para mitigar cualquier otro problema o evento inusual que pudiera aparecer.
En todo caso, la estrategia de seguridad de múltiples nubes no solo dependerá de un proveedor ni de las capacidades cibernéticas de sus recursos internos sino de la industria a la que pertenece la organización así como de las diversas necesidades de transacciones e información que la organización intercambiará en su ecosistema digital.