Protección, control y visibilidad en entornos virtualizados
CLOUD SECURITY
¿Qué entendemos por Cloud Security?
Cloud Security es el conjunto de políticas, tecnologías, y soluciones empleados para proteger, controlar y ganar visibilidad en los entornos virtualizados de las organizaciones; Los datos, aplicaciones, servicios e infraestructura que tienen desplegadas en cloud públicas, privadas o arquitecturas hibridas.
En el camino a la transformación digital muchas organizaciones han visto un la cloud la senda a seguir y han ido llevando en mayor o menor medida parte de su computo e infraestructura a la cloud. El auge de este viaje nos ha llevado a plantearnos la seguridad en estos entornos cloud, y con ellos a la necesidad de aplicar capas de seguridad extra sobre los entornos cloud.
En la seguridad cloud lo primero que hay que tener en cuenta es el principio de responsabilidad compartida y por tanto saber en cada momento quien es el responsable de dotar de la seguridad adecuada en cada momento y a cada elemento.
Modelo de responsabilidad compartida
En general, el proveedor de los servicios en Cloud se responsabiliza de la infraestructura, incluyendo el acceso y la disponibilidad de los servicios ofertados (con SLAs) y el cliente se responsabiliza del acceso a los datos, gestión de contraseñas, configuraciones específicas de sus aplicaciones, etc.
Típicamente se trata de entornos como los que podrían tratarse en entornos más tradicionales pero mucho más dinámicos, abiertos y de partida con menos control, pero están sometidos a amenazas, vulnerabilidades y ciber-delincuentes, exactamente igual que el resto de entornos, por tanto no cambia el enfoque en sí de la seguridad en torno a la prevención, la detección y la resolución, pero por su peculiaridades de dinamismo, apertura y de base menos control, los riesgos e impactos pueden verse amplificados.
En seguridad cloud trataremos siempre con tecnologías en modo SW, y los modelos de suscripción y SaaS son su referencia en el go-to-market y comercialización.
¿Cuáles son los posibles elementos que adoptar en términos de Cloud Security?
Los entornos cloud son entornos muy dinámicos, en constante evolución y que requieren por tanto adopciones de seguridad acorde a estas circunstancias, los controles de seguridad deben orientarse a proteger los datos, velar el cumplimiento normativo, garantizar la privacidad, autenticación de usuarios y dispositivos, por supuesto filtrar el tráfico…. El ritmo frenético de los entornos en cloud, ha hecho que desde los desarrollos (DevOps) hasta la seguridad se orienten a soluciones y enfoques lo más “cloud-native“ posibles.
La seguridad en cloud ofrece diversas ventajas, acorde con las ventajas que ofrece en llevar a la cloud servicios, como la centralización, la deslocalización, reducción de costes y tareas, fiabilidad, disponibilidad… el objetivo es ser “cloud-native security” y dar visibilidad, automatización, prevención, detección y respuesta a cualquier entorno cloud. Para ello nos encontramos con las siguientes adopciones:
Pretenden ofrecer visibilidad de los datos, el contexto y el comportamiento de los usuarios en todos los servicios de nube, protegiendo la información confidencial donde quiera que se transmita (dentro o fuera de la nube), corrigiendo en tiempo real servicios en nube, infracciones de políticas o amenazas.
Permitiendo y bloqueando tráficos de red entre los mundos, trusted y untrusted. Cualquier nube, autoaprovisionamiento y escalabilidad automática, Gestión unificada de todos los entornos (cloud u on-premise).
Piezas fundamentales en la adopción de una estrategia de seguridad “cloud-native” para los entornos de cloud de las organizaciones (así lo afirma Garnert), estas soluciones permiten evaluar la seguridad y el cumplimiento normativo de los entornos IaaS, PaaS y SaaS.
La implementación de este tipo de soluciones pretenden proporcionar acceso seguro a servicios, aplicaciones y sistemas con independencia de la ubicaciones del recurso que se quiere acceder y desde donde se pretenda acceder, con un modelo Zero-Trust para usuarios y dispositivos. El concepto SDP fue desarrollado por la Cloud Security Alliance (CSA) para controlar el acceso a los recursos en función de la identidad, se basa en un modelo de necesidad de conocer y verificar la identidad y la postura de seguridad antes de facilitar el acceso a infraestructuras, servicios, aplicaciones….
Es un enfoque Zero-Trust Network Access (ZTNA). La superficie de ataque se reduce a través de la segmentación de red por aplicación y el directo a aplicaciones autorizadas.
Arquitectura que permite a las organizaciones modernizar sus redes WAN tradicionales y cubrir los nuevos requerimientos de la evolución digital. Con las soluciones de SD-WAN las organizaciones obtienen capacidades de red de alto rendimiento compatibles con las iniciativas de transformación digital aunando flexibilidad, eficiencia y seguridad para simplificar las operaciones y mejorar la agilidad de las organizaciones.
La evolución de los desarrollos en cloud está orientada a los container o contenedores que ofrecen rapidez, eficacia y escalabilidad, separan bien el desarrollo, de la operación y administración, pero es fundamental poder ofrecer seguridad en todo este entorno. Para ellos existen ya soluciones que permiten ver y analizar el comportamiento de las comunicaciones de red entre procesos de contenedor a pesar de su dinamismo y cambio constante, analizar el código embebido en los contenedores en el momento de su creación y periódicamente para evaluar posibles riesgos, así como poder analizar la seguridad de la configuración de los containers.
Servicio en la nube para la protección de las aplicaciones de las organizaciones, muy escalable y con un gran grado de personalización y flexibilidad para crear de las políticas de seguridad. Son servicios que ofrecen una gran disponibilidad (hasta cinco 9) y despliegues rápidos y poco intrusivos, que no implican cambios en la infraestructura existente de las organizaciones.
Servicio en nube para la protección frente a ataques de Denegación de Servicio que ofrecen un enfoque múltiples capacidades de mitigación previniendo de interrupciones causadas por el mal tráfico, pero permitiendo el tráfico legítimo, y manteniendo web y aplicaciones disponibles y operativas. Ofrecen Mitigación automatizada y rápida con una gran disponibilidad (hasta cinco 9), y despliegues rápidos y poco intrusivos, que no implican cambios en la infraestructura existente de las organizaciones.
Servicio en la nube para el filtrado y control de la navegación web de los usuarios de las organizaciones. Son servicios que ofrecen una gran disponibilidad (hasta cinco 9) y despliegues rápidos y poco intrusivos, y adaptados a la movilidad de los usuarios.
Servicio en la nube para el filtrado y control del correo electrónico de las organizaciones. Son servicios que ofrecen una gran disponibilidad (hasta cinco 9) y despliegues rápidos y poco intrusivos, y adaptados a la movilidad de los usuarios