Red Seguridad 86

red seguridad tercer trimestre 2019 39 Para utilizar las herramientas de seguridad de forma eficaz, los clientes también necesitan entender sus responsabilidades compartidas en la nube. cios para la gestión multinube o, si es necesario, para la migración. X Monitorización de la carga de trabajo: una variedad de diferen- tes herramientas de monitoriza- ción está disponible para el cliente a medida que asumen su papel en un modelo de responsabilidad compartida, como las soluciones de monitoreo y gestión de inventa- rio, servicios de control de aplica- ciones y de costes o las platafor- mas de protección de cargas de trabajo en la nube. X Defensas tradicionales: las herra- mientas de seguridad tradiciona- les siguen teniendo un papel que jugar, pero el diferente entorno de aplicación que supone la nube implica que deben implemen- tarse de una manera nueva, lo que puede requerir la creación de scripts o la automatización para mantener una visibilidad completa sobre una compleja serie de ele- mentos móviles. Conclusión El nuevo paisaje de la nube de micro- servicios distribuidos e infraestructura dinámica ha desplazado el énfasis de la prevención de intrusiones desde el perímetro exterior hacia la cargas de trabajo individuales. Esto requiere nue- vas herramientas de seguridad capa- ces de monitorizar entornos segmen- tados y el tráfico de red entre ellos. Al mismo tiempo, las cargas de tra- bajo de TI son cada vez más móviles, lo que permite elegir dónde alojar las apli- caciones en función del rendimiento, el coste y los requisitos de cumplimiento. Como resultado se necesitan herra- mientas con capacidades híbridas y multinube para garantizar una visibili- dad completa en todos los entornos. Pero para utilizar las herramientas de seguridad de forma eficaz, los clientes también necesitan entender sus res- ponsabilidades compartidas en la nube, ya que este conocimiento podría marcar la diferencia más importante entre un entorno informáti- co seguro y las consecuencias poten- cialmente devastadoras de un ataque malicioso. tan el cifrado del lado del servi- dor y del lado del cliente. En la encriptación del lado del servidor el proveedor cifra los datos de un cliente en su nombre después de recibirlos, mientras que en la encriptación del lado del cliente es este el que cifra sus datos antes de transferirlos a su servicio en la nube. Azure, GCP y AWS propor- cionan la capacidad de cifrar volú- menes de datos en los servidores, mientras que el uso de cifrado en tránsito requiere el diseño de la integración de certificados en servicios que utilizan protocolos seguros, como TLS o SSL. X Actualizaciones y parches regu- lares: como usuario de IaaS, el cliente asume toda la responsa- bilidad de mantener actualizado cada SO del host . Sin embargo, puede reducir su carga de segu- ridad utilizando uno o más de los servicios totalmente gestionados de su proveedor de la nube. Por ejemplo, podría aprovechar las opciones de database as a servi- ce para alojar sus bases de datos relacionales. Las empresas que utilizan hosts de servidores deben aprovechar la gestión de parches AWS cuando sea posible. X Herramientas DevOps: los prin- cipales proveedores de la nube ofrecen sus propios servicios inter- nos, como AWS CloudFormation, Azure ARM Templates y Google Cloud Deployment Manager. Si las aplicaciones se alojan en un entor- no híbrido, es importante buscar soluciones de código abierto y de terceros que funcionen tanto en la nube pública como en la infraes- tructura local. Además, el uso de cualquiera de estas tres herra- mientas probablemente implique bloqueo con el proveedor de la nube. No obstante, no son propi- sobrecarga de gestión y los posi- bles errores de configuración. X Microsegmentación: la reduc- ción del acoplamiento de apli- caciones mediante funciones individuales por microservicio proporciona beneficios adiciona- les. Con la microsegmentación, cada aplicación se convierte en un componente interdependiente. Las aplicaciones de microservicio encajan perfectamente en redes y contenedores segmentados. La utilización de ambos diseños ase- gura que el modelo pueda ser flexible con la carga y el cambio de entorno, como por ejemplo durante un aumento repentino o un desastre. Por último, la microsegmenta- ción reduce la exposición. Si un solo servicio está comprometido, un atacante tiene vectores muy limitados para invadir aún más la arquitectura total. Esto también permite una resolución más rápi- da, ya que los recursos solo se ven afectados de forma limitada por los ataques a otros recursos. X Cifrado de datos: los tres pro- veedores líderes de la nube sopor- cloud opinión