Los desafíos del cumplimiento multinube

Las organizaciones que utilizan nubes públicas como Amazon Web Services (AWS), Microsoft Azure y Google Cloud Platform (GCP) son conscientes de que cada plataforma funciona a su manera, y de que esas diferencias presentan desafíos a la hora de protegerlas. En un episodio reciente de la serie de seminarios web Cloud Security Coffee Break (Receso de seguridad en la nube) de Tenable, hablamos de esos desafíos y de cómo Tenable Cloud Security puede ayudar. Vea los puntos más destacados de nuestro debate.

Las herramientas de automatización e Infrastructure as Code (IaC), como Terraform, ayudaron a grandes y pequeñas empresas a cambiar su forma de implementar y gestionar sistemas en nubes públicas; sin embargo, también generaron una proliferación de nubes y configuraciones erróneas que dieron lugar a problemas de seguridad. Los distintos equipos y cargas de trabajo pueden dispersarse, lo cual dificulta conocer los problemas de seguridad y repararlos antes de que se conviertan en catástrofes de seguridad.

El problema se agrava al adoptar multinubes, la creciente práctica de las organizaciones de optar por utilizar dos o más plataformas de nube pública para evitar apostar todo a una sola carta. Aunque esta diversificación tiene sus ventajas, también implica un reto en cuanto a seguridad, ya que cada plataforma funciona de forma ligeramente distinta. Por lo general, los expertos deben gestionar cada una de ellas por separado para protegerlas.

En la medida en que la infraestructura en la nube crece y se dispersa, esto no se adapta bien a escala y no resulta práctico. Durante un episodio reciente de la serie de seminarios web Cloud Security Coffee Break (Receso de seguridad en la nube) de Tenable, conversamos con Phillip Hayes, Senior Manager de Seguridad de la Información de Tenable, y Alex Feigenson, Senior Manager de Ingeniería de Seguridad de Tenable, sobre algunos de estos desafíos y cómo se logra el cumplimiento multinube. 

Automatización: lo bueno viene acompañado de lo malo

Terraform, AWS CloudFormation, Dockerfiles, Helm charts y otras herramientas de IaC facilitan y agilizan la automatización del aprovisionamiento de sistemas, así como la creación de instancias que no cumplen las políticas de seguridad de la empresa.

"Hay un montón de herramientas de automatización excelentes, y se puede elegir entre cualquiera, como Terraform y AWS CloudFormation, pero, en realidad, no hay valores predeterminados razonables para muchas de ellas", comentó Feigenson. 

Tan solo unas líneas de código de Terraform pueden poner en marcha una, cientos o miles de instancias en AWS o Azure en cuestión de minutos. Puede que algunas de las configuraciones predeterminadas que usted utilice sean seguras, pero es igual de probable que encuentre docenas de ellas que no lo sean.

"A lo mejor toma un código de ejemplo de Terraform de la web y piensa: '¡Vaya! Acabo de instalar máquinas en AWS. ¡Qué fácil es!', explicó Feigenson. "Y de un momento a otro, recibe una llamada del equipo de seguridad".

Descubrir errores de configuración en el entorno de la nube que exponen a su organización a riesgos de seguridad ya es un problema de por sí, pero averiguar a qué se deben y cómo repararlos es un desafío aún mayor. "Cuando esto se multiplica por el uso de varias nubes, la situación empeora considerablemente", afirmó Feigenson.

Para Hayes, evitar este tipo de situaciones forma parte de su trabajo diario como responsable de seguridad de la información. Es un problema cada vez más difícil de resolver, sobre todo en los últimos 10 años.

"Es fantástico que hoy en día se pueda hacer ese tipo de automatización a un costo tan bajo y a gran velocidad", comentó Hayes. "Pero puede que, sin darse cuenta, esté implementando elementos que no son seguros, o puede que AWS haya lanzado una nueva funcionalidad de la que usted no tenía ni idea y, de repente, algo que hace 72 horas era seguro, hoy ya no lo sea".

Proteger varias nubes suele implicar el uso de varias herramientas

Los proveedores de nubes públicas se percataron de este problema y desarrollaron herramientas para ayudar a sus clientes a proteger sus entornos y las cargas de trabajo que se ejecutan en ellos. No obstante, en la medida en que aumenta la escala de todo, los equipos de seguridad que utilizan varias nubes tienen que depender de herramientas diferentes (que suelen proporcionar los proveedores de cada nube) para cada plataforma. 

Por eficiencia, Hayes y su equipo no tardaron mucho en encontrar la herramienta que se ajustaba a sus necesidades. Adoptaron Tenable Cloud Security, anteriormente Tenable.cs, y proporcionaron retroalimentación de los usuarios a los ingenieros de Tenable Cloud Security acerca de cómo satisfacer sus necesidades. Tenable Cloud Security utiliza API en la nube para recopilar datos de diferentes plataformas en la nube, agrupar los datos, escanearlos para detectar problemas de seguridad y unificar los resultados. Esto proporciona una visión comparativa de los recursos de la nube y de todos los errores de configuración de seguridad que les afectan.

"Hay muchas nubes circulando por ahí", afirmó Hayes. "La agrupación y la centralización se convierten rápidamente en una necesidad".

Tenable Cloud Security proporciona una sola interfaz para varias nubes

Tenable Cloud Security ofrece una visión unificada en AWS, Azure y GCP para que los equipos de seguridad puedan ver todo lo que ejecutan en nubes públicas, identificar los problemas más críticos y llevar a cabo el proceso de corrección mediante tickets de Jira y pull requests en Git integrados.

Los equipos de seguridad también pueden aprovechar las más de 1500 políticas incorporadas que respaldan el cumplimiento de diversos marcos de seguridad, incluyendo los del Centro de Seguridad de Internet (CIS), el Instituto Nacional de Normas y Tecnología (NIST) y los informes de control de organización de servicio (SOC-2), así como normativas como el Reglamento General de Protección de Datos (RGPD) y la Ley de Portabilidad y Responsabilidad de Seguros Médicos de Estados Unidos (HIPAA). Los filtros muestran rápidamente los recursos en la nube que cumplen las normas, o no.

"Esto nos ayuda a diario", aseguró Hayes. "Ya sea que estemos clasificando un incidente o que alguien tenga un problema con un recurso, o tenga demasiado acceso, o no sepa dónde reside algo, es aquí cuando la agrupación entra inmediatamente en juego. Es sumamente eficiente para nuestras necesidades en comparación con las herramientas individuales en la nube". 

Tenable Cloud Security también acelera y facilita la elaboración de informes de auditoría de seguridad. Los informes incorporados permiten ofrecer resúmenes detallados a los equipos de gobierno y cumplimiento.

"Ahorra mucho tiempo, porque no tenemos que crear herramientas para realizar todas estas verificaciones e indicar dónde cumplimos y dónde no", explicó Hayes. "Es un aspecto continuo de nuestro trabajo al que tenemos que estar respondiendo constantemente, y una herramienta como esta ayuda a optimizarlo".

Puede encontrar más información acerca de CSPM y Tenable Cloud Security aquí.