Guía de Ciberseguridad en Cloud Computing

Hoy, casi todas las empresas dependen de datos y servicios digitales para operar sus negocios. Muchas organizaciones deben cumplir con las regulaciones gubernamentales, como el RGPD, para almacenar y acceder a los datos al procesar la información del cliente.

En consecuencia, las empresas necesitan una forma segura de alojar su información. La mayoría de las organizaciones no pueden darse el lujo de hacerlo todo en casa.

La nube es instrumental para la mayoría de las empresas y se estima que el 70% de todas las organizaciones usan la nube para al menos una aplicación y sus datos relacionados. A medida que el delito cibernético continúa aumentando en todo el mundo, las empresas no pueden arriesgarse a almacenar datos críticos en servidores no seguros.

El resultado es una fuerte inversión en protocolos de seguridad en la nube para garantizar que los datos empresariales estén protegidos contra piratas informáticos y violaciones.

La gran mayoría de las empresas no pueden permitirse los costes excesivos y las sanciones por una violación de datos, por lo que debemos aprender exactamente cómo se procesan y almacenan los datos para comprender cómo protegerlos. Primero examinemos exactamente qué es la nube y cómo garantizar la seguridad en la misma.

¿Qué es la nube?

La «nube» no es una ubicación física, sino una red de recursos informáticos, incluidas redes, servidores y aplicaciones. El término «Cloud Computing» se originó en la década de 1960 cuando los primeros innovadores tecnológicos utilizaron un símbolo de la nube para representar lo que eventualmente se conocería como Internet.

El almacenamiento de datos y el uso de aplicaciones de software dependen completamente de este ecosistema conectado.

Ya sea que se trate de un lugar para almacenar datos o software, las organizaciones usan las instalaciones en la nube por una variedad de razones.

Por ejemplo, muchos diseñadores se suscriben a los servicios de Adobe Creative Cloud para crear contenido visual. Los usuarios acceden al software a través de un proveedor de servicios en la nube para crear imágenes sin tener que almacenar grandes cantidades de datos y software en su máquina personal.

Este modelo beneficia a los proveedores de software, porque los usuarios no tienen que instalar ningún software en su ordenador local. Todo lo que necesitan es un navegador web.

En una escala mayor, las corporaciones usan servidores en la nube para almacenar datos de clientes. Por ejemplo, Apple usa Google Cloud Platform para el almacenamiento de iCloud.

Aunque los datos se almacenan en la nube, la información todavía se almacena físicamente en servidores y, según el proveedor, el tipo de datos y el acceso requerido a los datos, pueden ubicarse internacionalmente.

¿Cómo funciona la nube?

En términos muy simples, imagina la nube como algo similar a un servicio de almacenamiento local. Para evitar una casa desordenada o construir una adición en tu casa y mantener tus pertenencias seguras, optas por almacenar cosas a las que no necesitas acceso inmediato en una instalación externa por una tarifa basada en el uso. Ahora has liberado espacio en tu hogar, has almacenado tus pertenencias de forma segura y puedes acceder a ellas cuando lo desees.

La nube es similar cuando se trata de almacenamiento de datos.

Por ejemplo, almacenar todas las películas de Netflix que ves físicamente en tu dispositivo podría causar rápidamente numerosos problemas en tu disco duro. La nube proporciona acceso rápido a los servicios de Netflix, donde los usuarios transmiten contenido sin tener que descargar el programa o los programas directamente en sus dispositivos.

Los proveedores de servicios en la nube (CSP) eliminan la carga de poder de almacenamiento y computación de las grandes empresas que pagan para almacenar y procesar sus datos y procesos de aplicación en la nube pública. Este tipo de estructura también se conoce como «Infraestructura como servicio» (IaaS).

Las empresas también pagan por el acceso inmediato a sus datos y por una multitud de servicios CSP que pueden incluir seguridad adicional. Pero, para muchas empresas, el control de seguridad proporcionado por sus CSP es una preocupación fundamental, especialmente cuando se trabaja con marcas menos conocidas fuera del triunvirato de Amazon, Microsoft y Google.

¿Qué es la seguridad en la nube?

La seguridad en la nube incluye el ecosistema de personas, procesos, políticas y tecnología que protegen los datos y las aplicaciones que operan en la nube.

Los consultores de seguridad en la nube examinan cómo una empresa procesa y almacena datos y luego crean un protocolo de gobierno de datos personalizado para una protección integral.

Las evaluaciones profesionales de seguridad en la nube y las pruebas de penetración son fundamentales para ayudar a garantizar que los proveedores de servicios en la nube cumplan con el cumplimiento del gobierno para proteger de manera responsable sus valiosos datos.

La oración anterior es el quid de la computación en la nube: los proveedores de servicios en la nube almacenan los datos de otras personas, parte de los cuales es información de identificación personal. La nube ha creado una gran oportunidad, pero también una gran responsabilidad para esos proveedores de proteger los datos de sus clientes.

Incidentes como la violación de datos de Equifax en el otoño de 2017, en la que los datos de más de 143 millones de personas se pusieron en riesgo, no solo le cuestan a las compañías millones para volver al cumplimiento, sino que también comprometen la confianza de sus suscriptores y accionistas.

Las empresas rara vez pueden permitirse un éxito tan monumental en su reputación, por lo que emplear las mejores prácticas de seguridad en la nube es fundamental para cualquier empresa moderna.

En el desafortunado caso de que una compañía experimente tal incumplimiento, tener un plan de respuesta a incidentes en la nube es crucial para mitigar el impacto de actividades sospechosas y minimizar el daño.

Soportar cualquier evento empresarial catastrófico es bastante traumático, pero la forma en que la empresa reacciona después de tal evento a menudo determinará el destino de esa organización. El plan de respuesta de la organización a menudo determinará el coste de una violación cibernética.

Servicios de Cloud Computing

Existen tres tipos diferentes de servicios de computación en la nube:

Software como servicio (SaaS)

Software as a Service (SaaS) permite a una compañía de software publicar su software y permitir a sus usuarios acceder al software a través de un navegador web.

Los servidores de la suite como Microsoft Office 365 o las aplicaciones como Salesforce brindan a los usuarios acceso instantáneo a documentos y archivos sin la molestia de instalar, administrar y almacenar aplicaciones y datos en sus dispositivos personales.

Los usuarios y las organizaciones utilizan aplicaciones SaaS para espacio adicional en el ordenador, mayor seguridad en la nube, facilidad de actualización de software y la capacidad de sincronizar datos en muchos dispositivos.

Las aplicaciones SaaS ayudan a los usuarios a evitar la propiedad del software y las actualizaciones costosas y que consumen mucho tiempo, y generalmente operan en un modelo basado en suscripción mensual o anual.

Plataforma como servicio (PaaS)

Plataforma como servicio (PaaS) significa que una empresa utiliza el software y el hardware proporcionados por un proveedor de soluciones en la nube (CSP) para construir e implementar su propio conjunto de servicios.

Por ejemplo, Amazon Web Services (AWS) y Heroku son proveedores populares de PaaS que actúan como la plataforma o el anfitrión de muchos otros programas de software populares como QuickBooks Online, Expedia y Adobe.

Las empresas pueden utilizar proveedores de PaaS para desarrollar y lanzar aplicaciones simples basadas en la nube para aplicaciones empresariales habilitadas para la nube.

Las empresas pueden almacenar los datos de sus clientes en el servicio en la nube del proveedor de la plataforma sin tener que invertir en hardware, software y conectividad. También pueden usar las funciones de prueba y compilación de PaaS para comunicarse de manera eficiente y entregar nuevos desarrollos de producción con una red nacional o internacional extendida.

Evita inversiones costosas para administrar licencias de software y utiliza herramientas para inspeccionar datos y mejorar sus servicios basados ​​en la nube.

Infraestructura como servicio (IaaS)

Infraestructura como servicio (IaaS), también conocida como informática de servicios públicos, permite a los usuarios obtener acceso a servidores, almacenamiento y hardware a través de la nube.

El método de pago por uso permite a los usuarios pagar una tarifa de suscripción mensual única en función de cuántos gigabytes o megabytes de datos han alojado por el proveedor.

IaaS es el servicio de computación en la nube más flexible y permite a los usuarios personalizar su combinación de productos. El acceso directo a servidores externos no requiere una inversión interna de capital en hardware costoso.

IaaS permite a los usuarios de la organización tener el mayor control sobre su infraestructura en la nube. Obtén la seguridad en la nube que tu empresa necesita sin inversiones iniciales de capital.

Riesgos y desafíos del Cloud computing

Aunque los servicios de computación en la nube son una excelente opción para muchas empresas, existen algunos riesgos que vienen con el territorio.

Desde la introducción de la computación en la nube, cada vez más empresas han cambiado constantemente a proveedores de computación en la nube de terceros. Esta afluencia de datos valiosos en ubicaciones únicas hace que los proveedores de la nube sean un objetivo principal para la actividad maliciosa.

Como ilustración de este problema, imagina que todos almacenan sus ahorros en una caja fuerte personal en sus respectivos hogares. Eso significa que cada propietario es directamente responsable de su propio dinero. Sin embargo, la mayoría de las personas prefieren almacenar la mayoría de su dinero en un banco externo. Aunque esto significa que el banco proporcionará seguridad adicional y tendrá regulaciones de seguridad más fuertes, también significa que el banco es un objetivo principal para que los ladrones profesionales ataquen.

Al igual que en el escenario bancario, las empresas deben confiar en los proveedores de la nube para proteger sus datos críticos.

Aunque existen muchas regulaciones gubernamentales y de seguridad, ningún centro de datos está 100% seguro contra piratas informáticos y malware. Además, las amenazas internas se están convirtiendo en una preocupación frecuente para muchos proveedores de servicios en la nube.

Los CISO deberían trabajar estrechamente con sus proveedores de la nube, tratando la relación como una asociación en lugar de solo un proveedor de hardware o software.

Cuando se trata como una asociación, puedes examinar los detalles de los servicios que ofrece el proveedor de servicios en la nube y puedes elegir el socio adecuado para tus necesidades.

Principales amenazas de seguridad en la nube

Los proveedores de la nube son un objetivo principal para los hackers malévolos.

Los expertos de Cloud Security Alliance han identificado los siguientes 12 problemas críticos para la seguridad de la nube (clasificados en orden de gravedad según los resultados de la encuesta):

  • Violaciones de datos
  • Identidad débil, credenciales y gestión de acceso
  • Interfaces de programación de aplicaciones inseguras (API)
  • Vulnerabilidades del sistema y la aplicación
  • Secuestro de cuenta
  • Insiders maliciosos
  • Amenazas persistentes avanzadas (APT)
  • Pérdida de datos
  • Diligencia debida insuficiente
  • Abuso y uso nefasto de servicios en la nube
  • Negación de servicio
  • Problemas de tecnología compartida

El auge de la computación en la nube empresarial ha creado una gran oportunidad no solo para los proveedores de servicios en la nube, sino también para los especialistas en seguridad en la nube.

La prevención de cualquiera de estas doce vulnerabilidades se ha convertido en una industria en sí misma. Las pequeñas y medianas empresas son ridiculizadas por intentar mantener sus propios servidores de datos. Por lo tanto, todas las empresas que utilizan SaaS dependen de proveedores seguros de PaaS e IaaS, y son vulnerables a cualquiera de estas 12 amenazas.

Soluciones de seguridad en la nube

Las soluciones de seguridad en la nube generalmente se implementan y se utilizan para ayudar a proteger las cargas de trabajo que se ejecutan tanto en nubes privadas como en los principales servicios de nube pública de las compañías de computación en la nube.

Existen múltiples tipos de soluciones de seguridad en la nube para ayudar a la organización a reducir el riesgo y mejorar la seguridad.

Entre ellas están:

  • Plataformas de protección de la carga de trabajo en la nube. Estas tecnologías funcionan tanto con infraestructura en la nube como con máquinas virtuales, ofreciendo funciones de monitorización y prevención de amenazas.
  • Corredores de seguridad de acceso a la nube (CASB). A menudo, otra categoría de soluciones de seguridad en la nube se identifica como plataformas Cloud Access Security Broker (CASB), que monitorizan la actividad y hacen cumplir las políticas de seguridad desde una perspectiva de acceso.
  • SaaS. También hay una amplia gama de herramientas y tecnologías de seguridad que se entregan desde la nube, en un modelo de software como servicio (SaaS) para ayudar a proteger las cargas de trabajo tanto en la nube como en las instalaciones.

Las suites de soluciones de seguridad en la nube pueden incluir capacidades tanto de la carga de trabajo en la nube como de las tecnologías CASB, para ofrecer un conjunto integral de funciones que aseguren el acceso a la nube y las implementaciones.

¿Qué debes saber al seleccionar una solución de seguridad en la nube para tu negocio?

  • Características de protección. Es importante identificar las cargas de trabajo que necesitas proteger y asegurarte de que la solución de seguridad en la nube proporcione características de protección adecuadas para la carga de trabajo dada.
  • Integración de políticas. La organización a menudo tiene sistemas de directorio locales. Es importante asegurarse de que una determinada solución de seguridad en la nube pueda integrarse con los sistemas de políticas existentes y proporcionar una política uniforme.
  • Alcance Multicloud. Actualmente muchas empresas utilizan una estrategia de múltiples nubes, por lo que la  solución elegida debe disponer de la opción de actuar en un escenario de múltiples nubes, con distintas clases de implementaciones. Se debe evitar el bloqueo del proveedor.

A continuación, describimos las capacidades de los 8 principales proveedores de soluciones de seguridad en la nube que pueden ayudar a las organizaciones a mejorar la postura de seguridad y reducir el riesgo. Los proveedores enumerados a continuación cruzan múltiples categorías de soluciones de seguridad en la nube, incluida la protección de la carga de trabajo y CASB.

Qualys

Como uno de los primeros pioneros en proporcionar soluciones de gestión de vulnerabilidades, Qualys ha seguido ampliando su oferta de productos, y ahora ofrece herramientas de seguridad de aplicaciones web y cumplimiento basado en la nube. El software es lo suficientemente robusto como para manejar entornos a gran escala.

Qualys Cloud Platform ofrece una plataforma única y unificada que brinda visibilidad de los problemas de seguridad y cumplimiento para toda la empresa. Puede monitorizar todo, desde contenedores hasta puntos finales y dispositivos móviles.

Un diferenciador clave es la herramienta de escaneo de aplicaciones web de Qualys. Disponible como un servicio basado en la nube, la herramienta escanea automáticamente las aplicaciones web personalizadas, probando una variedad de problemas de seguridad, como la inyección SQL y las secuencias de comandos entre sitios. Puede priorizar y clasificar los problemas de seguridad que encuentra.

El software es conocido por su facilidad de implementación y su capacidad para ofrecer una solución única a los complejos desafíos de seguridad.

Check Point CloudGuard

La plataforma CloudGuard de Check Point dispone de distintas funcionalidades para ayudar a las organizaciones a tener fuertes políticas de seguridad y proteger distintos tipos de implementaciones en la nube. La plataforma abarca la seguridad tanto para los casos de uso en la nube de IaaS (infraestructura como servicio) como de SaaS (software como servicio).

Un diferenciador clave para CloudGuard es SmartConsole de la plataforma, que ofrece la promesa de una visibilidad multicloud para la política y el control de seguridad desde una interfaz gráfica de usuario unificada.

Con CloudGuard, las organizaciones también se benefician de la capacidad de proteger las cargas de trabajo a nivel de máquina virtual. Esto permite que las políticas de seguridad migren con las cargas de trabajo a medida que se mueven entre implementaciones locales y diferentes entornos de nube.

Las organizaciones suelen destacar la facilidad de implementación como un beneficio clave de la plataforma Check Point CloudGuard.

CloudPassage Halo

CloudPassage Halo es una solución de seguridad de carga de trabajo en la nube que integra una serie de capacidades diferenciadas en su plataforma.

En el núcleo de Halo se encuentra la visibilidad a través de diferentes cargas de trabajo, incluidas la nube y los servidores para identificar la configuración insegura y ayudar a la organización a mantener el cumplimiento de los diferentes requisitos normativos y de políticas de seguridad.

CloudPassage adopta un enfoque basado en agentes para proporcionar visibilidad a través de diferentes cargas de trabajo e implementaciones.

Además de la visibilidad, esta solución incluye la evaluación de vulnerabilidad de software y las capacidades de evaluación de configuración segura.

Lacework

Lacework proporciona protección de la carga de trabajo en la nube para la infraestructura de la nube pública. La plataforma Lacework monitoriza continuamente las implementaciones en la nube en busca de cambios que puedan ser indicativos de configuraciones incorrectas o posibles ataques.

Las alertas se clasifican según la criticidad y el contexto, que es un área de diferenciación para Lacework, con su función Polígrafo. Con el polígrafo de Lacework, hay una representación visual de diferentes activos en la nube, cargas de trabajo, API y roles de cuenta para proporcionar un mejor contexto sobre cómo se relaciona todo, lo cual es crítico para tener el contexto adecuado para la seguridad.

Los usuarios de la plataforma Lacework también se benefician de informes regulares que proporcionan información sobre las mejores prácticas y riesgos, para ayudar a mejorar aún más la seguridad de la carga de trabajo en la nube.

Netskope

Netskope generalmente es calificado por los analistas como un agente de seguridad de acceso a la nube (CASB), aunque la plataforma Security Cloud de la compañía ahora integra un amplio conjunto de capacidades que van más allá de solo asegurar el acceso a la nube.

La plataforma de Netskope proporciona seguridad de acceso a la nube, protección avanzada contra amenazas y protección de datos. Las capacidades de Prevención de pérdida de datos (DLP) son particularmente poderosas ya que permiten a la organización identificar y proteger información sensible y de identificación personal, donde sea que se encuentre en una implementación en la nube.

Un diferenciador clave para Netskope es su tecnología CloudXD, que proporciona detalles contextuales sobre la actividad que pueden utilizar las empresas para comprender mejor tanto los riesgos como el uso general de la nube.

RedLock por Palo Alto Networks

Palo Alto Networks tiene múltiples soluciones de seguridad en la nube dentro de su cartera que proporcionan diferentes tipos de capacidades.

Palo Alto Networks adquirió RedLock incorporando capacidades de la plataforma Cloud Workload Protection que brindan seguridad pública y cumplimiento.

Las capacidades de RedLock se combinan con las características de la plataforma Evident de Palo Alto para proporcionar:

  • análisis de seguridad en la nube,
  • detección avanzada de amenazas,
  • seguridad continua y
  • monitorización de cumplimiento.

La identificación de la configuración incorrecta y la capacidad de identificar sistemas host potencialmente vulnerables son características principales de la plataforma.

Entre los diferenciadores clave de la plataforma RedLock by Palo Alto Networks se encuentra la capacidad de realizar investigaciones de amenazas a través de implementaciones de carga de trabajo en la nube para ayudar a identificar y remediar amenazas.

El sistema también se beneficia de un motor de inteligencia artificial que correlaciona la configuración de recursos, la actividad del usuario, el tráfico de red, las vulnerabilidades del host y la inteligencia de amenazas para crear un contexto para la seguridad de la carga de trabajo en la nube.

Symantec Cloud Workload Protection

Existen varias tecnologías diferentes para la seguridad en la nube dentro de la amplia cartera de seguridad cibernética de Symantec. Entre ellos se encuentra Symantec Cloud Workload Protection, que puede descubrir automáticamente lo que una organización ejecuta en implementaciones de varias nubes

Además de la visibilidad en la nube, integra la monitorización de cambios no autorizados, integridad de archivos y actividad del usuario.

Otra característica clave importante es la capacidad de la plataforma para ayudar a identificar cubos de almacenamiento en la nube mal configurados, lo que podría estar filtrando información corporativa.

Threat Stack Cloud Security

La visibilidad, monitorización y las alertas en la nube son capacidades centrales de la plataforma Threat Stack Cloud Security. Sin embargo, el verdadero diferenciador para Threat Stack está en el enfoque de la plataforma en identificar intrusiones en la nube y luego trabajar con diferentes herramientas para remediar cualquier amenaza.

El seguimiento de varias amenazas se habilita a través del panel de control, que proporciona información sobre la configuración de la nube, los servidores potencialmente vulnerables y el estado de la corrección de alertas.

El cumplimiento regulatorio con diferentes esfuerzos de certificación regulatoria es otra capacidad clave de la plataforma, con plantillas de conjunto de reglas de cumplimiento diseñadas para facilitar a las organizaciones tener la configuración y los controles correctos para las cargas de trabajo en la nube.

Deep Security for Hybrid Cloud de Trend Micro

Agregar políticas de seguridad elásticas para los servidores en la nube a medida que se implementan se encuentra entre los atributos clave de Deep Security for Hybrid Cloud de Trend Micro.

Si se detectan problemas de seguridad, la interfaz del panel de Deep Security proporciona información procesable para ayudar a remediar rápidamente.

Entre los diferenciadores clave de Deep Security está su integración con las amplias capacidades de defensa contra amenazas de Trend Micro, brindando un contexto adicional sobre las amenazas potenciales que las organizaciones deben considerar y defender.