Cinco principios fundamentales para la seguridad de la nube híbrida 

Cómo crear una estrategia de seguridad para la nube híbrida que sea efectiva, escalable y accesible.

La dispersión en la nube se ha vuelto en una realidad para la mayoría de las organizaciones. A medida que las organizaciones cambian las cargas de trabajo de los centros de datos locales a varias plataformas de nube pública, los límites de su perímetro de defensa tradicional se desdibujan y se disuelven, creando una expansión de la nube y desafíos de seguridad escabrosos. 

Para proteger este nuevo entorno de nube híbrida sin fronteras, debe mover los controles de seguridad a donde se necesiten, aplicarlos con nuevas herramientas y basarlos en cinco principios fundamentales: gestión de acceso unificado, automatización, aceleración de la detección (shift left), seguridad de datos y Zero Trust.

En esta publicación de blog, vamos a resumir y explicar cómo puede adoptar estos cinco principios, que cubrimos en el webinar: Cinco cosas fundamentales para la seguridad en la nube híbrida.

Principio 1: Cree una estrategia de gestión de acceso unificada

En la computación en nube, el perímetro tradicional se mueve fuera del centro de datos de la empresa, por lo que la identidad reemplaza a las redes como el límite de confianza principal. Para ello, una estrategia unificada de gestión de acceso e identidad (IAM) es esencial para proteger a la nube. Para lograr esto, debe:

• Adoptar una estrategia de identidad unificada para garantizar que las identidades en la nube no existan en directorios o sistemas de autenticación separados.
• Aplicar la autenticación multifactor (MFA) para todos los accesos o, como mínimo, utilizar MFA para cuentas con privilegios.
• Utilizar herramientas automatizadas para monitorear las cuentas en la nube y detectar accesos inusuales y aplicar privilegios mínimos.

Es fundamental asegurar que su sistema central de IAM rastree sus cuentas en la nube y utilizar herramientas automatizadas que escaneen constantemente el acceso no autorizado a las cuentas en la nube. La autenticación básica es insuficiente para las cuentas de usuario accesibles externamente, por lo que debe insistir en MFA para todos los accesos a la nube pública. Utilice MFA para cuentas con privilegios como mínimo.

Principio 2: Automatice la configuración y la validación a lo largo de todas las nubes

“La abrumadora mayoría de los incidentes de seguridad en la nube provienen de errores de los clientes, mucho más que de agentes maliciosos”.

En mis muchos años de experiencia como analista y asesor de empresas, he descubierto que la abrumadora mayoría de los incidentes de seguridad en la nube provienen de configuraciones incorrectas o errores de los clientes, mucho más que de agentes maliciosos. En el mundo de la nube, tener la configuración correcta de la nube es tan importante como escribir código seguro. Las recomendaciones principales para reducir las configuraciones erróneas incluyen:

• Utilizar CSPM como mínimo para garantizar configuraciones seguras en todos los entornos.
• Utilizar una plataforma de seguridad unificada para recopilar datos en todos los entornos, como la plataforma de gestión de exposición Tenable One.

La automatización de la seguridad en la nube se ha convertido en una parte cada vez más importante de las estrategias de seguridad modernas. Permite a las organizaciones reducir el esfuerzo manual necesario para gestionar sus entornos en la nube, al mismo tiempo que mejora su postura de seguridad y capacidad de escalabilidad.

Es por eso que hemos observado la adopción y evolución continua de herramientas automatizadas de Gestión de postura de seguridad en la nube (CSPM) como Tenable Cloud Security. Las soluciones de CSPM no solo tienen que ver con la validación de configuraciones de tiempo de ejecución en la nube, sino que han evolucionado para ser utilizadas para escanear repositorios de código IaC y buscar desafíos de gestión de identidad y acceso, como cuentas y roles con privilegios excesivos.

Principio 3: Adopte DevSecOps y acelere la detección (shift left) en los controles 

“La seguridad en la nube no debe ser algo separado, con sus propias herramientas y procesos. Los equipos deben unificarse bajo una única estrategia y utilizar herramientas que les permitan hablar el mismo idioma entre ellos”.

Los equipos de seguridad y los desarrolladores no hablan el mismo idioma. Cuando los desarrolladores piensan en la seguridad en la nube, piensan en controles técnicos, productos de código abierto como Terraform de Hashicorp y características geniales que pueden permitir que sus aplicaciones nativas en la nube se ejecuten en contenedores o Kubernetes. Cuando los equipos de seguridad piensan en los controles, quieren saber sobre el riesgo, tanto cualitativo como cuantitativo. Quieren saber qué controles existen, cómo se monitorean y cómo se pueden validar. 

Por estas razones, no es una buena práctica permitir que los equipos de la nube diseñen los controles de seguridad. Debe ser de responsabilidad de los equipos de seguridad adoptar las prácticas de DevSecOps y garantizar que los controles se implementen lo más temprano posible en el proceso de desarrollo. La seguridad en la nube no debe ser algo separado, con sus propias herramientas y procesos. Los equipos deben unificarse bajo una única estrategia y utilizar herramientas que les permitan hablar el mismo idioma entre ellos. Para acelerar la detección (shift left) usted necesitará:

• Escanear su infraestructura para detectar configuraciones erróneas en el pipeline de desarrollo mediante herramientas de seguridad de Infrastructure as Code (IaC), como Terrascan.
• Estandarizar sus imágenes base y escanearlas en un entorno de desarrollo aislado.
• Acelerar la detección (shift left) de sus controles para que pueda escalar a varias nubes abstrayendo los controles y aplicándolos antes de implementarlos en plataformas de nube pública.

También cabe resaltar la consolidación de herramientas

Es importante utilizar el menor número posible de herramientas para proporcionar una medida precisa de la exposición al riesgo y normalizar los factores de riesgo en múltiples entornos locales y de nube pública. Ha habido una proliferación de nuevos proveedores en el mercado cuando se trata de nube pública, llenando las brechas de control utilizando técnicas innovadoras, mientras que los principales actores han adoptado un enfoque más mesurado. Afortunadamente, ese ya no es el caso. Las soluciones como Tenable One pueden proteger las cargas de trabajo tanto locales como en la nube pública, para ofrecerle una plataforma de seguridad de nube híbrida coherente.

Principio 4: Fortalezca la seguridad de los datos

Las organizaciones deben proteger los datos en la nube cifrando todos los datos en reposo. Como mínimo, usted debe configurar el sistema de gestión de claves nativas de proveedor de servicios en la nube (CSP) para usar una clave maestra controlada por el cliente. Idealmente, usted debe emitir sus propias claves de cifrado maestras y mantenerlas en las instalaciones en un módulo de seguridad de hardware (HSM) o usando un HSM virtual en un entorno de nube pública.

Las mejores prácticas clave para la seguridad de los datos en la nube pública incluyen:

• Cifrar todos los datos en reposo, pero controlar las claves de cifrado.
• Integrar con los sistemas de gestión de claves de los proveedores de la nube.
• Idealmente, usar su propio HSM y mantener las claves localmente o en una plataforma alternativa en la nube.

Principio 5: Use Zero Trust para unificar estrategias

Zero Trust es un término sobreutilizado, pero para nuestros propósitos significa confianza implícita cero y visibilidad completa de todo el comportamiento de usuario-entidad después de la autenticación y a lo largo del ciclo de vida de cada sesión. Este es un requisito clave para la nube, pero el principio de Zero Trust también debe introducirse en los entornos de nube privada.

Para obtener todas las ventajas de Zero Trust se debe:

• Adoptar principios de Zero Trust en entornos de nube pública y privada siempre que sea posible.
• Eliminar gradualmente las redes de confianza y la idea de “confianza implícita”.
• Los principios de Zero Trust y de "nativo en la nube" pueden ser una fuerza impulsora para la transformación de la seguridad, lo que hace que sus aplicaciones sean más seguras en entornos de nube híbrida.

Conclusión

La seguridad en la nube híbrida exitosa requiere un abordaje unificado. La TI bimodal ha dejado una deuda técnica y puntos ciegos de seguridad en las cargas de trabajo de la nube pública. Los líderes de seguridad deben tratar de eliminar los problemas de seguridad antes de implementarlos en una infraestructura compartida mediante la aplicación de estándares robustos en todo el proceso de desarrollo y en entornos de nube pública y privada.

En la medida en que continuemos adoptando la nube pública, es esencial que evolucionemos nuestra estrategia de seguridad para utilizar las mejores técnicas de operaciones de seguridad probadas y comprobadas y combinarlas con las mejores prácticas de seguridad de las tecnologías en la nube. También es importante consolidar las herramientas tradicionalmente aisladas que generan demasiados controles, haciendo que sea más lento y dejando brechas de control resultantes de la falta de cobertura unificada en la nube.

Interactuar con los equipos de tecnología puede ser un desafío, pero los líderes de seguridad deben adoptar la transición a los principios de Zero Trust y "nativo en la nube". Al utilizar estos cinco principios clave como base, puede garantizar que sus aplicaciones en la nube híbrida sean más seguras y fáciles de gestionar que las de su centro de datos local.

Si busca más información sobre los cinco principios clave recomendados anteriormente, vea el seminario web bajo demanda: Cinco cosas fundamentales para la seguridad en la nube híbrida. También puede obtener más información sobre Tenable Cloud Security y registrarse ahora para su prueba gratuita hoy mismo.

(El autor invitado, Tom Croll, de Lionfish Tech Advisors, es consultor de Tenable).