Visibilidad y seguridad en la nube
Los entornos de nube son complejos. Saber lo que está ocurriendo en ellos puede ser una tarea nada sencilla, y las herramientas de monitorización y visibilidad que ofrecen los proveedores de nube solo ofrecen una solución parcial.
Para lograr verdadera visibilidad en su nube, necesita una política de gobernanza de la nube y herramientas que la hagan posible. La gobernanza de la nube consiste en un conjunto de políticas que definen cómo está configurada su nube y qué tipos de workloads puede haber en ella. Estableciendo reglas de gobernanza de la nube y aplicándolas automáticamente, las organizaciones pueden maximizar la seguridad de la infraestructura en la nube, incluso en entornos multicloud que no pueden supervisarse con un único conjunto de herramientas de monitorización nativas.
En este artículo explicamos el papel de la gobernanza para conseguir visibilidad y seguridad en la nube, así como los tipos de herramientas que los equipos pueden desplegar para aplicarla.
La gobernanza como base para la monitorización en la nube
En sentido estricto, la gobernanza de la nube no es necesaria para lograr visibilidad en la misma. Es decir, puede monitorizar lo que ocurre en su nube sin una política de gobernanza.
Sin embargo, la monitorización no sirve de mucho sin una política de gobernanza de la nube que defina cómo interpretar los datos de monitorización. Si no tiene reglas de gobernanza que definan qué tipos de configuraciones de la nube están o no permitidas en su organización, no sabrá qué hacer ante una política de IAM que conceda acceso anónimo a un cubo de almacenamiento, por ejemplo, o qué tipos de configuraciones de red son necesarias para que su nube cumpla los requisitos de seguridad.
Por tanto, la gobernanza de la nube es la base para una estrategia estrategia eficaz de monitorización y visibilidad en la nube.
Cómo lograr la seguridad de la infraestructura en la nube
Aunque la gobernanza de la nube define qué configuraciones son necesarias para que su nube sea segura, ello no garantiza que esas configuraciones existan. Para que los requisitos de gobernanza de la nube se puedan aplicar, se necesitan herramientas de seguridad de la infraestructura en la nube. Estas herramientas evalúan automáticamente sus entornos de nube para detectar violaciones de las políticas de gobernanza u otros riesgos de seguridad.
En términos generales, las herramientas de seguridad de la infraestructura en la nube se dividen en tres tipos principales de soluciones.
Infraestructura como seguridad de código
En primer lugar, puede desplegar herramientas que escaneen automáticamente las configuraciones de infraestructura como código (IaC) para detectar violaciones de las políticas o riesgos de seguridad.
Las configuraciones de IaC son archivos que definen cómo deben configurarse los entornos de nube (u otros tipos de recursos). Los equipos pueden utilizar IaC para aprovisionar máquinas virtuales que se ejecutan en la nube o gestionar cubos de almacenamiento de objetos, por ejemplo. La creación de un conjunto de reglas de IaC y su implantación automática en un entorno de nube permite a las organizaciones ahorrar mucho tiempo y evitar los riesgos asociados con los errores al configurar manualmente las workloads en la nube.
No obstante, el mayor riesgo de seguridad con los archivos IaC es que si hay una configuración insegura dentro de una plantilla de IaC, esta se desplegará automáticamente en su nube a menos que se detecte primero. Así pues, escanear los archivos IaC es un paso fundamental para aplicar las normas de gobernanza de la nube y proteger la infraestructura de la misma. Con el análisis automático de las plantillas de IaC para detectar configuraciones inseguras (como la asignación de permisos de acceso al usuario equivocado o la habilitación del acceso anónimo a los datos sensibles) cada vez que se crean o modifican las reglas IaC, las organizaciones pueden evitar muchos de los errores que provocan violaciones de la gobernanza de la nube.
Errores de configuración en la nube
Aunque el escaneo de IaC puede ayudar a evitar violaciones de la gobernanza antes de que se implanten, es posible que algunas configuraciones inseguras puedan pasar desapercibidas y ocasionen configuraciones erróneas en su entorno de nube. También puede ocurrir que se configuren algunas workloads en la nube manualmente en lugar de a través de plantillas de IaC, con el consiguiente riesgo de configuraciones inseguras por un error humano.
Las herramientas de gestión de la postura de seguridad en la nube, o CSPM, pueden ayudarle a defenderse de esta clase de amenazas. Analizando de forma automática y continua sus configuraciones de la nube en función de las políticas de IAM, los grupos de seguridad de red, las listas de control de acceso y la configuración del cifrado de datos, las herramientas de CSPM alertan a su equipo de las configuraciones inseguras que violan las políticas de gobernanza o introducen vulnerabilidades conocidas en su entorno. En ese caso, su equipo podrá tomar medidas para actualizar las configuraciones (y, si es necesario, modificar las plantillas de IaC que crearon las configuraciones inseguras en primer lugar).
Algunas herramientas de CSPM pueden incluso corregir automáticamente las configuraciones erróneas y actualizarlas por sí mismas. La corrección automática garantiza que las violaciones de la gobernanza de la nube se solucionen lo antes posible, sin esperar a que intervengan los ingenieros humanos.
Visibilidad en la nube
La última línea principal de defensa contra los riesgos de seguridad de la infraestructura en la nube son las herramientas de visibilidad, que le ayudan a detectar la presencia de actividad que revele configuraciones inseguras. Esta actividad podría deberse a una brecha activa, o tratarse simplemente de patrones de tráfico de red o de comportamiento de las aplicaciones que reflejen una configuración insegura susceptible de desencadenar o agravar una brecha.
La visibilidad en la nube abarca una extensa categoría de herramientas que pueden recopilar y analizar diferentes tipos de fuentes de datos –como registros de auditoría de la nube, registros de red y métricas de rendimiento de la infraestructura– para detectar comportamientos que podrían indicar una violación de la gobernanza. Por ejemplo, las herramientas de visibilidad en la nube pueden alertarle sobre el tráfico de red entre dos nubes privadas virtuales (VPC) que deberían estar aisladas entre sí según los términos de su política de gobernanza de la nube. Asimismo, la visibilidad en la nube podría ayudarle a identificar las cuentas que están creando workloads no autorizadas según lo estipulado por sus reglas de gobernanza de la nube.
Aunque su objetivo principal debe ser siempre evitar que se produzcan violaciones de la gobernanza y configuraciones inseguras, los errores son inevitables. Las soluciones de visibilidad en la nube le permiten detectar y responder eficazmente a los riesgos activos cuando surgen.
Un apunte sobre la gobernanza y la seguridad multicloud
Una de las ventajas de las políticas de gobernanza de la nube es que pueden aplicarse no solo a una sola nube, sino a varias. Independientemente de las nubes que utilice o de los servicios específicos que ejecute en ellas, las reglas generales que defina como parte de sus políticas de gobernanza pueden ayudarle a gestionar los riesgos en todos sus recursos basados en la nube. Esto representa una ventaja teniendo en cuenta que hoy en día cualquier empresa normal utiliza varias nubes.
Sin embargo, aplicar la gobernanza de la nube en varias nubes (o en un entorno de nube híbrida) es más difícil que hacerlo en una sola nube. La razón principal es que la mayoría de los servicios de IaC, monitorización y auditoría que ofrecen los proveedores de nube solo funcionan en las nubes respectivas de los proveedores. Esto significa, por ejemplo, que no podrá utilizar las herramientas de AWS para mantener la visibilidad o aplicar la gobernanza en Azure o GCP.
Por lo tanto, cuando trabaje con una arquitectura multicloud, lo más normal es que tenga que recurrir a soluciones de visibilidad y gobernanza de terceros que puedan identificar los riesgos en cualquier tipo de configuración de la nube. También puede utilizar los servicios de monitorización de los proveedores de la nube para ayudar a recopilar datos, pero en última instancia deberá agregar y analizar esos datos utilizando una solución externa que proporcione visibilidad centralizada en todo su entorno.
Impulsar la gobernanza de la nube
Una cosa es definir las reglas de gobernanza de la nube, y otra es diseñar una estrategia y desplegar un conjunto de herramientas que permitan cumplir la gobernanza en todas sus nubes y en todas las etapas del ciclo de vida de la nube. Pero es fundamental hacerlo para lograr una estrategia eficaz de visibilidad y optimizar la seguridad de la infraestructura en la nube.