Sysdig
Learn Cloud Native

Sign up to receive our newsletter

Cumplimiento de SOC 2 para la seguridad de containers y Kubernetes

Si usted colabora con la gestión o la seguridad de entornos de nube o de containers, seguramente no le entusiasme especialmente preparar los informes de SOC 2, ya que es una tarea que puede resultar tediosa.

Ahora bien, considerando que el cumplimiento de SOC 2 le ayuda a evitar sanciones y multas que podrían derivarse de la infracción de otras normas de cumplimiento, el tiempo y el esfuerzo invertidos adquieren claramente otro valor. Al alertarle de posibles problemas de cumplimiento en una etapa temprana, los informes SOC 2 le permiten adelantarse a dichos problemas antes de que lleven a riesgos de cumplimiento más graves.

En este artículo explicamos qué conviene saber sobre el cumplimiento de SOC 2 cuando se trabaja específicamente con entornos basados en la nube y en containers. Como veremos, aunque las normas SOC 2 no proporcionan directrices específicas sobre cómo proteger los datos en estos entornos, existen algunas mejores prácticas básicas que los equipos deben adoptar de cara a la preparación de informes SOC y el cumplimiento en estos contextos.

¿Qué es SOC 2?

SOC 2 es un conjunto de criterios que las empresas deben seguir a la hora gestionar los datos de los clientes. Forma parte del marco de controles de sistemas y organizaciones (System and Organization Controls, SOC) desarrollado por el Instituto Estadounidense de Contadores Públicos Certificados (American Institute of Certified Public Accountants, AICPA).

Existen tres categorías de controles SOC: SOC 1, que se ocupa de los informes financieros, SOC 2 y SOC 3, que se centra en la disponibilidad y seguridad del sistema. Sin embargo, de los tres controles SOC, el SOC 2 ha ido adquiriendo cada vez más importancia en el contexto de la computación en la nube moderna por sus implicaciones para las arquitecturas centradas en la nube, como el SaaS, que por su naturaleza implican el almacenamiento o el procesamiento de datos de los clientes en la infraestructura de terceros o con aplicaciones de terceros.

¿Cuáles son los requisitos de SOC 2?

El cumplimiento de SOC 2 gira en torno a cinco criterios denominados servicios de confianza: seguridad, disponibilidad, integridad del procesamiento, confidencialidad y privacidad.

Por tanto, para cumplir con SOC 2, las organizaciones deben ser capaces de demostrar que cumplen las siguientes normas:

  • Seguridad: Implementan mecanismos de seguridad adecuados en sus aplicaciones, redes e infraestructura.
  • Disponibilidad: Mantienen la disponibilidad de los sistemas utilizando técnicas y prácticas como la recuperación ante desastres.
  • Integridad del procesamiento: Supervisan el procesamiento de los datos para garantizar su exactitud y solucionar los problemas de calidad de los datos.
  • Confidencialidad: Mantienen la seguridad de los datos sensibles (es decir, los protegen del uso indebido, la manipulación o el abuso) utilizando métodos como el control de acceso y la codificación.
  • Privacidad: Mantienen la privacidad de los datos (lo que significa que solo pueden acceder a ellos los usuarios que estén autorizados) utilizando la autenticación, controles de acceso y el cifrado.

Para obtener más información acerca de los criterios de los servicios de confianza de SOC 2, consulte el documento sobre los criterios de servicios de confianza del AICPA. Este documento explica en detalle una serie de “controles” que las empresas deben aplicar para cumplir los criterios de los servicios de confianza.

¿Cómo funcionan los informes SOC 2?

Para demostrar el cumplimiento de SOC 2, las organizaciones preparan un informe que se centra en demostrar cómo sus arquitecturas y procesos de gestión de TI se ajustan a los cinco criterios de los servicios de confianza.

Sin embargo, a diferencia de muchos otros marcos de cumplimiento, SOC 2 es conocido por su falta de especificidad respecto a la información que debe figurar en los informes de cumplimiento. Este informe deja en manos de las organizaciones la interpretación de la forma en que los criterios de los servicios de confianza deben aplicarse a sus entornos.

¿Quién necesita el cumplimiento de SOC 2?

Dado que SOC 2 ha sido desarrollado por una organización independiente y no por una agencia reguladora, no existe ningún mandato legal para cumplirlo ni tampoco existen sanciones por su incumplimiento.

A pesar de ello, muchas empresas preparan informes SOC 2 de forma voluntaria como medio para identificar los riesgos que podrían desencadenar violaciones de otros marcos de cumplimiento. Por ejemplo, una auditoría SOC 2 puede detectar controles de acceso débiles para los datos de los clientes dentro de una aplicación o una falta de encriptación al transportar los datos de los clientes por la red. Estos problemas podrían derivar en violaciones de las leyes de cumplimiento normativo como HIPAA o el GDPR, dependiendo del tipo de datos de que se trate. Identificar el problema a través de un informe SOC 2 permite corregirlo antes de que se convierta en un problema normativo.

En una línea similar, las organizaciones también pueden utilizar los informes SOC 2 para demostrar su cumplimiento con las mejores prácticas de seguridad a sus clientes o socios. Los proveedores de nubes públicas, por ejemplo, utilizan SOC 2 con este fin.

Controles SOC 2 para los containers y la nube

En general, solo dos grupos de controles de seguridad de SOC 2 tienen implicaciones para los containers y la nube. El primero de ello se enmarca dentro de la categoría de control de acceso lógico y físico, y el segundo en la de control de operaciones del sistema.

A continuación presentamos un resumen de cada categoría de controles y lo que significa para los containers y la nube.

Control de acceso lógico y físico

Esta categoría incluye seis controles que son relevantes para los entornos de containers y de nube:

  • CC6.1: En las imágenes de containers y en los entornos de ejecución, deben existir herramientas que protejan contra eventos de seguridad como la escalada de privilegios. En este sentido, herramientas como RBAC de Kubernetes pueden ser de gran ayuda.
  • CC6.2: Se deben detectar y bloquear los intentos de acceso no autorizados. Los registros de auditoría de Kubernetes son un instrumento útil para detectar este tipo de intentos.
  • CC6.3: Se deben impedir los intentos de anular los mecanismos de control de acceso. También en este caso, los registros de auditoría de Kubernetes pueden resultar útiles.
  • CC6.6: Se deben detectar las conexiones de red no autorizadas. Las herramientas de monitorización de red y las políticas de red de Kubernetes ayudan en este caso. Y también las mallas de servicios, que pueden restringir las interacciones entre microservicios.
  • CC6.7: Los datos secretos (como las contraseñas) deben gestionarse de forma segura. Asegurar el etcd de Kubernetes es importante para este fin, al igual que evitar los secretos codificados en las imágenes o despliegues de containers o en los despliegues.
  • CC6.8: Se debe detectar el software malicioso dentro de las imágenes de containers y evitar su despliegue. El escaneo de imágenes de containers es el recurso clave para esta tarea.

Control de operaciones del sistema

Bajo esta categoría, se deben cumplir dos controles:

  • CC7.2: Detectar anomalías que puedan indicar eventos de seguridad. Para ello, es necesario recopilar y analizar los registros de containers, los registros de auditoría de Kubernetes, los registros del OS de los nodos y otras fuentes de datos similares en tiempo real.
  • CC7.3: Evaluar los eventos de seguridad para conocer su impacto. La capacidad de establecer una correlación entre diversas fuentes de datos, como los registros de containers, los registros de auditoría de Kubernetes y los registros de los servidores de nodos, es fundamental para este propósito, ya que le permite interpretar las relaciones entre los eventos de seguridad e identificar la causa raíz de los riesgos de seguridad.

Conclusión

Aunque no esté obligado legalmente a cumplir con los controles de seguridad SOC 2, puede compensarle dedicar una pequeña cantidad de tiempo y esfuerzo a realizar una auditoría SOC 2, ya que le permitirá anticiparse a problemas de cumplimiento que podrían convertirse en multas reglamentarias. SOC 2 es también un instrumento valioso para demostrar a los clientes su compromiso con la seguridad y la privacidad de los datos.

Además, en lo que respecta a los containers y la seguridad, las normas SOC 2 no son especialmente complejas ni numerosas. Esta es otra razón por la que el cumplimiento de SOC 2 es una propuesta lógica para toda organización que gestione infraestructura nativa de la nube.