Red Seguridad 86

38 red seguridad tercer trimestre 2019 cloud opinión L a adopción de la nube ofrece muchas ventajas a los departamentos de TI empresariales, pero también presenta nuevos retos de seguridad. Cuando una empresa pone su TI en manos de un tercero, le cede parte de sus responsabilidades de seguridad a su proveedor de la nube, lo que puede dar lugar a conceptos erró- neos sobre el papel que desempeñan los usuarios de la nube pública en la seguridad de sus aplicaciones. En consecuencia, los proveedores de la nube utilizan un modelo de respon- sabilidad compartida para aclarar las obligaciones de seguridad de cada parte. Los proveedores de la nube hacen todo lo posible para garantizar que proporcionan una plataforma segu- ra para que los clientes desarrollen y alojen sus aplicaciones, pero los clientes siguen teniendo la obligación de asegurar sus propias implementa- ciones en la plataforma elegida. Un modelo de responsabilidad de seguri- dad compartida es un marco utilizado por los proveedores de la nube para ayudar a los clientes a comprender sus obligaciones al utilizar sus servi- cios. Algunos controles son respon- sabilidad exclusiva del proveedor de la nube, mientras que otros son com- pleta responsabilidad del cliente. La responsabilidad de muchos controles depende del tipo de servicio de nube (IaaS, PaaS o SaaS) que utilice el cliente. Así, a mayor control delegado en el cliente, mayor grado de respon- sabilidad sobre la seguridad. Tanto AWS como Microsoft Azure y Google Cloud proporcionan algún modelo de responsabilidad comparti- da en el que el cliente es responsable de la protección de sus cargas de trabajo. Según Gartner, "las cargas de tra- bajo de los servidores en centros de datos híbridos que abarcan nubes privadas y públicas requieren una estrategia de protección diferente a la de los dispositivos orientados al usuario final". Esto se debe a la natu- raleza flexible de las aplicaciones en la nube y a la incompatibilidad de los agentes de ejecución diseñados para servidores locales. Los controles de protección de la carga de trabajo en la nube reco- mendados por Gartner no se propor- cionan en los modelos de seguridad compartida de AWS, Azure o Google Cloud Platform. El diseño real de la aplicación de los controles centrales de protección de la carga de trabajo es responsabilidad de la empresa. Estrategias de seguridad X Aislamiento de recursos: la seguridad se optimiza cuando se diseña en profundidad. Separar los recursos en secciones indi- vidualmente comprobables y asegurables ayuda a reducir los vectores de ataque y las vulnera- bilidades. X Aislamiento de redes y aplica- ciones: la segmentación de apli- caciones en la capa de red es una práctica de seguridad, ya que la utilización de listas de control de acceso a la red y los grupos de seguridad permiten un control granular de activos y reducen la superficie de ataque. Sin embar- go, los flujos de datos entre com- ponentes siempre deben grabarse y analizarse para detectar activi- dades sospechosas, incluidas las conexiones no autorizadas entre aplicaciones, como los ataques man-in-the-middle o las anoma- lías de red (ataques de denega- ción de servicio, virus, explotación de vulnerabilidades), que podrían ser indicadores de una brecha. X Seguridad de contenedores: los contenedores proporcionan vir- tualización y aislamiento a nivel de servicio. Reducen aún más los vectores de ataque al expo- ner solo el servicio requerido. Los orquestadores como Kubernetes, Mesos o Docker Swarm propor- cionan los medios para aislar todavía más las cargas de trabajo a través de permisos. También permiten una alta disponibilidad a través de la programación y distri- buyen eficazmente la carga entre los masters . Además posibilitan un control más preciso en los tipos de carga de trabajo entre los servicios de contenedores. Hay ofertas nativas en nube que coinciden con el código abierto de Kubernetes, tal como Amazon Elastic Container Service, Amazon EKS, Azure Container Service o Google Kubernetes Engine. Las ofertas de nube nativa aprove- chan el mismo modelo de código abierto de Kubernetes, pero abs- traen algunos (ECS, EKS, AKS) a casi todos (AWS Fargate, Azure Container Instances) de la gestión de la infraestructura. La elección de estos modelos requiere un cierto bloqueo del proveedor de la nube, pero a cambio reduce la Avishag Daniely Directora de gestión de producto en GuardiCore Estrategias de seguridad en la nube