Sysdig
Learn Cloud Native

Sign up to receive our newsletter

Cumplimiento y gobernanza en la nube

Crear un entorno de nube seguro es una cosa, y otra es garantizar el cumplimiento y la gobernanza en la nube.

Lograr el cumplimiento en la nube a menudo requiere algo más que la simple implementación de unas medidas básicas de seguridad. También tiene que demostrar que su nube cumple con las normas de gobernanza internas o externas que se apliquen a su empresa.

Siga leyendo para obtener una descripción general de lo que significa el cumplimiento en la nube, cómo funciona y cómo lograrlo en las “tres grandes” nubes: AWS, Azure y GCP.

¿Qué es el cumplimiento en la nube?

El cumplimiento en la nube consiste en los procedimientos y prácticas que garantizan que un entorno de nube cumpla con las normas de gobernanza. En otras palabras, crear un entorno de nube conforme significa que dicho entorno cumple con uno o más conjuntos específicos de normas de seguridad y privacidad.

Estas normas pueden haber sido establecidas por una agencia gubernamental, como es el caso de marcos de cumplimiento como el Reglamento General de Protección de Datos de la Unión Europea (GDPR) o la Ley de Privacidad del Consumidor de California (CPRA). También pueden ser un estándar de un sector, como el estándar de Seguridad de Datos para la Industria de Tarjetas de Pago (PCI DSS), o políticas de gobernanza interna que una empresa establece para sí misma.

Los marcos de cumplimiento que afectan a una determinada empresa vienen determinados por factores como la jurisdicción en la que opera la empresa, la industria o el sector al que pertenece y el número de usuarios que tiene. Por ejemplo, el GDPR se aplica a la mayoría de las empresas que tratan datos de residentes en la U.E. o relacionados con ellos, independientemente del sector en el que opere la empresa o de si tiene presencia física en la Unión Europea. En cambio, el estándar PCI DSS solo afecta a las empresas que procesan pagos.

Cada marco de cumplimiento comprende un conjunto único de normas. Pero en general, los requisitos incluyen mandatos como garantizar una “seguridad razonable” para los workloads, cifrar los datos sensibles y demostrar que su organización realiza auditorías periódicas para identificar y abordar posibles problemas de seguridad.

Cumplimiento en la nube y modelo de responsabilidad compartida

El cumplimiento y la gobernanza son algo más complicados en la nube que en la infraestructura local, porque los proveedores de nube pública operan siguiendo un modelo de responsabilidad compartida. Según este modelo, los proveedores de nube son responsables de gestionar varios aspectos de seguridad como la protección de los servidores físicos que alojan instancias de VM y cubos de almacenamiento. También suelen realizar auditorías periódicas de sus sistemas, tal y como exigen diversas normas de cumplimiento gubernamentales y del sector.

Sin embargo, la tarea de proteger la mayoría de las facetas de los recursos que los usuarios despliegan en la nube recae en los usuarios finales. Los proveedores de nube esperan que sea usted quien garantice la protección de los datos que sube a un cubo de almacenamiento mediante controles de acceso de acuerdo con sus marcos de cumplimiento, por ejemplo, y que proteja el OS que se ejecuta en una instancia de VM en la nube.

Para el cumplimiento en la nube esto significa que, si bien los proveedores de nube satisfacen algunos de los requisitos de los marcos de cumplimiento que afectan a su empresa, no satisfacen todos. Para obtener más información acerca de las medidas que adopta su proveedor de nube en materia de cumplimiento, consulte la documentación de la nube. Por ejemplo, AWS explica sus políticas de cumplimiento aquí, y Azure lo hace aquí. 

Cómo funciona el cumplimiento en la nube

Aunque los requisitos específicos del cumplimiento en la nube dependen de los tipos de workloads que aloje en la misma y de las normas de cumplimiento que deba observar su empresa, la mayoría de los workflows de cumplimiento se pueden reducir a unos pocos pasos básicos.

  1. Evaluar las necesidades de cumplimiento

El primer paso es determinar cuáles son realmente los requisitos de cumplimiento para sus workloads en la nube. La mayoría de los marcos de cumplimiento describen las normas de cumplimiento en términos relativamente genéricos. El GDPR requiere medidas de “seguridad razonable” para proteger los datos sensibles, por ejemplo, pero no especifica las herramientas o configuraciones exactas que las empresas deben implementar para lograr esta seguridad.

Esto significa que es la empresa la que debe evaluar los requisitos de cumplimiento y determinar cómo ponerlos en práctica con herramientas y procesos específicos.

  1. Definir las normas de cumplimiento

Una vez que haya determinado cómo implementará su empresa las herramientas y los procedimientos necesarios para satisfacer los requisitos de cumplimiento de la nube, deberá definir reglas específicas que le ayuden a comprobar si dichos requisitos se están cumpliendo.

Una regla de cumplimiento en la nube podría estipular, por ejemplo, que los datos de los usuarios no se almacenen nunca en su entorno de nube sin haberse cifrado antes. O bien podría establecer una regla que estipule que el acceso SSH esté deshabilitado por defecto para VMs en la nube.

  1. Realizar auditorías de cumplimiento

El siguiente paso tras definir las reglas de cumplimiento es realizar auditorías para comprobar si estas se están cumpliendo.

Esto puede hacerlo manualmente, evaluando las configuraciones de sus workloads en la nube y determinando si se ajustan a las reglas establecidas.

Pero resulta mucho más efectivo automatizar el cumplimiento utilizando herramientas de auditoría que escaneen automáticamente los archivos de configuración de la nube, los registros y otras fuentes de datos para detectar si se viola el cumplimiento tomando como referencia las reglas que usted ha establecido.

Cumplimiento y gobernanza nube a nube

Aunque el proceso para cumplir con los requisitos de cumplimiento y gobernanza es más o menos el mismo en cualquier tipo de nube, conviene conocer qué herramientas ofrecen los principales proveedores de nube para ayudar a satisfacer estos requisitos.

Cumplimiento en AWS

En AWS, la herramienta principal para ayudar a aplicar el cumplimiento es Audit Manager. Audit Manager es un servicio opcional que los clientes de AWS pueden utilizar para recopilar información de todos sus entornos y evaluar automáticamente si las configuraciones de workloads se ajustan a los requisitos específicos de cumplimiento

Audit Manager proporciona reglas preconfiguradas para comprobar el cumplimiento con marcos conocidos como GDPR y PCI DSS, pero necesitará crear reglas personalizadas para aplicar otros marcos menos habituales o un programa interno de cumplimiento.

De manera más general, puede utilizar los registros de AWS CloudTrail para monitorizar su entorno. Bo obstante, como CloudTrail no está diseñado como una solución de cumplimiento, ni tampoco como una herramienta avanzada de monitorización de la seguridad, lo normal es que quiera incluir los registros de CloudTrail en una herramienta de auditoría externa para utilizar los datos del modo más efectivo posible.

Cumplimiento en Azure

A diferencia de AWS, Azure no cuenta con una herramienta de auditoría centralizada, pero sí ofrece una sofisticada arquitectura de registro. Configurando y analizando apropiadamente los registros de Azure, podrá verificar el cumplimiento en todo su entorno de Azure.

También en este caso, lo más probable es que desee utilizar una herramienta de auditoría externa para aprovechar al máximo los registros de Azure a efectos de cumplimiento. Los servicios de monitorización nativos de Azure, como Azure Monitor, están diseñados para ayudar a gestionar el rendimiento y la disponibilidad de las aplicaciones, no para garantizar el cumplimiento o automatizar la auditoría.

Cumplimiento en Google Cloud

Google Cloud dispone de un servicio de registros de auditoría que las empresas pueden utilizar para generar registros de auditoría. Los registros de auditoría registran información sobre las acciones que se han realizado en entornos de nube, cuándo tuvieron lugar y quién las realizó.

La principal limitación de los registros de auditoría en Google Cloud es que no audita las configuraciones de sus workloads. Solo permite rastrear la actividad. Por lo tanto, tendrá que usar herramientas externas si quiere asegurarse de que las reglas de IAM, las configuraciones de red y otras partes de su entorno estén configuradas ajustándose a sus requisitos de cumplimiento.

El cumplimiento y la gobernanza en la nube pueden variar mucho de una empresa a otra y de una nube a otra dependiendo de los marcos de cumplimiento existentes y los tipos de workloads que la empresa ejecuta. En cualquier caso, todas las estrategias de cumplimiento en la nube deben estar orientadas a escanear de forma automática y continua tanto los archivos de configuración como los registros para detectar posibles violaciones de las políticas de cumplimiento que deba observar una empresa. Si los problemas se detectan rápidamente, las empresas pueden corregirlos antes de que desemboquen en multas de cumplimiento y/o brechas de seguridad.