Cumplimiento del NIST para los containers y la nube
Si usted se dedica a gestionar o proteger entornos de nube, puede que el NIST le parezca un enemigo, pero en realidad es un amigo.
El NIST proporciona (entre otra información) directrices destinadas a ayudar a las organizaciones a proteger sus activos de TI. Aunque el cumplimiento del NIST puede parecer una carga que hay que soportar, en realidad es un recurso que puede ayudar a los equipos de TI y a los desarrolladores a establecer las mejores prácticas a la hora de diseñar y gestionar los entornos nativos de la nube.
Existe un gran número de directrices y recomendaciones del NIST, por lo que aprenderlas todas llevaría mucho tiempo. Pero para ayudarle a empezar, en este artículo le presentamos un resumen general de las recomendaciones de cumplimiento del NIST más importantes relativas a la nube y los containers, y le explicamos las mejores prácticas para el cumplimiento del NIST en entornos nativos de la nube.
¿Qué es el NIST?
El NIST es el acrónimo del National Institute of Standards and Technology (Instituto Nacional de Estándares y Tecnología), una agencia federal estadounidense encargada de desarrollar estándares y mejores prácticas para las empresas. El NIST no se centra específicamente en la ciberseguridad y el cumplimiento normativo, pero uno de sus muchos ámbitos incluye la seguridad de los sistemas de TI.
¿Qué es el cumplimiento del NIST?
El cumplimiento del NIST significa el cumplimiento de una o más de sus directrices o recomendaciones.
Este no deja de ser un tema complejo, ya que el NIST cuenta con una voluminosa biblioteca de publicaciones. Sin embargo, para los equipos y desarrolladores de TI actuales, las publicaciones más importantes del NIST incluyen los siguientes grupos:
- NIST SP 800, que proporciona directrices para lograr los objetivos de seguridad informática. Algunas publicaciones del grupo NIST SP 800 se centran en tipos específicos de sistemas, como la nube y los containers, mientras que otras abordan temas de seguridad informática en general.
- NIST SP 1800, que incluye las mejores prácticas de seguridad informática. Al igual que SP 800, algunas de las publicaciones de SP 1800 se refieren a tipos específicos de sistemas, mientras que otras abordan los requisitos de seguridad en general. Actualmente, ninguna de las publicaciones SP 1800 se ocupa de la nube o los containers en profundidad, aunque algunas se centran en temas relacionados que pueden ser de interés para los equipos que gestionan entornos de nube o containers.
¿Quién necesita cumplir con el NIST?
A diferencia de otros marcos de cumplimiento desarrollados por los gobiernos, como el GDPR y la HIPAA, las directrices del NIST no son normativas. Eso significa que no hay ningún requisito legal específico para que las empresas en general cumplan con el NIST, y el propio NIST no penaliza a las organizaciones por el incumplimiento de sus directrices.
Sin embargo, algunas organizaciones, entre las que se encuentran varias agencias del gobierno federal, pueden exigir a sus proveedores o socios que cumplan con ciertas recomendaciones del NIST Así pues, aunque no existe un mandato legal para cumplir con las normas del NIST, algunas organizaciones están obligadas a ello en virtud de los términos de los acuerdos comerciales que establecen con las agencias gubernamentales u otras organizaciones que utilizan las directrices del NIST para regular la forma en que sus socios y proveedores gestionan la seguridad de TI.
En general, seguir las directrices de seguridad del NIST es una práctica recomendada incluso si su organización no está obligada a hacerlo. Las directrices del NIST están diseñadas para proporcionar recomendaciones prácticas y sencillas que las organizaciones pueden adoptar para reducir los riesgos de ciberseguridad. Seguir las recomendaciones de cumplimiento del NIST le ayuda a establecer la postura de seguridad en la nube más sólida y a identificar los riesgos de seguridad que de otro modo podría pasar por alto.
Tenga en cuenta, además, que en comparación con muchos otros marcos de cumplimiento, las recomendaciones del NIST tienden a ser relativamente claras y detalladas, ya que el NIST hace recomendaciones técnicas bastante específicas sobre lo que los equipos de TI y los desarrolladores deben y no deben hacer en tipos concretos de entornos. Esto es algo positivo, porque despeja buena parte de la ambigüedad con la que tienen que lidiar los equipos técnicos a la hora de interpretar leyes de cumplimiento como la HIPAA, que se centra en requisitos de alto nivel y ofrece muy pocas recomendaciones técnicas específicas.
Cumplimiento del NIST para los containers y la nube
Ahora que ya sabe cómo funciona el cumplimiento del NIST en general, examinemos las recomendaciones más importantes del NIST para la seguridad de la nube y los containers. Para ello, vamos a desglosarlas con arreglo a las publicaciones específicas del NIST.
Cumplimiento de NIST SP 800-53
SP 800-53 es uno de los grupos más amplios de recomendaciones del NIST que las organizaciones deben adoptar para proteger los entornos de TI de todo tipo. Define docenas de controles de seguridad que las organizaciones pueden implementar para mitigar el riesgo de acceso no autorizado a los recursos sensibles de la nube y para agilizar la corrección de brechas si se producen.
Por ejemplo, recomienda almacenar al menos una copia de seguridad de los datos en una ubicación externa para permitir una recuperación fiable en caso de que se produzca una brecha en el sitio principal. También recomienda prácticas como el control de acceso con mínimos privilegios.
La versión más reciente de NIST SP 800-53, conocida como SP-800-53 Revisión 5, se presentó en septiembre de 2020. En esta versión se han añadido una serie de nuevas recomendaciones, entre las que destacan las relacionadas con la seguridad de la cadena de suministro, es decir, la gestión de los riesgos de seguridad informática que se originan en los sistemas de los vendedores, socios o proveedores. La Revisión 5 también ofrece recomendaciones actualizadas relacionadas con la resiliencia cibernética, la gobernanza y la responsabilidad, basadas en el análisis del NIST de las amenazas de seguridad modernas. Obtenga más información sobre cómo cumplir las directrices del NIST 800-53 para la nube y los containers.
Cumplimiento de NIST SP 800-210
SP 800-210, que se publicó en 2020, proporciona directrices sobre el control de acceso adaptadas específicamente a los entornos de nube. Se ocupa de las capas de los entornos de nube estándar: redes, hipervisores, máquinas virtuales, APIs y IaaS, así como de temas como el control de acceso a las aplicaciones SaaS.
SP 800-210 no se centra tanto en temas como la seguridad híbrida o multicloud, lo cual es una limitación dado que la mayoría de las organizaciones actuales han adoptado una (o ambas) de estas arquitecturas. No obstante, si está buscando una guía de cumplimiento del NIST específica para la nube, SP 800-210 es una lectura obligada.
Cumplimiento de NIST SP 800-190
Introducido en 2017, SP 800-190 proporciona directrices para proteger las aplicaciones en containers y los entornos en los que se ejecutan.
SP 800-190 desglosa los riesgos de seguridad de los containers basándose principalmente en la arquitectura de los entornos de containers, abarcando riesgos relacionados con la infraestructura del host, los orquestadores, los entornos de ejecución y los containers individuales. También considera cómo ayudan los controles de seguridad basados en hardware a hacer frente a los riesgos de seguridad.
Dado que SP 800-190 tiene ya cuatro años de antigüedad (y se introdujo justo antes de que estuviera claro que Kubernetes se iba a convertir en la herramienta de orquestación de containers predominante), no aborda los riesgos de seguridad específicos de Kubernetes de forma tan exhaustiva como desearían los ingenieros de TI o los desarrolladores actuales. Si desea directrices específicas sobre Kubernetes, deberá buscar más allá del NIST. Pese a ello, sigue siendo una base muy útil para garantizar el cumplimiento de las mejores prácticas de seguridad de los containers que se aplican habitualmente.
Conclusión
En resumen, hay cientos de publicaciones del NIST que tratan el tema de la ciberseguridad. Dependiendo de los tipos de workloads que ejecute en la nube o a través de containers, es posible que quiera consultar las directrices adicionales del NIST dedicadas a temas como la computación móvil o el IoT.
Como es lógico, también debe asegurarse de complementar las directrices del NIST con las últimas directrices y mejores prácticas de seguridad. Uno de los inconvenientes del enfoque del NIST a la hora de emitir directrices es que sus publicaciones no se actualizan continuamente, lo que significa que no siempre consideran los tipos de amenazas más recientes. Tampoco dedican demasiada atención a tecnologías (como Kubernetes) que no estaban tan extendidas cuando se crearon las directrices.
No obstante, el NIST sigue siendo un recurso fundamental para determinar las mejores prácticas específicas que deben aplicarse para proteger los entornos nativos de la nube modernos. Y aunque no esté obligado contractualmente a cumplir con las directrices del NIST, hacerlo voluntariamente puede ser una idea muy sabia.