¿Qué es la seguridad de la nube híbrida?

La implantación de una estrategia de seguridad en la nube híbrida puede aportar muchas ventajas a las organizaciones, pero también conlleva múltiples retos y riesgos, entre los que se incluyen:

• Responsabilidad de seguridad compartida: en un entorno de nube híbrida, el cliente y el proveedor de la nube comparten la responsabilidad de la seguridad, y es importante comprender la división de responsabilidades en cuanto a qué aspectos de la seguridad corresponden a cada uno. Los clientes deben asegurarse de que los proveedores cumplen con sus responsabilidades, y entender que el cliente puede necesitar implementar medidas de seguridad adicionales para garantizar una seguridad integral en todos los entornos de nube.
• Gestión de incidentes: la gestión de incidentes puede ser un reto en un entorno de nube híbrida debido a la naturaleza distribuida de la infraestructura. Puede resultar difícil identificar el origen de un incidente y coordinar la respuesta en distintos entornos. Incluso si el incidente se produce en la infraestructura del proveedor, es posible que los clientes tengan que trabajar con ellos para solucionar el problema.
• Seguridad de las aplicaciones: los entornos de nube híbrida pueden tener diferentes requisitos y configuraciones de seguridad de las aplicaciones, lo que convierte en un reto logístico el mantenimiento y la seguridad de las aplicaciones basadas en la nube. Esto es especialmente cierto para la remediación de un exploit de vulnerabilidad de la aplicación que se dirige a una biblioteca de software común utilizada en todo el entorno.
• Gestión de identidades y accesos (IAM): la gestión de las identidades y el acceso de los usuarios en varios entornos de nube puede resultar compleja debido a la descentralización de la nube híbrida y a la variedad de herramientas y procesos de IAM utilizados en las distintas plataformas. Además, cada vez hay más tráfico de máquina a máquina procedente de API e integraciones de terceros, que requieren un enfoque diferente de la seguridad basada en la identidad.
• Cumplimiento y gobernanza:a la falta de visibilidad y a la gestión descentralizada en algunos entornos de nube, que puede dar lugar a registros y análisis forenses incompletos, cumplir y hacer cumplir los requisitos de cumplimiento y gobernanza puede ser todo un reto.
• Seguridad en la cadena de suministro: ls ciberdelincuentes pueden aprovecharse de los entornos multinube de nube híbrida porque muchas organizaciones carecen de visibilidad y control sobre toda su cadena de suministro. Las organizaciones deben asegurarse de que sus proveedores de la nube cuentan con medidas de seguridad sólidas y realizan auditorías de seguridad, pruebas de penetración y digitalizaciones de vulnerabilidades con regularidad.
• Protección de datos: lasrganizaciones tienen que asegurarse de que sus datos en un entorno de nube híbrida están protegidos tanto en reposo como en tránsito y de que existen controles de acceso y cifrado SSL/TLS adecuados para limitar la exposición.
• Visibilidad y control: puede resultar complicado mantener la visibilidad y el control de la seguridad en un entorno de nube híbrida, especialmente cuando los entornos de nube se gestionan por separado. Sin un panel centralizado, supervisar, proteger y solucionar problemas de seguridad en todos los entornos puede resultar arduo, lo que conduce a puntos ciegos en el rendimiento y el control de la seguridad.

Un entorno de nube híbrida seguro y conforme requiere un enfoque holístico que incluya políticas y prácticas de seguridad coherentes, visibilidad de extremo a extremo y sólidas medidas de gobernanza y cumplimiento para garantizar que las organizaciones puedan aprovechar las ventajas de la nube híbrida sin comprometer su postura de seguridad.

La arquitectura para la seguridad de la nube híbrida incluye la protección de las aplicaciones, las API, la infraestructura subyacente y las cadenas de suministro de software. Dado que se accede a los datos o se ponen a disposición de otro modo a través de centros de datos y entornos en la nube, deben cifrarse para garantizar que solo los usuarios y aplicaciones válidos puedan acceder a ellos y utilizarlos, normalmente a través de algún tipo de modelo de seguridad de confianza cero. La confianza cero dicta que todas las solicitudes de acceso a los recursos, ya se originen dentro o fuera de la red, deben ser verificadas, autenticadas y evaluadas continuamente para cada solicitud. 

En el perímetro de la arquitectura, los servidores en nube periféricos y los contenedores de aplicaciones se someten a microsegmentación [insertar enlace a la nueva página del glosario sobre microsegmentación], una técnica de seguridad que consiste en dividir una red en segmentos más pequeños, cada uno con sus propias políticas y controles de seguridad, para aislar y proteger los activos críticos de posibles amenazas a la seguridad. De este modo se crean «zonas desmilitarizadas» o DMZ que restringen el acceso a datos y servidores sensibles y limitan el radio de explosión de un ataque. Estas DMZ sirven como un amortiguador que permite a las organizaciones exponer ciertos servicios a la Internet pública mientras mantienen seguro el resto de su red.

Los cortafuegos añaden capas adicionales de protección, separando aún más los entornos en nube de los recursos locales.

La seguridad de la nube híbrida consta de tres componentes: físico, técnico y administrativo.

Los controles físicos sirven para proteger el hardware real, mientras que los controles técnicos protegen los sistemas informáticos y de procesamiento. Los controles administrativos se aplican para tener en cuenta las acciones humanas o los factores naturales que pueden afectar a la seguridad.

Los controles físicos son un aspecto vital de la seguridad de la nube híbrida, ya que salvaguardan la infraestructura física que soporta el entorno de la nube híbrida. Las nubes híbridas pueden abarcar múltiples ubicaciones, lo que hace que la seguridad física sea tanto un reto especial como una responsabilidad crítica. 

Los controles físicos incluyen restricciones de acceso a centros de datos, salas de servidores y otras áreas que contengan infraestructuras críticas. Los sistemas de vigilancia como las cámaras de CCTV, los detectores de movimiento y los sistemas de control para supervisar el acceso a las infraestructuras críticas y detectar cualquier actividad no autorizada también se consideran controles físicos.

Además, los controles físicos pueden incluir sistemas de alimentación de reserva como un sistema de alimentación ininterrumpida (SAI) y generadores de reserva para garantizar que el entorno de la nube híbrida siga operativo durante los cortes de energía.

Las organizaciones deben elaborar acuerdos de nivel de servicio (SLA) con los proveedores de la nube para definir cómo se cumplirán las normas de seguridad física. 

Los controles técnicos son fundamentales para la seguridad de la nube híbrida, e incluyen:

• El cifrado, que se utiliza para proteger los datos en tránsito y en reposo. El cifrado SSL/TLS garantiza la protección de los datos aunque sean interceptados por usuarios no autorizados.
• El aprovisionamiento y configuración automatizados, que ayudan a las organizaciones a reducir el riesgo de errores humanos y a garantizar una gestión de la seguridad coherente y eficaz en todo su entorno de nube híbrida.
• La orquestación, que automatiza la coordinación de diferentes herramientas, sistemas y procesos de seguridad para garantizar que trabajan juntos a la perfección para proteger el entorno de nube híbrida.
• El control de acceso, que implica la aplicación de políticas y procedimientos para garantizar que solo los usuarios autorizados puedan acceder a los datos sensibles y a las aplicaciones alojadas en el entorno de nube híbrida. Los principios de confianza cero, incluido el acceso con menos privilegios, son cada vez más importantes en los entornos de nube híbrida.
• La seguridad de endpoints, que impide el acceso no autorizado desde dispositivos extraviados, robados o comprometidos, como ordenadores portátiles y teléfonos móviles, mediante la purga de los datos de los dispositivos o la revocación del acceso al centro de datos.

La seguridad es responsabilidad de cada usuario, y los controles administrativos ayudan a las personas a actuar de forma que mejoren la seguridad.

Las organizaciones deben proporcionar programas de formación y concienciación para empleados, contratistas y otros usuarios del entorno de nube híbrida. Esta formación debe abarcar temas como las mejores prácticas de seguridad en la nube, la clasificación de datos, el control de acceso y la respuesta a incidentes, y debe adaptarse a las funciones y responsabilidades específicas de cada parte interesada.

La arquitectura de nube híbrida ofrece ventajas significativas para la recuperación de datos y la planificación y preparación ante desastres. Dado que las nubes híbridas incluyen tanto nubes privadas como públicas, las organizaciones pueden emplear la nube pública como conmutación por error para los datos y las aplicaciones locales, lo que permite realizar copias de seguridad, redundancia y escenarios de preparación y recuperación ante desastres.

La seguridad de la nube híbrida es compleja y requiere una cuidadosa planificación, implementación y gestión continua. He aquí algunas de las mejores prácticas a tener en cuenta cuando las organizaciones empiecen a desarrollar su enfoque de la seguridad de la nube híbrida.

• Clasificación y protección de datos. Clasificar los datos en función de su sensibilidad y criticidad ayuda a las organizaciones a determinar cómo almacenarlos, transmitirlos y acceder a ellos, y qué medidas de seguridad aplicar. La aplicación de medidas adecuadas de protección de datos, como el cifrado, los controles de acceso y los procesos de copia de seguridad y recuperación, también es fundamental para garantizar la protección de los datos en su tránsito por el entorno híbrido.
• Control de acceso y gestión de identidades. Las organizaciones deben implantar controles de acceso y procesos de gestión de identidades sólidos, controles de acceso basados en roles y gestión de privilegios, para garantizar que solo los usuarios y aplicaciones autorizados puedan acceder a los recursos sensibles. Los principios de confianza cero pueden ayudar a proteger las cargas de trabajo modernas de ataques sofisticados que tienen como objetivo la debilidad en la autenticación y autorización.
• Seguridad y segmentación de la red. La seguridad de la red también es fundamental en un entorno de nube híbrida, donde los recursos se distribuyen a través de múltiples ubicaciones y proveedores. Implantar medidas de seguridad sólidas como cortafuegos de red, cortafuegos de aplicaciones web, plataformas de protección de cargas de trabajo en la nube y segmentación de la red es fundamental para garantizar que el tráfico se restringe solo a los usuarios y aplicaciones autorizados.
• Cifrado y gestión de claves. El cifrado protege los datos en tránsito y en reposo en un entorno de nube híbrida, y debe aplicarse durante todo el ciclo de vida de los datos. Las claves de cifrado también deben protegerse cuidadosamente para garantizar que solo los usuarios y aplicaciones autorizados puedan acceder a ellas, o a los datos cifrados.
• Supervisión continua y respuesta a incidentes. La supervisión continua de los eventos y registros de seguridad es necesaria para identificar posibles amenazas y responder rápidamente a los incidentes de seguridad. Las organizaciones deben contar con un plan de respuesta a incidentes que describa las funciones y responsabilidades, los procedimientos de escalada de incidentes y los protocolos de comunicación.

Gestionar el cumplimiento y la gobernanza en un entorno de nube híbrida puede ser todo un reto, e incluye las siguientes consideraciones. 

• Cumplimiento normativo. En el caso de las organizaciones que operan en sectores regulados, como la sanidad, las finanzas y la administración pública, el cumplimiento de la normativa en un entorno de nube híbrida es una preocupación fundamental. Las organizaciones deben identificar las normativas que se aplican a su sector, evaluar su infraestructura y procesos existentes e implantar los controles necesarios para cumplir los requisitos. Esto puede incluir el cifrado de datos, controles de acceso y registros de auditoría para demostrar el cumplimiento.
• Privacidad y protección de datos. Dado que los datos sensibles pueden almacenarse en múltiples ubicaciones en entornos de nube híbrida, incluida la infraestructura de nube pública, la privacidad y la protección de los datos son consideraciones importantes en los entornos de nube híbrida. Las organizaciones deben establecer políticas claras de protección de datos, identificar las ubicaciones de los datos sensibles e implantar controles de encriptación y acceso para evitar el acceso no autorizado a los datos sensibles.
• Gestión y mitigación de riesgos. Las organizaciones deben realizar evaluaciones periódicas de los riesgos para identificar las posibles amenazas y vulnerabilidades. Esto ayuda a localizar y abordar las posibles amenazas a la infraestructura y a cuantificar los daños que podrían causar. Evalúe soluciones alternativas para evitar o mitigar los riesgos, aplique los controles de seguridad adecuados y supervise el entorno para detectar incidentes de seguridad.
• Planificación de la respuesta a incidentes. Los incidentes de seguridad pueden tener un impacto significativo en las operaciones y la reputación de la empresa. Las organizaciones deben desarrollar un plan integral de respuesta a incidentes que describa los pasos a seguir en caso de que se produzca un incidente de seguridad, incluidos los procedimientos de detección y notificación, contención y aislamiento del incidente, investigación y restablecimiento de las operaciones.
• Gestión de proveedores. La gestión de proveedores es un aspecto crítico del cumplimiento y la gobernanza de la nube híbrida, ya que las organizaciones dependen de terceros proveedores de servicios en la nube para gestionar su infraestructura y sus aplicaciones. Para gestionar el riesgo de los proveedores en un entorno de nube híbrida, las organizaciones deben llevar a cabo la diligencia debida sobre los posibles proveedores, establecer acuerdos de nivel de servicio claros que describan las responsabilidades y obligaciones del proveedor, y supervisar el rendimiento del proveedor con regularidad para garantizar el cumplimiento de los requisitos reglamentarios.

A continuación encontrará soluciones, servicios y herramientas a tener en cuenta a la hora de evaluar y seleccionar las características de las nubes híbridas. 

• La prevención de pérdida de datos (DLP) es una solución de seguridad que supervisa y evita que se acceda a los datos confidenciales, se filtren o se transmitan de forma no autorizada. La DLP proporciona controles basados en políticas para gestionar y proteger los datos en los centros de datos locales, los entornos en la nube y los dispositivos de punto final. Los cortafuegos de aplicaciones web proporcionan defensas flexibles y eficaces para evitar la pérdida de datos confidenciales. 
• Las soluciones de seguridad de red protegen las redes contra accesos no autorizados, ataques y otras amenazas a la seguridad mediante una combinación de controles, como cortafuegos, sistemas de detección y prevención de intrusiones, análisis y otras tecnologías de seguridad para proteger el tráfico entrante y saliente en las redes.
• La gestión de vulnerabilidades es una solución proactiva y automatizada que digitaliza y evalúa la infraestructura de TI en busca de posibles amenazas y puntos débiles de seguridad, y proporciona recomendaciones para remediarlos. La gestión de vulnerabilidades debe ser un proceso continuo para mantenerse al día de las amenazas nuevas y emergentes. Los cortafuegos de aplicaciones web pueden proporcionar un parche crítico para mitigar los exploits de vulnerabilidad de aplicaciones potencialmente devastadores. 
• Los sistemas de inteligencia y detección de amenazas recopilan y analizan datos de múltiples fuentes y utilizan el aprendizaje automático y otras técnicas analíticas, además de la investigación y la supervisión del personal del Security Operations Center (SOC), para identificar y mitigar las amenazas a la seguridad emergentes y generalizadas.
• Las soluciones de gestión del cumplimiento hacen un seguimiento de los requisitos de cumplimiento e informan sobre ellos, y ayudan a las organizaciones a evitar sanciones y otros riesgos asociados al incumplimiento.

• Los servicios de evaluación de la seguridad en la nube ofrecen recomendaciones para mejorar los controles de seguridad y mitigar los riesgos mediante la evaluación de la postura de seguridad de los entornos en la nube para identificar riesgos y vulnerabilidades.
• La gestión de la seguridad en la nube es un servicio que proporciona visibilidad y controles centralizados sobre las políticas y configuraciones de seguridad mediante la supervisión de las características de seguridad en los entornos de nube.
• Los servicios de cifrado en la nube cifran los datos en tránsito y en reposo en entornos en la nube, y también proporcionan controles de acceso y gestión de claves para garantizar una protección segura de los datos.
• Las plataformas de protección de la carga de trabajo en la nube aseguran la infraestructura subyacente, como las imágenes de los contenedores, las claves de autenticación y las cadenas de suministro de software, y también protegen contra la escalada de privilegios, el movimiento lateral y la exfiltración de datos. 
• La gestión de identidades y accesos (IAM) proporciona servicios de autenticación, autorización y control de accesos para garantizar un acceso seguro y conforme en múltiples entornos en la nube. El aumento del tráfico de máquina a máquina procedente de API e integraciones de terceros hace necesarios nuevos enfoques de seguridad basados en la identidad. .

• Las redes privadas virtuales (VPN) proporcionan un túnel seguro entre el dispositivo de un usuario y la red a la que se conecta, permitiendo el acceso remoto cifrado a los recursos de la nube. Las VPN pueden utilizarse para conectar de forma segura nubes públicas y privadas y extender las redes privadas a través de nubes públicas para asegurar el tráfico de datos en entornos híbridos.
• Los cortafuegos se utilizan para controlar el acceso a una red supervisando y filtrando el tráfico en función de reglas predefinidas. Pueden implementarse en el perímetro de la red, entre distintos entornos de nube y dentro de cada entorno de nube.
• Los sistemas de detección y prevención de intrusiones (IDPS) están diseñados para detectar y prevenir las amenazas a la seguridad analizando el tráfico de la red e identificando las actividades malintencionadas. Pueden desplegarse en un entorno de nube híbrida para supervisar y proteger los recursos de la nube de ataques como DDoS, malware y correo electrónico de phishing.
• Las soluciones de gestión de eventos e información de seguridad (SIEM) proporcionan supervisión y análisis en tiempo real de los eventos de seguridad en toda la infraestructura de nube híbrida de una organización. Las herramientas SIEM pueden recopilar y agregar datos de registro de diferentes entornos de nube y correlacionar eventos para identificar posibles amenazas a la seguridad.
• Secure Socket Layer (SSL) y Transport Layer Security (TLS) son protocolos criptográficos utilizados para proteger las comunicaciones a través de Internet. SSL y TLS pueden utilizarse para cifrar los datos en tránsito entre entornos en la nube, garantizando que la información sensible esté protegida de la interceptación y la manipulación.

He aquí algunas tendencias emergentes en la seguridad de la nube híbrida, que apuntan a cómo puede evolucionar en los próximos años.

• La seguridad de confianza cero asume que no existe una periferia de red tradicional y considera que todo el tráfico de red es potencialmente malintencionado. La seguridad de confianza cero requiere que todos los usuarios, ya estén dentro o fuera de la red de la organización, sean autenticados, autorizados y validados continuamente antes de que se les conceda acceso a aplicaciones y datos protegidos. Este enfoque de seguridad implica la aplicación de fuertes controles de acceso, autenticación y procesos de autorización, así como la supervisión continua del tráfico de la red para detectar y responder a posibles amenazas.
• La seguridad nativa de la nube es un enfoque de la seguridad de la nube híbrida que aprovecha las herramientas y tecnologías específicas de la nube para mejorar la seguridad. Este enfoque incorpora la seguridad a la estrategia general de desarrollo de aplicaciones nativas de la nube de una organización e incluye la seguridad de los contenedores, la microsegmentación y la seguridad sin servidores, así como la inteligencia frente a amenazas basada en la nube y los análisis de seguridad.
• La seguridad periférica se convierte en una consideración importante a medida que más organizaciones adoptan la edge computing para procesar los datos más cerca de su origen. La seguridad periférica implica implantar controles de seguridad y supervisión en los dispositivos periféricos y las pasarelas y garantizar una comunicación segura entre los dispositivos periféricos y la nube.

La nube híbrida ya ha demostrado ser una tecnología que cambia las reglas del juego para muchas empresas, proporcionándoles la flexibilidad, escalabilidad y ahorro de costes que necesitan para seguir siendo competitivas. Pero asegurar la nube híbrida puede ser complejo y requiere la estrategia de seguridad de la nube híbrida adecuada para garantizar que los datos sensibles y las cargas de trabajo estén protegidos en todo momento. 

Para ayudarle a simplificar su estrategia de nube híbrida, F5 ofrece un conjunto completo de herramientas de seguridad y gestión que se mantienen coherentes en todas las nubes y protegen los datos y las aplicaciones en varios entornos de TI.