Seguridad en la nube

Para poder entrar en detalles en este tema de seguridad en la nube debemos tener claro que es la computación en la nube.

Cloud Computing es un modelo de negocio basado en la entrega de servicios a la carta, ya sea software, hardware o almacenamiento. En el cuál el objetivo principal es adquirir los recursos cuando sea necesario. Los beneficios de la implementación rápida, la flexibilidad, los bajos costos iniciales y la escalabilidad han hecho que la computación en la nube sea prácticamente universal entre organizaciones de todos los tamaños.

 

¿Cómo funciona la computación en la nube?

En lugar de poseer su propia infraestructura informática o centros de datos, las empresas pueden alquilar el acceso a recursos, desde aplicaciones hasta almacenamiento, de un proveedor de servicios en nube.

¿Qué es la seguridad en la nube?

La seguridad en la nube es la protección de datos, aplicaciones e infraestructuras involucradas en la computación en la nube. Muchos aspectos de la seguridad para los entornos de nube (ya sea una nube pública, privada o híbrida) son los mismos que para cualquier arquitectura de TI local.

Los problemas de seguridad de alto nivel, como la exposición y las fugas de datos no autorizados, los controles de acceso débiles, la susceptibilidad a los ataques y las interrupciones de la disponibilidad, afectan tanto a los sistemas tradicionales de TI como de la nube. 

Como cualquier entorno informático, la seguridad en la nube implica el mantenimiento de protecciones preventivas adecuadas para que usted:

• Sepa que los datos y los sistemas están seguros.
• Puede ver el estado actual de seguridad.
• Sepa de inmediato si sucede algo inusual.
• Puede rastrear y responder a eventos inesperados.

Mejores prácticas de seguridad en la nube

• • Evite la publicación de servicios en internet: si el servicio es requerido únicamente por sus colaboradores internos y además este maneja información confidencial evite que sea publicado en internet y manténgalo en su red local.
  • Haga uso de VPN: en la mayoría de lo posible haga uso de accesos seguros mediante VPN.
  • Proteja sus accesos con múltiples factores de autenticación (MFA): cuentas privilegiadas y de uso común deben estar protegidas con MFA, incluye el SaaS como servicios de correo electrónico y cualquier otra plataforma de uso corporativo.
  • Aplique la política de Negación implícita: únicamente abra puertos en servicios que sean requeridos, indicando el origen de la comunicación de ser posible, para reducir el riesgo de accesos no autorizados.
  • Mantenga sus sistemas actualizados: en caso de Infraestructura como servicio, mantenga sus sistemas actualizados al máximo posible (Tomando en cuenta sus controles de cambios y pruebas requeridas).
  • Redundancia en enlaces de internet: en nubes públicas se hace necesario tener múltiples proveedores de internet, debido a que nuestra operación dependerá de este servicio.
  • Gestionar los datos de forma segura: La seguridad de los datos debe ser la principal preocupación de todos los usuarios de la nube. 
    • El control de acceso total significa implementar cifrados estrictos y utilizar infraestructuras de clave pública adecuadas.
  • Implementar seguridad de Endpoint: Las empresas necesitan proteger los endpoint de sus redes corporativas y los dispositivos que utilizan para acceder a sus cuentas en la nube.
  • Elegir cuidadosamente los proveedores de la nube: piense como primera instancia en las necesidades de su negocios y en los beneficios reales que le traerá este cambio. Regulaciones de la industria, certificaciones internacionales, son algunos de los aspectos que debe tomar en cuenta durante el proceso de selección.
  • Proteja sus llaves de acceso: mantener las credenciales o llaves de acceso a nuestros recursos es crucial, eso significa no almacenar en repositorios de software o quemado en código. Cifre siempre que sea posible.
  • Implementar sistemas de prevención y detección de intrusiones
  • Aplicar el principio del menor privilegio: cada usuario del entorno debe tener los accesos necesarios para la ejecución de sus labores.

En una siguiente publicación veremos en detalle un conjunto de buenas prácticas de seguridad para cada tipo de servicio (SaaS, IaaS, PaaS).

Eligiendo al Proveedor Cloud

Todos los proveedores de servicios en la nube hacen lo posible para hacer cumplir las medidas de seguridad en la nube para atraer a más clientes. Sin embargo, algunos pueden afirmar que tienen la mejor protección como etiqueta de marketing, mientras que, en el sentido real, tienen esquemas de seguridad deficientes. OJO “no todo lo que brilla es oro”.

¿Cómo podemos migrar a la nube de una forma segura?

Debemos tener en cuenta que la migración a la nube es el proceso de trasladar las operaciones comerciales digitales a la nube. La migración a la nube implica mover datos, aplicaciones y procesos de TI de algunos centros de datos a otros centros de datos. 

 

Nuestro perímetro se ha extendido

La nube pasa a ser una extensión de nuestra red local en caso de que esta se encuentre en un centro de datos remoto como las nubes públicas, eso significa que debemos visualizarlo con el concepto de “Confianza Cero” y realizar el respectivo monitoreo de todos nuestros recursos y aplicar estrictas reglas de control, sin impactar los objetivos del negocio.

 

A continuación, le mostraremos 11 pasos para migrar a la nube de una forma segura:

1. 1. 1. Evaluación y análisis de las regulaciones que apliquen a su industria.
      2. Establecer el rol de arquitecto de migración
      3. Elija su nivel de integración en la nube
      4. Elegir el proveedor (Analice cada aspecto y beneficios al negocio)
      5. Establecer KPI (Indicadores claves de rendimiento) en la nube
      6. Establecer líneas de base de rendimiento
      7. Priorizar los componentes de la migración
      8. Realizar cualquier reestructuración necesaria
      9. Cree un plan de migración de datos
      10. Cambiar producción
      11. Revisar la asignación de recursos de la aplicación

Errores más comunes a la hora de migrar a la nube:

1. 1. 1. Falta de planificación
      2. Asumir que deben migrar todo tal como está
      3. Poca evaluación de los distintos proveedores
      4. Migrar todos sus datos a la vez
      5. Suponer que todos los entornos en la nube son iguales
      6. Migración de datos y flujos de trabajo sin un propósito comercial
      7. No configurar sus datos y aplicaciones para la nube
      8. No proyectar el costo de la migración a la nube
      9. Olvidarse de la seguridad

 

Resumen:

La seguridad en la nube es importante para los usuarios comerciales y personales. Todo el mundo quiere saber que su información está segura y protegida y que las empresas tienen la obligación legal de mantener seguros los datos de los clientes, y ciertos sectores tienen reglas más estrictas sobre el almacenamiento de datos.

La seguridad es un elemento esencial de su servicio en la nube y siempre debe verificar que su proveedor de servicios pueda proporcionar los niveles correctos de seguridad para su industria.

¿TIENES ALGÚN CONSEJO ACERCA DE LA SEGURIDAD EN LA NUBE? SI ES ASÍ, NO DUDE EN HACÉRNOSLO SABER A CONTINUACIÓN EN LOS COMENTARIOS.