Seguridad en la nube de AWS, Azure y GCP

La unificación de la visibilidad a lo largo de todos los entornos de nube y la detección temprana de errores de configuración en la gestión de identidades y acceso (IAM) facilitan la gestión del riesgo en la nube y el cumplimiento sin tener que alternar entre herramientas desconectadas.

En esta página, se desglosan los modelos de seguridad de los tres CSP principales y se destaca dónde sus equipos pueden necesitar contexto, visibilidad o herramientas adicionales para proteger cada modelo.

Tanto si trabaja en una nube como si gestiona entornos de multinube, saber dónde terminan los controles nativos y dónde empieza el modelo de responsabilidad compartida en la nube es esencial para evitar errores de configuración y exposiciones de identidades.

Amazon Web Services (AWS) opera a partir de un modelo de responsabilidad compartida. AWS protege la infraestructura, pero usted es responsable de sus configuraciones, controles de acceso y protección de datos.

AWS ofrece herramientas nativas para la detección de amenazas, IAM para la gestión de acceso y visibilidad centralizada. Aun así, las configuraciones erróneas en la nube, como los buckets S3 públicos y los roles comodín de IAM, siguen siendo riesgos comunes.

Una plataforma de seguridad en la nube como Tenable mejora la seguridad de AWS, ya que se integra con API nativas para descubrir exposiciones de identidades y errores de configuración de activos. Correlaciona las claves de acceso inactivas con puntos de conexión públicos para sacar a la luz los activos que causan exposición (EIA) y señala las rutas de alto riesgo entre los servicios informáticos y de datos.

El modelo de responsabilidad compartida de Microsoft Azure pone la configuración y la seguridad de identidades en sus manos.

Sin embargo, los roles de control de acceso basado en roles (RBAC) demasiado generales, los puntos de conexión expuestos y los recursos no monitoreados siguen generando riesgos.

Las herramientas de Azure a menudo carecen de correlación multisuscripción y de contexto entre identidades y cargas de trabajo.

Tenable cierra esas brechas, ya que analiza los datos de CIEM para detectar errores de configuración de identidad a lo largo de Entra ID.

Por ejemplo, un servicio principal mal configurado con permisos innecesarios de almacenamiento confidencial que se identifica como parte de una combinación tóxica puede ayudarle a priorizar amenazas reales.

La plataforma se integra con Azure Policy para aplicar puntos de referencia de configuración y optimizar la corrección mediante Policy as Code.

El modelo de responsabilidad compartida de Google Cloud le confía los controles de identidad, recursos y datos. Security Command Center, los Controles de Servicio de VPC e IAM son sus primeras líneas de defensa.

Aun así, las cuentas de servicio predeterminadas, los enlaces de IAM con permisos excesivos y el registro deshabilitado son culpables frecuentes de incidentes de seguridad en la nube.

La jerarquía de recursos de GCP (proyectos, carpetas, organizaciones) agrega complejidad a la protección de la carga de trabajo en la nube.

Tenable se integra con las API de GCP para conectar el riesgo de identidad con la exposición de la carga de trabajo.

Por ejemplo, señala las cuentas de servicio inactivas con mayores privilegios vinculadas a funciones públicas. Facilita la correlación de identidad y datos, la cual es fundamental para evitar la escalación de privilegios y el movimiento lateral.

La plataforma también es compatible con la aplicación de políticas a través de Google Cloud Policy Intelligence y alinea los hallazgos con marcos como CIS Benchmarks.

Aunque AWS, Azure y GCP admiten IAM, registros, cifrados y monitoreo, los detalles de implementación difieren en gran medida:

• AWS utiliza políticas y relaciones de confianza.
  • Azure se basa en roles de RBAC y Entra ID.
  • GCP utiliza cuentas de servicio y roles a nivel de proyecto.
• Las configuraciones de registro, cifrado y firewall varían mucho.
  • Un proveedor puede tener acceso permisivo de manera predeterminada a menos que se restrinja manualmente.
• Las herramientas nativas ofrecen distintos niveles de contexto.
  • Azure Defender se integra mejor con Microsoft 365.
  • GCP hace hincapié en el aislamiento de proyectos.

Por ello, es fundamental contar con una estrategia de visibilidad multinube. Si confía únicamente en herramientas nativas, tendrá puntos ciegos y desconexiones entre identidades, cargas de trabajo y riesgo de datos.

Los proveedores de servicios en la nube ofrecen herramientas incorporadas, pero a menudo se encuentran aisladas en silos por el servicio o la cuenta.

Una plataforma de protección de aplicaciones nativas en la nube (CNAPP), como Tenable, combina esa información nativa con contexto de identidad, carga de trabajo y datos, para que pueda ver la imagen completa, no solo partes de ella.

Mientras que las herramientas nativas ofrecen soluciones puntuales, las CNAPP lo reúnen todo, para que su equipo pueda priorizar los elementos riesgosos en lugar de los mal configurados.

• Incorpore una solución CNAPP como Tenable Cloud Security para unificar la identidad, los errores de configuración y el riesgo de datos a lo largo de todos los proveedores.
• Priorice los errores de configuración que expongan activos confidenciales, no solo los incumplimientos de las prácticas recomendadas.
• Aplique abordajes de Policy as Code y aceleración de la detección (shift left) para detectar problemas en una fase temprana de su pipeline.

Para obtener más información sobre la detección de amenazas específicas de la nube, la corrección y la integración de políticas, visite el centro de Tenable Cloud Security.