¿Qué es Cloud Security Posture Management (CSPM)?
La seguridad en la nube depende en parte de su capacidad para responder a las amenazas una vez que estas aparecen. Pero como dijo una vez un célebre estadounidense: “una onza de prevención vale más que una libra de curación”, o lo que es lo mismo, “más vales prevenir que curar”. Lo ideal es evitar desde un principio que los riesgos de seguridad se produzcan con la ayuda de Cloud Security Posture Management.
Por ello, Cloud Security Posture Management (CSPM), debe formar parte de su estrategia de seguridad en la nube. En este artículo explicamos qué es CSPM, por qué es importante y cómo aplicarla en su entorno de nube.
¿Qué es CSPM?
Cloud Security Posture Management (CSPM) es el uso de herramientas de automatización para ayudar a las empresas a preparase contra las diversas amenazas que pueden afectar a los entornos de nube y ser así lo más seguras posibles. CSPM es la piedra angular de cualquier estrategia de seguridad en la nube, ya que añade velocidad y eficiencia a la seguridad en la nube y permite una estrategia de seguridad flexible que puede adaptarse a cualquier tipo de workload en la nube.
Además, CSPM ayuda a gestionar prácticamente cualquier tipo de amenaza a la seguridad en la nube. Por ejemplo, puede servir para que las empresas identifiquen configuraciones inseguras, como puede ser el caso de una política de IAM que conceda acceso público a datos sensibles. Asimismo, las herramientas de CSPM pueden identificar configuraciones de red en la nube que no aíslen adecuadamente las workloads entre sí.
La metáfora de la “gestión de la postura”
El término “gestión de la postura de seguridad en la nube” puede sonar un poco ambiguo al principio. Después de todo, “gestión de la postura” es una expresión más propia de su quiropráctico que de su equipo de ciberseguridad.
Pero, de hecho, la idea principal de CSPM es que, al establecer una “postura” fuerte dentro de su entorno de nube mediante la creación de configuraciones que sean seguras por defecto, hará más difícil a los atacantes que puedan “derribar” sus defensas y penetrar en su entorno.
En este sentido, CSPM viene a ser el equivalente a adoptar una postura defensiva en deportes como la lucha libre o las artes marciales: constituye la base de su capacidad general para actuar. Del mismo modo que la postura en taekwondo es importante para evitar que su oponente pueda hacerle caer, también una configuración segura de su entorno es indispensable para una buena seguridad en la nube.
¿Por qué es importante Cloud Security Posture Management?
CSPM ofrece varias ventajas importantes como parte de una estrategia más amplia de seguridad en la nube.
Automatización y eficiencia de la seguridad
En primer lugar, CSPM ayuda a automatizar los workflows de seguridad. En lugar de realizar evaluaciones manuales de las configuraciones de la nube y luego investigar y corregir cada riesgo manualmente, los equipos pueden utilizar las herramientas de CSPM para analizar todas sus configuraciones de la nube de manera automática y continua. Además, pueden detectar los riesgos en cuanto surgen con un mínimo de tiempo o esfuerzo por parte de los ingenieros humanos.
En algunos casos, las herramientas de CSPM pueden incluso automatizar la corrección, por ejemplo, actualizando una regla de control de acceso errónea para hacerla más segura o desactivando una cuenta de usuario obsoleta.
Visibilidad de la seguridad centralizada
Las herramientas de CSPM son capaces de escanear las configuraciones de prácticamente todo tipo de workload en la nube e incluso trabajar en varias nubes, por lo que ayudan a centralizar la visibilidad de la seguridad. Con una plataforma de CSPM, podrá identificar, evaluar y gestionar los riesgos de todos sus recursos en la nube desde un único lugar. Sin duda, esto es mejor que tener que realizar evaluaciones por separado para cada nube o recurso de su infraestructura de TI.
Priorización de riesgos
Las herramientas avanzadas de CSPM no solo identifican los riesgos de seguridad, sino que también los clasifican en función de su gravedad.
Por ejemplo, una plataforma de CSPM podría considerar de alta prioridad un cubo S3 expuesto al acceso público a través de Internet, ya que podría dar lugar a una importante filtración de datos. En cambio, un cubo S3 al que pueden acceder varios usuarios, pero que no está expuesto al acceso público a través de Internet, probablemente se clasificaría como de menor prioridad. Aunque es un riesgo que el equipo debería igualmente investigar, ya que podría tratarse de una situación en la que no se está aplicando el mínimo privilegio, no es tan grave como el riesgo de que los datos queden expuestos a cualquier persona en Internet.
La priorización de los riesgos es importante porque ayuda a los equipos a gestionar el gran volumen de alertas de riesgos de seguridad y, al mismo tiempo, les permite invertir mejor su tiempo en la corrección de riesgos más graves.
El proceso básico de cuatro pasos de CSPM
Los requisitos específicos de Cloud Security Posture Management varían dependiendo de las herramientas de CSPM que utilice y de la plataforma o plataformas en la nube en las que las aplique. Pero, en general, el proceso implica cuatro pasos básicos.
- Definir los requisitos de CSPM
En primer lugar, los equipos definen los riesgos de seguridad que desean identificar y gestionar. La mayoría de las plataformas de CSPM ofrecen una variedad de reglas preconfiguradas para detectar los errores de configuración de la seguridad más frecuentes, pero es posible que desee añadir definiciones personalizadas que se adapten a sus workloads y/o a las reglas de seguridad que necesite cumplir a efectos de cumplimiento.
- Escanear continuamente los entornos de nube
Basándose en las reglas que los administradores definen, las herramientas de CSPM escanean continuamente los entornos de nube y analizan las configuraciones para detectar los riesgos de seguridad. Cada vez que se introduzca un nuevo archivo de configuración o se modifique uno existente, se analizará para detectar riesgos.
- Evaluar la gravedad del riesgo
Cuando se detecta un riesgo, las herramientas de CSPM pueden evaluar su gravedad y asignarle un nivel de prioridad, lo que ayuda a los equipos a saber qué riesgos deben corregir primero.
- Corregir los riesgos
El último paso en el proceso de CSPM es corregir los riesgos actualizando la configuración que los desencadena. Normalmente son los ingenieros de TI o los administradores quienes se encargan de esta tarea, pero las herramientas de CSPM también pueden corregir algunos riesgos automáticamente.
Qué hace y qué no hace CSPM
Aunque CSPM es un elemento esencial de la seguridad en la nube, es importante saber que no corrige todos los tipos de amenazas de seguridad.
El objetivo principal de CSPM es identificar los riesgos de seguridad en las configuraciones que definen las workloads en la nube. Por lo tanto, CSPM ayuda a las empresas a identificar configuraciones involuntarias que puedan facilitar a los atacantes el acceso a sus entornos o a datos sensibles.
Pero CSPM no está diseñado para detectar ataques activos una vez que se han producido. CSPM no es una solución para analizar registros de la nube, registros de auditoría u otras fuentes de datos con el fin de identificar una brecha activa. Para ello es preferible que utilice herramientas como un sistema de gestión de información y eventos de seguridad (SIEM) o una plataforma de orquestación, automatización y respuesta de seguridad (SOAR).
CSPM tampoco resuelve los riesgos de seguridad a nivel de aplicación. Por ejemplo, no analiza el código fuente o las imágenes de containers para detectar vulnerabilidades. Para esta tarea son más adecuados el análisis del código fuente, los escáneres de imágenes y otras herramientas similares.
CSPM y la responsabilidad compartida
Para desarrollar una estrategia eficaz de CSPM, es necesario que comprenda el concepto de responsabilidad compartida en la nube.
El modelo de responsabilidad compartida se refiere a la forma en que los proveedores de nubes públicas comparten la responsabilidad de proteger los entornos de nube con sus clientes. Los proveedores de nube son responsables de la seguridad del acceso físico a la infraestructura en la nube y de la seguridad de los servidores bare-metal que alojan las workloads en la nube.
Sin embargo, los proveedores dejan en manos de sus clientes la responsabilidad de garantizar que las workloads que despliegan en la nube estén debidamente protegidas. Las nubes públicas ofrecen herramientas que ayudan en este proceso, como marcos de IAM y configuraciones de redes virtuales. Pero depende de los clientes utilizar esas herramientas adecuadamente para proteger sus entornos de nube.
CSPM desempeña un papel fundamental para ayudar a los clientes a hacerlo. Al escanear automáticamente las configuraciones para detectar posibles riesgos de seguridad, CSPM permite garantizar que las configuraciones que implementan los usuarios finales de la nube se ajusten a las mejores prácticas y a las normas de cumplimiento.
CSPM como requisito para una nube segura
En definitiva, no se puede crear un entorno de nube seguro, sea cual sea su tamaño, sin aprovechar las ventajas de CSPM. Aunque es posible examinar manualmente las configuraciones de los entornos de nube a muy pequeña escala, necesitará la automatización de CSPM para garantizar que los entornos de nube grandes y complejos sean lo más seguros posible contra cualquier amenaza que pueda surgir.