¿Qué es la seguridad de la nube híbrida?

La implantación de una estrategia de seguridad en la nube híbrida puede aportar muchas ventajas a las organizaciones, pero también conlleva múltiples retos y riesgos, entre los que se incluyen:

• Responsabilidad de seguridad compartida: En un entorno de nube híbrida , el cliente y el proveedor de nube comparten la responsabilidad de la seguridad, y es importante comprender la división de responsabilidades respecto de qué aspectos de seguridad recaen en cada uno. Los clientes deben asegurarse de que los proveedores cumplan con sus responsabilidades y comprender que el cliente puede necesitar implementar medidas de seguridad adicionales para garantizar una seguridad integral en todos los entornos de nube.
• Manejo de incidentes: La gestión de incidentes puede ser un desafío en un entorno de nube híbrida debido a la naturaleza distribuida de la infraestructura. Puede resultar difícil identificar el origen de un incidente y coordinar la respuesta en diferentes entornos. Incluso si el incidente ocurre en la infraestructura del proveedor, es posible que los clientes necesiten trabajar con ellos para solucionar el problema.
• Seguridad de la aplicação : Los entornos de nube híbrida pueden tener diferentes requisitos y configuraciones de seguridad de aplicação , lo que convierte en un desafío logístico mantener y proteger las aplicaciones basadas en la nube. Esto es especialmente cierto para la remediación de una vulnerabilidad de aplicação que ataca una biblioteca de software común utilizada en todo el entorno.
• Gestión de acceso (IAM): Administrar las identidades y el acceso de los usuarios en múltiples entornos de nube puede ser complejo debido a la descentralización de la nube híbrida y la variedad de diferentes herramientas y procesos de IAM utilizados en diferentes plataformas. Además, hay una cantidad cada vez mayor de tráfico de máquina a máquina proveniente de API e integraciones de terceros, lo que requiere un enfoque diferente para la seguridad basada en la identidad.
• Cumplimiento y gobernanza: Debido a la falta de visibilidad y gestión descentralizada en algunos entornos de nube, lo que puede generar registros y análisis forenses incompletos, cumplir y hacer cumplir los requisitos de cumplimiento y gobernanza puede ser un desafío.
• Seguridad en la cadena de suministro: Los ciberdelincuentes pueden aprovechar los entornos de nube híbrida de múltiples proveedores porque muchas organizaciones carecen de visibilidad y control sobre toda su cadena de suministro. Las organizaciones deben asegurarse de que sus proveedores de nube implementen medidas de seguridad sólidas y realicen auditorías de seguridad, pruebas de penetración y análisis de vulnerabilidad periódicamente.
• Protección de datos: Las organizaciones necesitan asegurarse de que sus datos en un entorno de nube híbrida estén protegidos tanto en reposo como en tránsito y que existan controles de acceso y encriptación SSL/TLS adecuados para limitar la exposición.
• Visibilidad y control: Puede resultar complicado mantener la visibilidad y el control de la seguridad en un entorno de nube híbrida , especialmente cuando los entornos de nube se gestionan por separado. Sin un panel centralizado, supervisar, proteger y solucionar problemas de seguridad en distintos entornos puede resultar arduo, lo que genera puntos ciegos en el rendimiento y el control de la seguridad.

Un entorno de nube híbrida seguro y compatible requiere un enfoque holístico que incluya políticas y prácticas de seguridad consistentes, visibilidad de extremo a extremo y sólidas medidas de gobernanza y cumplimiento para garantizar que las organizaciones puedan aprovechar los beneficios de la nube híbrida sin comprometer su postura de seguridad.

La arquitectura para la seguridad de la nube híbrida incluye protección para aplicaciones, API, infraestructura subyacente y cadenas de suministro de software. Debido a que el acceso a los datos o su puesta a disposición se realiza a través de centros de datos y entornos de nube, estos deben cifrarse para garantizar que solo usuarios y aplicações válidos puedan acceder a ellos y usarlos, generalmente a través de algún tipo de modelo de seguridad de confianza cero . La confianza cero dicta que todas las solicitudes de acceso a los recursos, ya sea que se originen dentro o fuera de la red, deben verificarse, autenticarse y evaluarse continuamente para cada solicitud. 

En el perímetro de la arquitectura, los servidores en nube periféricos y los contenedores de aplicaciones se someten a microsegmentación [insertar enlace a la nueva página del glosario sobre microsegmentación], una técnica de seguridad que consiste en dividir una red en segmentos más pequeños, cada uno con sus propias políticas y controles de seguridad, para aislar y proteger los activos críticos de posibles amenazas a la seguridad. De este modo se crean «zonas desmilitarizadas» o DMZ que restringen el acceso a datos y servidores sensibles y limitan el radio de explosión de un ataque. Estas DMZ sirven como un amortiguador que permite a las organizaciones exponer ciertos servicios a la Internet pública mientras mantienen seguro el resto de su red.

Los cortafuegos añaden capas adicionales de protección, separando aún más los entornos en nube de los recursos locales.

La seguridad de la nube híbrida consta de tres componentes: físico, técnico y administrativo.

Los controles físicos sirven para proteger el hardware real, mientras que los controles técnicos protegen los sistemas informáticos y de procesamiento. Los controles administrativos se aplican para tener en cuenta las acciones humanas o los factores naturales que pueden afectar a la seguridad.

Los controles físicos son un aspecto vital de la seguridad de la nube híbrida, ya que salvaguardan la infraestructura física que soporta el entorno de la nube híbrida. Las nubes híbridas pueden abarcar múltiples ubicaciones, lo que hace que la seguridad física sea tanto un reto especial como una responsabilidad crítica.

Los controles físicos incluyen restricciones de acceso a centros de datos, salas de servidores y otras áreas que contengan infraestructuras críticas. Los sistemas de vigilancia como las cámaras de CCTV, los detectores de movimiento y los sistemas de control para supervisar el acceso a las infraestructuras críticas y detectar cualquier actividad no autorizada también se consideran controles físicos.

Además, los controles físicos pueden incluir sistemas de alimentación de reserva como un sistema de alimentación ininterrumpida (SAI) y generadores de reserva para garantizar que el entorno de la nube híbrida siga operativo durante los cortes de energía.

Las organizaciones deben elaborar acuerdos de nivel de servicio (SLA) con los proveedores de la nube para definir cómo se cumplirán las normas de seguridad física.

Los controles técnicos son fundamentales para la seguridad de la nube híbrida, e incluyen:

• Cifrado , que se utiliza para proteger datos en tránsito y en reposo. El cifrado SSL/TLS garantiza que los datos estén protegidos incluso si son interceptados por usuarios no autorizados.
• Aprovisionamiento y configuración automatizados, que ayudan a las organizaciones a reducir el riesgo de errores humanos y garantizar una gestión de seguridad consistente y eficiente en todo su entorno de nube híbrida .
• Orquestación, que automatiza la coordinación de diferentes herramientas, sistemas y procesos de seguridad para garantizar que funcionen juntos sin problemas para proteger el entorno de nube híbrida .
• Control de acceso, que implica la implementación de políticas y procedimientos para garantizar que solo los usuarios autorizados puedan acceder a datos y aplicações confidenciales alojados en el entorno de nube híbrida . Los principios de confianza cero, incluido el acceso mínimo privilegiado, son cada vez más importantes en los entornos de nube híbrida .
• Seguridad de puntos finales, que evita el acceso no autorizado desde dispositivos extraviados, robados o comprometidos, como computadoras portátiles y teléfonos móviles, purgando los datos del dispositivo o revocando el acceso al centro de datos.

La seguridad es responsabilidad de cada usuario, y los controles administrativos ayudan a las personas a actuar de forma que mejoren la seguridad.

Las organizaciones deben proporcionar programas de formación y concienciación para empleados, contratistas y otros usuarios del entorno de nube híbrida. Esta formación debe abarcar temas como las mejores prácticas de seguridad en la nube, la clasificación de datos, el control de acceso y la respuesta a incidentes, y debe adaptarse a las funciones y responsabilidades específicas de cada parte interesada.

La arquitectura de nube híbrida ofrece ventajas significativas para la recuperación de datos y la planificación y preparación ante desastres. Dado que las nubes híbridas incluyen tanto nubes privadas como públicas, las organizaciones pueden emplear la nube pública como conmutación por error para los datos y las aplicaciones locales, lo que permite realizar copias de seguridad, redundancia y escenarios de preparación y recuperación ante desastres.

La seguridad de la nube híbrida es compleja y requiere una cuidadosa planificación, implementación y gestión continua. He aquí algunas de las mejores prácticas a tener en cuenta cuando las organizaciones empiecen a desarrollar su enfoque de la seguridad de la nube híbrida.

• Clasificación y protección de datos. Clasificar los datos según su sensibilidad y criticidad ayuda a las organizaciones a determinar cómo almacenarlos, transmitirlos y acceder a ellos, y qué medidas de seguridad aplicar. La implementación de medidas de protección de datos adecuadas, como cifrado, controles de acceso y procesos de respaldo y recuperación, también es fundamental para garantizar que los datos estén protegidos mientras transitan por el entorno híbrido.
• Control de acceso y gestión de identidad. Las organizaciones deben implementar controles de acceso sólidos y procesos de gestión de identidad, controles de acceso basados ​​en roles y gestión de privilegios, para garantizar que solo los usuarios y aplicações autorizados puedan acceder a recursos confidenciales. Los principios de confianza cero pueden ayudar a proteger las cargas de trabajo modernas de ataques sofisticados que apuntan a las debilidades en la autenticación y la autorización.
• Seguridad y segmentación de red. La seguridad de la red también es fundamental en un entorno de nube híbrida , donde los recursos se distribuyen entre múltiples ubicaciones y proveedores. La implementación de medidas de seguridad sólidas, como firewalls de red, firewalls de aplicação web, plataformas de protección de carga de trabajo en la nube y segmentación de red, es fundamental para garantizar que el tráfico esté restringido únicamente a usuarios y aplicações autorizados.
• Cifrado y gestión de claves. El cifrado protege los datos en tránsito y en reposo en un entorno de nube híbrida y debe implementarse durante todo el ciclo de vida de los datos. Las claves de cifrado también deben protegerse cuidadosamente para garantizar que sólo los usuarios y aplicações autorizados puedan acceder a ellas o a los datos cifrados.
• Monitoreo continuo y respuesta a incidentes. La monitorización continua de los eventos y registros de seguridad es necesaria para identificar amenazas potenciales y responder rápidamente a los incidentes de seguridad. Las organizaciones deben contar con un plan de respuesta a incidentes que describa roles y responsabilidades, procedimientos de escalada de incidentes y protocolos de comunicación.

Gestionar el cumplimiento y la gobernanza en un entorno de nube híbrida puede ser todo un reto, e incluye las siguientes consideraciones.

• Cumplimiento normativo. Para las organizaciones que operan en industrias reguladas, como la atención médica, las finanzas y el gobierno, el cumplimiento normativo en un entorno de nube híbrida es una preocupación crítica. Las organizaciones deben identificar las regulaciones que se aplican a su industria, evaluar su infraestructura y procesos existentes e implementar los controles necesarios para cumplir con los requisitos. Esto puede incluir cifrado de datos, controles de acceso y registros de auditoría para demostrar el cumplimiento.
• Privacidad y protección de datos. Dado que los datos confidenciales pueden almacenarse en múltiples ubicaciones en entornos de nube híbrida , incluida la infraestructura de nube pública, la privacidad y la protección de los datos son consideraciones importantes en nube híbrida entornos. Las organizaciones deben establecer políticas claras de protección de datos, identificar las ubicaciones de los datos confidenciales e implementar controles de acceso y cifrado para evitar el acceso no autorizado a los datos confidenciales.
• Gestión y mitigación de riesgos. Las organizaciones deben realizar evaluaciones de riesgos periódicas para identificar posibles amenazas y vulnerabilidades. Esto ayuda a identificar y abordar las posibles amenazas a la infraestructura y cuantificar el daño que podrían causar. Evaluar soluciones alternativas para evitar o mitigar riesgos, implementar los controles de seguridad adecuados y monitorear el entorno para detectar incidentes de seguridad.
• Planificación de respuesta a incidentes. Los incidentes de seguridad pueden tener un impacto significativo en las operaciones y la reputación del negocio. Las organizaciones deben desarrollar un plan integral de respuesta a incidentes que describa los pasos a seguir en caso de un incidente de seguridad, incluidos los procedimientos para detectar e informar el incidente, contener y aislarlo, investigarlo y restaurar las operaciones.
• Gestión de proveedores: La gestión de proveedores es un aspecto fundamental del cumplimiento y la gobernanza de la nube híbrida , ya que las organizaciones dependen de proveedores de servicios de nube externos para administrar su infraestructura y aplicações. Para gestionar el riesgo del proveedor en un entorno de nube híbrida , las organizaciones deben realizar la debida diligencia sobre los proveedores potenciales, establecer SLA claros que describan las responsabilidades y obligaciones del proveedor y monitorear regularmente el desempeño del proveedor para garantizar el cumplimiento de los requisitos reglamentarios.

A continuación encontrará soluciones, servicios y herramientas a tener en cuenta a la hora de evaluar y seleccionar las características de las nubes híbridas.

• La prevención de pérdida de datos (DLP) es una solución de seguridad que monitorea y evita que se acceda, se filtre o se transmita información confidencial de manera no autorizada. DLP proporciona controles basados en políticas para administrar y proteger datos en centros de datos locales, entornos de nube y dispositivos terminales. Los firewalls de aplicação web proporcionan defensas flexibles y de alto rendimiento para evitar la pérdida de datos confidenciales. 
• Las soluciones de seguridad de red protegen las redes contra acceso no autorizado, ataques y otras amenazas de seguridad mediante una combinación de controles, incluidos firewalls, sistemas de detección y prevención de intrusiones, análisis y otras tecnologías de seguridad para proteger el tráfico entrante y saliente en las redes.
• La gestión de vulnerabilidades es una solución proactiva y automatizada que escanea y evalúa la infraestructura de TI para detectar posibles amenazas y debilidades de seguridad y brinda recomendaciones de solución. La gestión de vulnerabilidades debe ser un proceso continuo para mantenerse al día con las amenazas nuevas y emergentes. Los firewalls de aplicação web pueden brindar una solución provisional fundamental para mitigar vulnerabilidades de aplicação potencialmente devastadoras. 
• Los sistemas de detección e inteligencia de amenazas recopilan y analizan datos de múltiples fuentes y utilizan el aprendizaje automático y otras técnicas analíticas, además de la investigación y la supervisión del personal del Centro de Operaciones de Seguridad (SOC) para identificar y mitigar las amenazas de seguridad emergentes y generalizadas.
• Las soluciones de gestión de cumplimiento rastrean e informan sobre los requisitos de cumplimiento y ayudan a las organizaciones a evitar sanciones y otros riesgos asociados con el incumplimiento.

• Los servicios de evaluación de seguridad en la nube brindan recomendaciones para mejorar los controles de seguridad y mitigar riesgos mediante la evaluación de la postura de seguridad de los entornos de nube para identificar riesgos y vulnerabilidades.
• La gestión de seguridad en la nube es un servicio que proporciona visibilidad y controles centralizados sobre las políticas y configuraciones de seguridad mediante la supervisión de las características de seguridad en los entornos de nube.
• Los servicios de cifrado en la nube cifran datos en tránsito y en reposo en entornos de nube, y también brindan gestión de claves y controles de acceso para garantizar la protección segura de los datos.
• Las plataformas de protección de carga de trabajo en la nube protegen la infraestructura subyacente, como imágenes de contenedores, claves de autenticación y cadenas de suministro de software, y también protegen contra la escalada de privilegios, el movimiento lateral y la exfiltración de datos. 
• La gestión de acceso (IAM) proporciona servicios de autenticación, autorización y control de acceso para garantizar un acceso seguro y compatible en múltiples entornos de nube. El aumento del tráfico de máquina a máquina proveniente de API e integraciones de terceros requiere nuevos enfoques de seguridad basados en la identidad. 

• Las redes privadas virtuales (VPN) proporcionan un túnel seguro entre el dispositivo de un usuario y la red a la que se conecta, lo que permite el acceso remoto cifrado a los recursos de la nube. Las VPN se pueden utilizar para conectar de forma segura nubes públicas y privadas y extender redes privadas a través de nubes públicas para proteger el tráfico de datos en entornos híbridos.
• Los firewalls se utilizan para controlar el acceso a una red mediante la monitorización y el filtrado del tráfico según reglas predefinidas. Se pueden implementar en el perímetro de la red, entre diferentes entornos de nube y dentro de cada entorno de nube.
• Los sistemas de detección y prevención de intrusiones (IDPS) están diseñados para detectar y prevenir amenazas a la seguridad mediante el análisis del tráfico de la red y la identificación de actividad maliciosa. Se pueden implementar en un entorno de nube híbrida para monitorear y proteger los recursos de la nube de ataques como DDoS, malware y phishing.
• Las soluciones de gestión de eventos e información de seguridad (SIEM) brindan monitoreo y análisis en tiempo real de eventos de seguridad en toda la infraestructura de nube híbrida de una organización. Las herramientas SIEM pueden recopilar y agregar datos de registro de diferentes entornos de nube y correlacionar eventos para identificar posibles amenazas a la seguridad.
• Secure Socket Layer (SSL) y Transport Layer Security (TLS) son protocolos criptográficos utilizados para proteger las comunicaciones a través de Internet. SSL y TLS se pueden utilizar para cifrar datos en tránsito entre entornos de nube, lo que garantiza que la información confidencial esté protegida contra interceptaciones y manipulaciones.

He aquí algunas tendencias emergentes en la seguridad de la nube híbrida, que apuntan a cómo puede evolucionar en los próximos años.

• La seguridad de confianza cero supone que no existe un borde de red tradicional y considera que todo el tráfico de red es potencialmente malicioso. La seguridad de confianza cero requiere que todos los usuarios, ya sea dentro o fuera de la red de la organización, estén autenticados, autorizados y validados continuamente antes de que se les conceda acceso a aplicações y datos protegidos. Este enfoque de seguridad implica implementar fuertes controles de acceso, procesos de autenticación y autorización, y monitoreo continuo del tráfico de la red para detectar y responder a amenazas potenciales.
• La seguridad nativa de la nube es un enfoque de seguridad en la nube híbrida que aprovecha herramientas y tecnologías específicas de la nube para mejorar la seguridad. Este enfoque incorpora la seguridad a la estrategia general de desarrollo de aplicação nativas de la nube de una organización e incluye seguridad de contenedores, microsegmentación y seguridad sin servidor, además de inteligencia de amenazas basada en la nube y análisis de seguridad.
• La seguridad de borde se convierte en una consideración importante a medida que más organizaciones adoptan la edge computing para procesar datos más cerca de su fuente. La seguridad de borde implica implementar controles de seguridad y monitoreo en dispositivos de borde y puertas de enlace, y garantizar una comunicación segura entre los dispositivos de borde y la nube.

La nube híbrida ya ha demostrado ser una tecnología que cambia las reglas del juego para muchas empresas, proporcionándoles la flexibilidad, escalabilidad y ahorro de costes que necesitan para seguir siendo competitivas. Pero asegurar la nube híbrida puede ser complejo y requiere la estrategia de seguridad de la nube híbrida adecuada para garantizar que los datos sensibles y las cargas de trabajo estén protegidos en todo momento.

Para ayudar a simplificar su estrategia de nube híbrida , F5 ofrece un conjunto integral de herramientas de seguridad y administración que se mantienen consistentes en todas las nubes y protegen los datos y las aplicações en múltiples entornos de TI.