Las tecnologías en la nube ofrecen a las organizaciones en cada sector ventajas en cuanto a costo y eficiencia, pero aún persisten varios mitos acerca de la seguridad de los datos.
La necesidad de reducir costes y aprovechar las nuevas características y capacidades son fuertes impulsores para la migración de soluciones locales a la nube.
La tendencia actual de adopción de la nube sugiere que muchas empresas están aplicando un enfoque equilibrado de actividad on cloud apostando por una estrategia híbrida de público y privado.
A medida que continúa la migración a la nube y las organizaciones se benefician de la agilidad que brindan las soluciones en este espacio, se han generado varios aspectos negativos en gran parte por la inexperiencia trabajando con soluciones cloud.
Mito n.º 1: la nube no es segura
Cuando se utiliza de manera adecuada, la nube es tan segura como un centro de datos típico.
La nube en sí no es intrínsecamente insegura.
Cuando se descubren evidencias de seguridad, en la mayoría de los casos, son debidas a una configuración de nube incorrecta o código de cliente vulnerable pero no a fallos de seguridad en la propia nube, en el software o la infraestructura del proveedor.
Las grandes organizaciones parecen tener menos confianza sobre la seguridad de sus datos en la nube pública en comparación con las pymes. Esta incertidumbre es alimentada por la creencia de que existe una gran complejidad en la red de servidores conectados, en la migración a la nube y aplicaciones heredadas que son incompatibles con los entornos o servicios cloud.
El 94% de los pequeños negocios señaló ventajas de seguridad después de migrar a la nube (Microsoft. Driving Growth Together: Small Business and the Cloud).
Mito n.º 2: mi organización no usa la nube
El término "cloud" incluye la categoría de software como servicio (SaaS) y prácticamente todas las organizaciones utilizan algún tipo de servicio web, ya sea en el sector de recursos humanos, banca, eCommerce, marketing, alojamiento web o cualquiera de las demás actividades que se realizan en los negocios actuales. Incluso si la política organizativa no permite explícitamente servicios on cloud o no hay evidencia manifiesta de uso de estos servicios, su negocio aún puede depender de la nube.
Es posible que su organización actualmente no almacene datos en la nube pero si es un cliente de banca en línea o usa servicios de alojamiento web, lo que hace, de hecho, es acceder a las tecnologías de la nube.
Para finales de este año, se prevé que el 83% del total de cargas de trabajo empresariales de EE.UU. estará en la nube (Forbes. 83% of Enterprise Workloads Will Be In The Cloud By 2020).
Mito n.º 3: el proveedor de la nube me mantendrá seguro
Bajo el modelo de responsabilidad compartida, el usuario de la nube es es el responsable final de proteger sus datos.
El proveedor de la nube garantiza que el hardware no esté comprometido y el software y sistemas operativos de cualquier servicio ofrecido sean seguros. Pero es el cliente el que tiene que comprobar que las máquinas virtuales estén parcheadas, las aplicaciones no sean vulnerables y los permisos correspondientes sean los apropiados.
El proveedor de la nube constata que las instalaciones del centro de datos son seguras pero su organización tiene la responsabilidad de salvaguardar sus datos específicos.
Modelo de responsabilidad compartida:
- Cliente: es el responsable de la seguridad de los datos "EN" la nube.
- Proveedor: es el responsable de la seguridad "DE" la nube.
En 2022, al menos un 95% de los fallos en la seguridad cloud será por culpa del cliente (Gartner. Clouds Are Secure: Are You Using Them Securely?).
Mito n.º 4: la nube es solo la computadora de alguien más
La nube no es una única computadora.
En la nube, es posible que una solicitud informática se distribuya a cientos o miles de computadoras.
Hay servicios de almacenamiento on cloud, contenedores y otros servicios no tradicionales a considerar además de las máquinas virtuales.
La configuración y controles de seguridad para estos servicios no usará implementaciones de seguridad tradicionales como firewalls y software antivirus. Además, estos servicios suelen utilizar un conjunto de APIs para comunicarse entre aplicaciones por lo que los conceptos de direcciones IP y sistemas operativos a menudo no se aplican.
Hay requisitos de visibilidad adicionales y una mayor planificación necesarios para proporcionar controles de seguridad e instrumentación de computadoras distribuidas.
Por ejemplo, si una aplicación procesa fotos subidas por un usuario y un atacante envía una avalancha de fotos no solicitadas para procesarse, la aplicación puede escalar asumiendo el propietario de la aplicación los costes adicionales.
La infraestructura de la nube puede poner límites para ayudar en casos como este, pero deben entenderse bien y configurarse por adelantado.
Mito n.º 5: los adversarios avanzados no atacan la nube
Los atacantes persiguen los datos. A medida que los datos ingresan a la nube, también lo harán los atacantes.
La organización media puede moverse más rápidamente y reducir costes operando en la nube, pero debe entender que cualquier activo de valor que ubiquen allí será un objetivo y deben proteger los recursos en consecuencia.
Esto significa que no solo se deben implementar las mejores prácticas para la seguridad on cloud sino también ser conscientes del aumento de la actividad por parte de atacantes avanzados que buscan datos en la nube.
La mitigación de amenazas en la nube requiere dos aspectos fundamentales:
- telemetría de datos sobre los que aplicar operaciones de seguridad.
- modelos de amenazas que determinen qué herramientas, tácticas y procedimientos de los adversarios deben ser abordados y mitigados.
Y a su vez se pueden dividir en cuatro categorías de capacidades:
- Inteligencia: aplicación de indicadores de inteligencia de amenazas.
- Reglas: aplicación de patrones de amenaza conocidos.
- Analítica: organización de la telemetría para mostrar anomalías.
- Hunting: búsquedas basadas en hipótesis.
Aproximadamente 1/4 de las investigaciones de respuestas ante incidentes involucra activos alojados en una nube pública.
Con las altas expectativas a nivel mundial para los servicios de cloud pública, se espera que el mercado crezca y es hora de desmitificar estas falsas creencias para que las organizaciones puedan obtener visibilidad y tomar el control de sus operaciones en la nube.
Jose Maria Acuña Morgado - Web Developer - Ethical Hacking