Las organizaciones están migrando cada vez más a entornos de nube para aumentar la eficiencia y la flexibilidad en el procesamiento, almacenamiento y uso compartido de información. Sin embargo, esa eficiencia conlleva riesgos: los entornos de nube son cada vez más el objetivo de actores cibernéticos maliciosos, según la Agencia de Seguridad Nacional (NSA). Es por eso que la NSA publicó una lista de sus 10 principales estrategias de mitigación de la seguridad en la nube a principios de este año. Cada una de las 10 estrategias enlaza con un breve informe que describe las mejores prácticas sobre el tema. Las estrategias están destinadas a ayudar a las organizaciones a garantizar que sus entornos de nube estén configurados y monitorizados de forma segura para mitigar las amenazas específicas de la nube.
Las 10 principales estrategias de seguridad en la nube de la NSA
1. Defender el modelo de responsabilidad compartida en la nube
No asuma que su proveedor de servicios en la nube está haciendo todo el trabajo pesado en materia de ciberseguridad. Los proveedores de servicios en la nube operan según un modelo de responsabilidad compartida y la división de responsabilidades difiere mucho según el modelo de servicio: infraestructura como servicio (IaaS), plataforma como servicio (PaaS) o software como servicio (SaaS) .
Es esencial leer y comprender la documentación de su proveedor de servicios y las guías de mejores prácticas para asegurarse de responsabilizar a sus proveedores y cumplir con su parte de las responsabilidades de seguridad.
2. Utilice prácticas seguras de gestión de acceso e identidad en la nube
Las técnicas de phishing , las credenciales expuestas o la autenticación débil pueden permitir que los ciberatacantes entren por la puerta. Por eso son fundamentales políticas estrictas de identidad y acceso.
Sus políticas deben incluir autenticación multifactor, credenciales temporales administradas adecuadamente y separación de funciones. En general, debe otorgar a los usuarios el nivel más bajo de privilegios necesarios para su función. Asegúrese de que sus empleados comprendan los riesgos de una gestión inadecuada de identidades y accesos.
3. Utilice prácticas seguras de gestión de claves en la nube
Tenga en cuenta cómo su proveedor de servicios en la nube maneja la administración de claves. Algunos confían en el proveedor de la nube para el cifrado del lado del servidor totalmente delegado, mientras que otros utilizan un modelo de cifrado del lado del cliente.
Es importante que comprenda sus funciones y responsabilidades dentro de su acuerdo de proveedor, así como los riesgos y beneficios de cada opción.
4. Implementar segmentación y cifrado de redes en entornos de nube.
Proteja su red utilizando prácticas de seguridad Zero Trust , un modelo que utiliza verificación continua versus confianza implícita en cualquier entidad.
Las estrategias de Confianza Cero incluyen:
- Vincular información de identidad a todas las solicitudes de red
- Usar cifrado de extremo a extremo
- Implementando microsegmentación
La microsegmentación, en particular, es clave. Otorgue a los usuarios acceso únicamente a los recursos que necesitan para su función. De esa manera, incluso si ciberataques maliciosos obtienen acceso a su inquilino de la nube, su acceso será limitado.
5. Datos seguros en la nube
Proteja su organización de los riesgos de robo de datos y rescate mediante:
- Seleccionar el almacenamiento en la nube adecuado
- Prevención de la exposición a través de IP públicas
- Hacer cumplir el privilegio mínimo
- Usando control de versiones de objetos
- Crear copias de seguridad inmutables con planes de recuperación
- Habilitar el cifrado
- Revisar periódicamente las medidas de seguridad de los datos.
Además, considere habilitar la función de “eliminación temporal” para que los datos importantes no se eliminen de forma accidental o maliciosa.
6. Defender los entornos de integración continua/entrega continua (CI/CD)
Los procesos de desarrollo y operaciones de software, incluidos los entornos de integración continua/entrega continua (CI/CD), constituyen objetivos atractivos para ciberactores maliciosos que podrían introducir códigos maliciosos, robar secretos comerciales o perpetrar ataques de denegación de servicio.
Asegure su canal de CI/CD implementando prácticas sólidas de administración de identidad y acceso, garantizando que sus herramientas estén actualizadas, auditando sus registros, utilizando escaneo de seguridad y administrando adecuadamente los secretos.
7. Aplicar prácticas seguras de implementación automatizada a través de infraestructura como código (IaC)
Reduzca el riesgo de error humano durante la implementación de la infraestructura utilizando infraestructura como código (IaC) para automatizarla. Esto le permite ver rápidamente cualquier cambio no autorizado. Los proveedores de servicios en la nube ofrecen servicios IaC integrados, o puede utilizar herramientas comerciales o de código abierto.
Además, automatice el cumplimiento de su política de seguridad utilizando IaC en lugar de utilizar procesos manuales. Esto se conoce como política como código.
8. Tenga en cuenta las complejidades introducidas por la nube híbrida y los entornos de múltiples nubes.
Los entornos de nube híbrida y multinube pueden implicar situaciones complejas, incluidas brechas de habilidades entre usuarios en diferentes entornos y problemas de compatibilidad. Utilice herramientas independientes del proveedor para estandarizar sus operaciones en todos los entornos, agregar registros, brindar coherencia en el acceso de los usuarios y monitorear la seguridad en un solo lugar.
9. Mitigar los riesgos de los proveedores de servicios gestionados en entornos de nube
El uso de un proveedor de servicios gestionados (MSP) puede simplificar el soporte técnico y el mantenimiento, pero también puede proporcionar otra vía para la vulnerabilidad. Investigue los estándares y prácticas de seguridad de su posible MSP antes de seleccionar un proveedor para salvaguardar su entorno de nube.
Los servicios del MSP deben integrarse con sus propios sistemas de seguridad y respuesta a incidentes para garantizar una mitigación de riesgos oportuna y precisa.
10. Administre los registros en la nube para una búsqueda eficaz de amenazas
Dado que los sistemas en la nube implican que una gran cantidad de usuarios acceden a los datos, es esencial utilizar una plataforma con un registro exhaustivo para rastrear la actividad de los usuarios dentro de la nube. Estos registros son importantes tanto para mantener registros como para detectar cualquier actividad anormal dentro del sistema.
Los entornos de nube suelen incluir software de registro, pero las configuraciones de registro predeterminadas varían mucho de un programa a otro. Configure su seguimiento para detectar números inusuales de intentos de acceso, anomalías del sistema y patrones de red inusuales. Esto ayuda a garantizar la identificación y eliminación oportuna de amenazas potenciales.
Conclusión
A medida que más empresas adopten plataformas en la nube, inevitablemente surgirán más amenazas potenciales. Los sistemas no seguros o mal configurados son los objetivos más fáciles. Para mantener un entorno de nube seguro, se insta encarecidamente a las empresas a seguir estas 10 directrices.
Fuente: Blog de Barracuda (Becki Harrington-Davis)
Descubre más desde Revista Ciberseguridad
Suscríbete y recibe las últimas entradas en tu correo electrónico.
