BLOG

¿Varias nubes? Riesgos múltiples.

Miniatura de Lori MacVittie
Lori MacVittie
Publicado el 27 de julio de 2020

La mayoría de las organizaciones operan en múltiples propiedades de nube además de su propia nube privada local. Durante los últimos tres años hemos preguntado sobre los desafíos y frustraciones que experimentan los profesionales en cada rol dentro de TI al operar en este modo.

Cada año la respuesta más frecuente es la misma: consistencia.

Esto no es ninguna sorpresa. Las organizaciones todavía trabajan en gran medida como equipos aislados, y la introducción de la nube pública no ha cambiado eso. De hecho, se ha ampliado en gran medida el número de silos, ya que a menudo es necesario que los equipos centrados en la nube se adapten adecuadamente a los paneles, consolas y formas de operar únicos de cada nube pública individual.

Esta realidad dificulta la protección de las aplicações de las que son responsables las organizaciones (no los proveedores de la nube). Los desafíos surgen en parte del uso de servicios de seguridad heterogéneos que pueden o no proporcionar la paridad de políticas necesarias para proteger suficientemente una aplicação según las expectativas de la empresa. Las capacidades de un servicio de seguridad pueden no ser las mismas que las de otro. Si hay una funcionalidad de la que depende para proteger una aplicação y está disponible en una nube pero no en la otra, no puede lograr una seguridad consistente.

Por lo tanto, no fue una sorpresa que un informe de Sophos sobre el estado de la seguridad en la nube en 2020 encontrara una mayor cantidad de incidentes de seguridad entre las organizaciones que operan en múltiples propiedades de nube:

"Las organizaciones multicloud informaron más incidentes de seguridad en los últimos 12 meses. El setenta y tres por ciento de las organizaciones encuestadas utilizaban dos o más proveedores de nube pública y reportaron más incidentes de seguridad que aquellas que usaban una sola plataforma.

El informe aclaró además el origen de dichos incidentes y descubrió que las brechas de seguridad causadas por una configuración incorrecta se explotaron en el 66 % de los ataques, que se dividen en tres categorías: 

  • 33% de credenciales de cuentas en la nube robadas
  • 22% de configuración incorrecta de recursos en la nube 
  • 44% Firewall de aplicação web mal configurado

La mala configuración puede ser el resultado de muchas cosas. Los errores tipográficos son comunes. Otra puede ser la mala interpretación de la terminología o la mala comprensión del modelo de política.

Para reducir los errores tipográficos y otros errores introducidos por el hombre, a menudo entra en juego la automatización. Pero esto no ayuda en el caso de estos últimos, donde las diferencias en los modelos de políticas y los lenguajes pueden ser una fuente de confusión que conduce a configuraciones erróneas.

La mejor respuesta hoy para resolver el problema de la mala configuración es la estandarización. Elegir un conjunto estándar de servicios de seguridad que funcionen en todos los entornos en los que los necesita contribuirá en gran medida a eliminar configuraciones incorrectas. Al centrarse en un único conjunto de servicios de seguridad, las habilidades adquiridas se conservan en todas las propiedades de la nube. La experiencia se basa en la experiencia y, al centrarse en un conjunto más acotado de lenguajes y modelos de políticas, las organizaciones pueden abordar con mayor confianza la protección de las aplicações en cualquier entorno.

La estandarización también actúa como un multiplicador de fuerza para la automatización al permitir la reutilización de código, scripts y plantillas que aprovisionan, implementan y administran servicios de seguridad en múltiples nubes. Los artefactos de automatización se fortalecen y optimizan con el uso y la reutilización, lo que inspira mayor confianza en el uso de la nube.

La nube ha llegado para quedarse, al igual que la realidad de contar con múltiples nubes por organización. Pero eso no significa que debamos aceptar la realidad del aumento de los incidentes de seguridad. Al abordar deliberadamente los servicios de seguridad con miras a la estandarización y la atención a las estructuras organizacionales internas que pueden estar impidiendo la colaboración, las organizaciones pueden tomar medidas positivas para mejorar la seguridad, expandir la automatización y optimizar las habilidades y la experiencia de sus activos más valiosos: su gente.