Monitorización y gestión de la seguridad en la nube: un breve resumen
No necesita ser un experto en ciberseguridad para saber que la monitorización y la gestión de la seguridad en la nube son muy importantes. En estos tiempos en los que aparecen constantemente brechas de seguridad en la nube, hasta las organizaciones de TI más desfasadas reconocen el papel crucial que desempeñan la monitorización y la gestión en la seguridad de los entornos de nube de los que dependen las empresas.
Pero la dificultad para muchos equipos está en comprender exactamente en qué consiste la monitorización y la gestión de la seguridad en la nube. La monitorización de la seguridad en la nube no es un mero servicio que se pueda activar, pensando que con ello se ha logrado la seguridad nativa en la nube. Ni tampoco algo que se consiga simplemente desplegando una herramienta o contratando a un experto.
Por el contrario, la monitorización y la gestión de la seguridad en la nube abarcan muchas facetas que adoptan formas diferentes en cada organización y deben adaptarse a la arquitectura y los workloads específicos de sus nubes.
La forma más eficaz de abordar la supervisión y la gestión de la seguridad en la nube probablemente sea dividir los procesos en función de los distintos tipos de workloads y procesos que intervienen en ellos. En este artículo lo hacemos repasando los principales conceptos y recursos que constituyen la base de la seguridad nativa en la nube y explicando cuáles son las mejores prácticas que hay que seguir cuando se trabaja con cada uno de ellos.
Gestión de IAM
La mayoría de los entornos de nube utilizan marcos de Identity and Access Management (IAM) para administrar el control de acceso y los permisos para los workloads en la nube. Mediante la creación de roles y políticas de IAM, las organizaciones definen quién puede hacer qué en los entornos de nube. Dicho de otro modo, IAM determina, por ejemplo, quién puede crear una máquina virtual o quién puede acceder a los datos de un cubo de almacenamiento de objetos.
Considerando el papel central que desempeña IAM en el control de acceso a la nube, escanear las configuraciones de IAM en busca de posibles vulnerabilidades es un paso clave en la monitorización y gestión general de la nube. Puede darse el caso de que, por ejemplo, su equipo cree accidentalmente una política de IAM que dé acceso a un cubo de almacenamiento a usuarios anónimos o que permita a alguien crear nuevas máquinas virtuales cuando en realidad esa persona solo debería tener permiso para ver las VMs que ya existen.
Utilizando herramientas de gestión de la postura de seguridad en la nube (o CSPM), las organizaciones pueden escanear automáticamente las configuraciones de IAM en busca de vulnerabilidades como estas y luego notificar a los administradores las configuraciones inseguras para que las corrijan antes de que generen una brecha.
Configuraciones de red
Los entornos de nube suelen depender de complejas configuraciones de red que definen qué workloads pueden comunicarse con otros workloads. La configuración de la red también define qué recursos de la nube son accesibles desde Internet y cuáles son visibles únicamente para los usuarios autenticados que se conectan al entorno de la nube.
Al igual que con las políticas de IAM, al configurar las redes de la nube es fácil cometer errores que podrían desencadenar o agravar un incidente de seguridad. Por ejemplo, podría habilitar la conectividad entre redes privadas virtuales (VPCs) que permitan la comunicación entre aplicaciones que deberían estar aisladas o configurar una VM basada en la nube para ejecutar un servicio utilizando un puerto predeterminado, facilitando así que los atacantes encuentren y exploten las vulnerabilidades relacionadas con el servicio.
El escaneo automático y continuo de las configuraciones de red ayuda a detectar y corregir estos riesgos, y a prevenir las brechas antes de que ocurran.
Monitorización del tráfico de red
Además de escanear las configuraciones de red, también debe escanear el tráfico de su red en la nube para detectar indicios de actividad maliciosa. Los registros de red pueden revelar acciones maliciosas, como el escaneo de puertos. Asimismo, pueden detectar la comunicación entre workloads que usted desea aislar, pero que logran comunicarse debido a un problema de configuración.
Registros de auditoría en la nube
La mayoría de los proveedores de nube ofrecen la posibilidad de crear registros de auditoría. Los registros de auditoría registran de manera sistemática los cambios en su entorno de nube, como la creación de nuevos recursos o las modificaciones en una configuración. También registran quién o qué hizo el cambio.
Mediante la monitorización de estos datos, puede detectar patrones que indiquen una vulneración o un intento de vulneración, como la creación de workloads no autorizadas o la modificación de las políticas de IAM.
Dado que los servicios de registro de auditoría nativos de los proveedores de la nube normalmente funcionan solo dentro de sus respectivas nubes y únicamente con cuentas de usuario individuales, es aconsejable que centralice y consolide los registros de auditoría de todos sus entornos y cuentas en la nube para monitorizar los datos de los registros de la forma más eficiente posible.
Monitorización del rendimiento en la nube
Además de los registros de auditoría, los proveedores de nube le permiten registrar y supervisar otras métricas de sus workloads. Las métricas exactas varían de un tipo de servicio en la nube a otro, pero todas permiten conocer el estado y la salud del servicio.
Aunque el objetivo principal de estos datos es ayudar a los equipos a gestionar el rendimiento de la nube, también desempeñan un papel en la gestión de la seguridad de la nube, ya que brindan otra posibilidad para identificar anomalías que podrían reflejar problemas de seguridad. Por ejemplo, un pico repentino en el consumo de recursos por parte de una aplicación (o de la infraestructura en la nube que la aloja) que no pueda justificarse por un aumento de la demanda legítima podría ser una señal de un ataque DDoS o de una infección por un malware que realiza actividades que consumen muchos recursos, como la minería de criptomonedas.
Lo importante es que, aunque probablemente ya utilice los datos de monitorización del rendimiento en la nube para mantener sus workloads operando de forma fiable y eficiente, también debería integrar esos datos en la monitorización y gestión de la seguridad en la nube.
Seguridad de los containers en la nube
Aunque todos los tipos de servicio en la nube presentan sus propios problemas de seguridad, probablemente no haya ninguna categoría de workload en la nube que sea tan compleja en términos de seguridad como los containers. Los containers constituyen ecosistemas en sí mismos, por lo que los equipos deben hacer frente a diferentes tipos de riesgos de seguridad. Hay que escanear las imágenes de los containers para detectar malware o vulnerabilidades. Asimismo, es preciso proteger su sistema de orquestación de containers implementando configuraciones seguras. y monitorizar el entorno de ejecución de los containers en busca de indicios de una brecha activa.
Los requisitos específicos de seguridad de los containers varían dependiendo del tipo de servicio de containers en la nube que se utilice. La seguridad de Kubernetes es diferente de la seguridad de un servicio de containers como, por ejemplo, AWS ECS. Pero independientemente de la configuración con la que se trabaje, la clave está en considerar la seguridad de los containers como un reto en sí mismo y desplegar herramientas que estén específicamente diseñadas para reconocer y subsanar las amenazas a la seguridad de los containers.
Monitorización del almacenamiento en la nube
Las amenazas de seguridad a los datos que se almacenan en la nube (ya sea en una base de datos, un cubo de almacenamiento, un volumen de almacenamiento o cualquier otro lugar) pueden tratarse utilizando muchas de las prácticas de monitorización de la seguridad en la nube que ya hemos explicado, como el escaneo de IAM y los registros de auditoría.
No obstante, otro de los problemas de seguridad que deberá gestionar cuando trabaje con el almacenamiento en la nube es la posible presencia de datos sensibles en lugares en los que no deberían aparecer. Por ejemplo, la información de identificación personal (PII) que se almacena en la nube puede estar sujeta a ciertos requisitos de seguridad impuestos por marcos normativos, como el GDPR o la CPRA. Pese a que estos mandatos no le prohíben almacenar datos sensibles en la nube, sí le exigen que aplique ciertos tipos de protecciones de privacidad y seguridad.
Para ello es importante “conocer sus datos” evaluando el contenido real de la información que almacena en la nube. Los proveedores de nube ofrecen algunos servicios (como AWS Macie) que están diseñados para identificar los datos sensibles en el almacenamiento en la nube, aunque obtendrá una mayor visibilidad desplegando herramientas de terceros que puedan escanear el almacenamiento en múltiples nubes.
Seguridad de Multicloud y de la nube híbrida
Sobre este punto, es importante señalar que la gran mayoría de las organizaciones utilizan hoy en día múltiples nubes al mismo tiempo y/o una arquitectura híbrida que combina los recursos de la nube pública con los alojados localmente o en un centro de datos privado.
Estas configuraciones requieren una estrategia de monitorización y gestión de la seguridad en la nube que funcione eficazmente en cualquier tipo de entorno. En general, esto significa aprovechar las herramientas que no dependen de una nube específica. Las herramientas de monitorización y gestión de la seguridad también deben ser capaces de integrar y analizar datos estructurados de varias maneras, ya que las nubes pueden producir diferentes tipos de archivos de registro y diferentes métricas.
Cree su propia estrategia de monitorización en la nube
Toda estrategia de monitorización y gestión de la seguridad en la nube es única por cuanto debe adaptarse a las workloads y las configuraciones específicas que protege. Pero todas las operaciones de seguridad nativa en la nube se basan en un mismo conjunto de fuentes de datos y procedimientos de análisis para prevenir, identificar y responder a las amenazas. Desde el análisis de las configuraciones de IAM y de red, pasando por la monitorización de los datos de red y rendimiento en la nube, hasta la protección de los datos sensibles de almacenamiento en la nube y otros aspectos, la gestión de la seguridad en la nube requiere un enfoque múltiple que permita identificar y solucionar los numerosos tipos de riesgos de seguridad que pueden surgir en los entornos de nube.