Red Seguridad 095

46 red seguridad cuarto trimestre 2021 cloud monográfico Para las organizaciones que buscan priorizar la transformación digital, todos los caminos conducen a la adopción de la nube. Y aunque los proveedores de servicios cloud (CSP) suelen hacer un buen trabajo a la hora de asegurar la in- fraestructura de los servicios en la nube que ofrecen, los usuarios deben enten- der que podrían efectuar o pasar por alto configuraciones erróneas poten- cialmente perjudiciales para sus organi- zaciones. Las configuraciones erróneas aparentemente sencillas, por desgracia, no son una rareza y podrían dar lugar a sucesos devastadores como brechas de datos o ataques de ransomware . Es importante entender que la nube no es una solución de seguridad llave en mano. Por ello, es urgente que las organizaciones conozcan el importan- te papel que deben desempeñar para mantener seguros sus entornos cloud . Recomendaciones He aquí algunas recomendaciones de seguridad para mantener a raya las con- figuraciones erróneas y las amenazas: 1. Conceder acceso con mínimos privi- legios. En lo que respecta al acceso, los usuarios deben tener solo el acce- so o permisos necesarios para operar. Esto se conoce como el principio del mínimo privilegio. Los privilegios de administrador o root deben conceder- se solo a quienes los necesiten. Si un usuario con acceso de administrador se ve comprometido, un actor malicio- so podría comprometer toda la red. Li- mitando el número de personas con privilegios de administrador y root , el riesgo de compromiso es menor. 2. Adhesión al modelo de responsabi- lidad compartida. El modelo de res- ponsabilidad compartida consiste en la delegación de responsabilidades entre el CSP y el usuario. Cuando los usuarios comprenden las tareas ope- rativas de las que son responsables, el riesgo de que se produzcan erro- res de configuración disminuye. Por ejemplo, algunas máquinas virtuales o instancias tienen servicios de des- pliegue preconfigurados proporcio- nados por los CSP. Una vez que los usuarios los utilizan, deben entender que son responsables de la supervi- sión, el mantenimiento y la aplicación de parches. 3. Educar y formar. Es fundamental que administradores y usuarios compren- dan sus responsabilidades en materia de seguridad. Desde la identificación de las prácticas inseguras hasta la no- tificación inmediata de los problemas de seguridad, todo el mundo debe ser educado y formado sobre las amena- zas que representan una configura- ción errónea. 4. Crear y aplicar políticas, normas y procedimientos de seguridad. Deben definirse y aplicarse políticas, normas y procedimientos de seguridad efi- caces y detallados para minimizar el riesgo de errores de configuración. Asimismo, deben crearse y aplicarse estrictamente políticas relativas al uso de componentes de código abierto, acceso remoto, creación y gestión de contraseñas, cifrado y descifrado, y gestión de bases de datos. CloudOne-Conformity En base a lo expuesto, la tecnología CloudOne-Conformity tiene como mi- sión ofrecer seguridad, cumplimiento normativo y gobernanza continuas para plataformas Software as a Service (SaaS). Todo esto desde una plataforma SaaS diseñada para ayudar a las or- ganizaciones a gestionar las configu- raciones incorrectas de sus recursos cloud en entornos multicloud , ayudan- do a los creadores de servicios cloud a tener la confianza de que su infraes- tructura está configurada correcta- mente y es compatible para crecer y escalar su negocio. ¿Cómo prevenir los errores de configuración en la nube? J osé de la C ruz Director técnico de Trend Micro Iberia