Cinco conceptos para mejorar programas de seguridad en la nube

Las organizaciones que emprenden su viaje hacia la nube enfrentan una avalancha de palabras a veces confusas. Está la nube híbrida, multicloud, transformación digital, microservicios y muchas más. Aunque estos términos pueden ser confusos, el elemento clave para tener en cuenta es que la seguridad de los datos en la nube debe ser una parte inherente de la estrategia y la discusión a nivel de negocio para cualquier migración de nube exitosa.

La importancia de abordar las principales necesidades de seguridad y cumplimiento pesa en gran medida en muchas organizaciones. Es una preocupación muy válida, ya que se estima que 990 millones de servidores en la nube están mal configurados.

Además de las configuraciones erróneas en la nube, algunas de las preocupaciones de nube híbrida y multicloud más importantes incluyen:

  • Establecimiento de una estrategia de seguridad preparada para la nube
  • Falta de experiencia junto con los crecientes requisitos de calificación
  • Necesidad de abordar los requisitos de cumplimiento
  • Visibilidad centralizada y gestión de amenazas
  • Una sobrecarga de nuevas herramientas y tecnologías
  • Mantener las políticas de seguridad en el panorama privado/público

Con tantas cuestiones a considerar al mismo tiempo puede ser difícil abordarlas eficientemente. Para ahorrar tiempo y aumentar la productividad, Michael Massimi, Global Business Leader, Cloud Security Services de IBM, mencionó que se debe comenzar con estos cinco conceptos básicos que mejorarán los resultados de cualquier programa de seguridad en la nube.

Gobernanza y estrategia en la nube

En el corazón de cada programa de seguridad en la nube exitoso, hay una estrategia bien definida que incluye los siguientes criterios:

  • Establezca una línea base de seguridad para los entornos de nube
  • Entienda dónde están los datos críticos, cuáles son y quién tiene acceso a ellos
  • Defina la seguridad, cumplimiento, industria o requisitos normativos
  • Racionalice sobre el conjunto correcto de controles para cumplir con estos requisitos
  • Construya un estado objetivo y una hoja de ruta desde la cual ejecutar

Seguridad nativa en la nube

En algún momento se puede considerar si los controles de seguridad nativos del Proveedor de Servicios de Nube (CSP) son lo suficientemente viables o adecuados para gestionar la seguridad de un entorno. Los CSPs tienen conjuntos variables de controles de seguridad en sus plataformas de nube. Ellos pueden proporcionar muchas ventajas, incluyendo un límite en el número de licencias de terceros que están siendo gestionadas, consumo flexible, facilidad de integración y más.

Sin embargo, un enfoque de seguridad nativo de la nube plantea algunas preguntas a responderse:

  • ¿Los controles nativos tienen el nivel adecuado de madurez o proporcionan el nivel adecuado de visibilidad para cumplir con los requisitos de cumplimiento?
  • ¿Qué controles nativos de la nube hacen más sentido para su nube híbrida y entorno multicloud?
  • ¿Cuenta con las habilidades adecuadas para gestionar un nuevo conjunto de tecnologías de seguridad que crece rápidamente?
  • ¿Cómo se diseñan, implementan y configuran correctamente estos controles y se integran en el resto de las operaciones de seguridad?
  • ¿Qué se hace con todos estos nuevos datos de seguridad en la nube y telemetría, y qué decisiones o acciones se pueden tomar con ellos?

Una vez que se deciden cuáles controles de seguridad nativos adecuados para la organización, la gestión eficaz de esos controles y políticas requiere primero asegurarse que se dispone de la arquitectura y las políticas adecuadas para dar soporte a los requisitos de negocio y normativos. Y también, debe tenerse una capa sólida de gobernanza que permita convertir la telemetría nativa en la nube y las alertas en toma de decisiones priorizadas y accionables.

Postura para gestionar la seguridad en la nube (Cloud Security Posture Management)

Tener la configuración correcta y un cumplimiento continuo de los entornos en la nube es vital para un programa de ciberseguridad en la nube, pero esto puede ser complejo de supervisar. Es posible que varios equipos o líneas de negocio se encuentren utilizando los servicios de nube al mismo tiempo que se debe cumplir con los estándares globales de organizaciones como el Centro de Seguridad de Internet (CIS). La situación se vuelve más complicada con la incapacidad de obtener el contexto de la nube y una correlación suficientemente rápida como para ayudar a detectar y responder a problemas de seguridad en la nube.

Debe considerarse el uso de una postura para gestionar la seguridad en la nube con el fin de abordar estas complicaciones y lograr los siguientes objetivos:

  • Monitorear constantemente un inventario de activos en la nube en tiempo real para cumplimiento, informes normativos y fines de auditoría.
  • Prevenir las filtraciones por una ágil detección y respuesta a malas configuraciones de la nube.
  • Fortalecer continuamente la postura de seguridad y cumplimiento
  • Incorporar información de seguridad y automatización para detectar anomalías en la nube

Workloads en la nube y seguridad de contenedores

El entorno del contenedor de aplicaciones puede enfrentarse a complejidad en la seguridad y desafíos de visibilidad, un tiempo de prueba limitado durante un rápido escalamiento y entrega, aumento del tráfico y amenazas que puedan comprometer el contenedor. Las siguientes fases de los entornos de contenedor son riesgos importantes que pueden actuar como vectores de amenazas:

  • Creación de imágenes, pruebas y acreditación
  • Registro para el almacenamiento de imágenes
  • Orquestación para la recuperación
  • Contenedor para el despliegue
  • Sistema operativo host para la gestión

Afortunadamente, la cobertura existe para proteger las cargas de trabajo de un contenedor en un entorno de nube híbrida y multicloud. Al seguir una evaluación y una estrategia completa, deben considerarse los servicios de integración, diseño e implementación, así como la gestión en curso para todas las fases del ciclo de vida del contenedor. Cuando estas capacidades están en su lugar, se obtienen los siguientes beneficios de seguridad para Red Hat OpenShift, Kubernetes, Docker y otras plataformas de containers:

  • Postura de seguridad aumentada en los servicios de nube en contenedores existentes
  • Servicios de seguridad gestionados distribuidos a través de entornos de nube híbrida
  • Ayuda en la consecución de mandatos de cumplimiento para entornos de contenedores
  • Panel único para gestionar todas las funcionalidades de seguridad

DevSecOps y seguridad de aplicaciones

Los equipos de desarrollo se enfocan en producir nuevas aplicaciones y funcionalidades para los consumidores lo más rápido posible. Los equipos de operaciones trabajan en asegurar un sistema receptivo y estable. Para satisfacer la creciente demanda de innovación en la nube, tanto el desarrollo como las operaciones deben integrarse para fomentar la colaboración y el equilibrio entre el desarrollo y la calidad.

La seguridad busca garantizar que los rápidos despliegues de aplicaciones estén libres de vulnerabilidades y que cumplan con los requisitos normativos y corporativos.

Para cumplir la mayoría de los objetivos críticos de estos equipos, se debe considerar un cambio de cultura hacia las metodologías de DevSecOps. DevSecOps es el conjunto consolidado de prácticas que representa una combinación de cultura, proceso y tecnología para quienes lo practican.

Al añadir DevSecOps y asegurar las prácticas de desarrollo en los workloads, algunos de los beneficios incluyen: 

  • Una cultura con mentalidad de retroalimentación continua, ágil y lean que se alinea con la estrategia de seguridad, riesgo, gobernanza y cumplimiento.
  • Automatización de cada proceso para una mayor velocidad, fiabilidad y seguridad, todo esto utilizando herramientas modernas.
  • Más oportunidades para fomentar la innovación, como un círculo de feedbak y colaboración que lleva a aumentar la autonomía y los despliegues seguros.
  • Fuente: cio.com.mx