BLOG

Mejora de la seguridad operativa en la nube

Miniatura de Lori MacVittie
Lori MacVittie
Publicado el 3 de junio de 2019

Si desea mantener bajos los costes de funcionamiento en la nube, eche un vistazo a sus prácticas de seguridad en el lado de la gestión de las operaciones.

Hoy en día, la mayor parte de la atención en seguridad se centra en los protocolos de aplicação y las vulnerabilidades en la propia pila de aplicação . Esto no es ninguna sorpresa, dado que la mayoría de las infracciones ocurren porque las vulnerabilidades en plataformas y marcos comunes ofrecen un amplio conjunto de objetivos fáciles.

Pero no ignoremos el aspecto gerencial cada vez más accesible del negocio. A medida que trasladamos aplicaciones a la nube pública, a menudo perdimos el foco en la importancia de aislar el tráfico de administración del acceso fácil. En las instalaciones locales, esto fue fácil. La red de gestión era inaccesible para el público. Los mantuvimos bloqueados en una red no enrutable a la que sólo se podía acceder desde adentro. Como hemos migrado las aplicaciones y su infraestructura de servicios de aplicação a la nube, necesitamos una administración de acceso público porque los operadores ahora son remotos.

Si bien hemos realizado la transición de Telnet (excepto todos los dispositivos IoT que necesitan ponerse al día) a SSH e incluso practicamos buenos comportamientos de generación de contraseñas, no necesariamente hemos considerado cómo aprovechar mejor la seguridad nativa de la nube junto con nuestras propias prácticas.

Es el uso de servicios de seguridad de proveedores de la nube lo que puede tener un impacto dramático en los costos operativos de hacer negocios en la nube, especialmente cuando se trata de administrar la infraestructura de servicios de aplicação .

La amenaza es real

Si no ha tenido la oportunidad de leer el artículo de F5 Labs sobre los nombres de usuario y contraseñas más atacados, debería hacerlo. En él aprenderás que SSH es un servicio muy específico. Resulta que más que cualquier otro.

Del artículo:

En términos de volumen de ataques, los atacantes dedican más tiempo y esfuerzo a atacar SSH que a cualquier otro servicio en línea. El acceso por fuerza bruta a los inicios de sesión administrativos de las aplicações de producción a través de SSH ocurre 2,7 veces más que los ataques contra la propia aplicação a través de HTTP (atacantes que intentan explotar vulnerabilidades en las aplicaciones web).

¿Y por qué no? El control administrativo sobre la infraestructura de servicios de aplicação le brinda mucho poder, incluida la capacidad de modificar políticas que de otro modo podrían impedir un acceso fácil a las aplicações web. En el caso de Kubernetes (que a menudo es un blanco debido a que no requiere credenciales), se desea tener acceso para recolectar recursos a costa de otros.

Pero usted es experto en seguridad y necesita contraseñas seguras para todo acceso a la infraestructura. Tu contraseña SSH es tan segura que tendrás que detenerte a pensar cómo ingresarla. Cada vez.

Ahora bien, la afirmación obvia del siglo: las contraseñas seguras no previenen los ataques. Sólo mitigan los ataques exitosos. No puedes impedir que alguien lance un ataque. Realmente no puedes. Sólo puedes detectarlo y evitar que tenga éxito.

Pero mientras tanto, ese ataque tiene costos operativos reales asociados. Porque practicas una seguridad inteligente y todos esos intentos fallidos quedan registrados. Cada. Soltero. Uno.

Y por cada intento fallido que bloqueas, estás consumiendo recursos. Ancho de banda. Almacenamiento. Calcular.  

Utilice servicios nativos de la nube para mejorar las prácticas de seguridad

Todos los principales proveedores de nube (y probablemente los menores también) ofrecen controles básicos de seguridad de red que pueden usarse para bloquear el acceso de administración a la infraestructura de servicios de aplicação . Los grupos de seguridad de AWS (SG) y los grupos de seguridad de red de Azure (NSG) funcionan de manera muy similar a un firewall: filtran el tráfico que entra (y sale) de una instancia. En el caso del acceso administrativo, esta puede ser una herramienta importante en su conjunto de herramientas de seguridad. Al bloquear el acceso únicamente a direcciones IP conocidas (o rangos específicos), puede reducir drásticamente el volumen de ataques que llega a su infraestructura. Esto puede reducir los costos al evitar el consumo excesivo de computación, ancho de banda y almacenamiento.

Este es el mismo principio que fomenta el uso de firewalls de aplicação web en la nube, tanto como protección para las aplicaciones como como mejores prácticas operativas. La intención es detener el ataque antes de que pueda consumir cantidades excesivas de recursos.  Incluso si ese ataque hubiera fallado, el hecho es que es probable que los intentos sean suficientes para forzar eventos de escalamiento automático que le cuesten dinero a la empresa o interrumpan la disponibilidad para usuarios legítimos. Ninguno de estos resultados es deseable.

Como regla general, cuanto más cerca de la fuente del ataque puedas detenerlo, más seguro estarás y menor será el coste para la empresa.

Aumentar. No sustituya.

La clave para utilizar servicios nativos de la nube en su práctica de seguridad es "aumentar". El uso de contraseñas SSH fuertes es bueno. Es mejor combinarlo con un fuerte control de acceso. Pero nunca, jamás, abandone las prácticas de uso de contraseñas seguras en favor únicamente de grupos de seguridad. Utilice ambos juntos para garantizar la seguridad y limitar el costo de hacer negocios en la nube.