Como ocurre con la mayoría de los esfuerzos, incorporar la seguridad al proceso lo antes posible es esencial al crear o migrar a tecnologías como la nube. Ya sea que esté comenzando su viaje de migración de servicios clave a la nube o lanzando un proyecto imperecedero nativo de la nube, es crucial involucrar a especialistas en seguridad con un profundo conocimiento del modelo de seguridad de la nube. Esto garantiza la implementación exitosa de un sistema seguro y robusto.
Modelo de responsabilidad compartida
Si se encuentra en una etapa temprana de este proceso, como líder tecnológico, comprender el modelo de responsabilidad compartida en la nube es crucial. Hay elementos de cada uno de los servicios ofrecidos por los diferentes proveedores de servicios en la nube (CSP) que son responsables de monitorear, defender y proteger, como la infraestructura física y los controles de acceso en los centros de datos, respaldos de energía resilientes y similares. Todas las cosas que normalmente se espera que proporcione un centro de datos, las proporcionarán los CSP, y algo más, muy bien ajustado en virtud de operar a una escala verdaderamente masiva.
Aléjate del metal
El desafío radica en los detalles necesarios para tomar decisiones informadas sobre qué servicios utilizar, considerando factores como el precio, la seguridad y los gastos generales y el mantenimiento a largo plazo. En conversaciones con empresas en este viaje, recomiendo alejarse lo más posible del metal desnudo siempre que sea posible. Esto implica aprovechar servicios altamente virtualizados y en contenedores como Fargate y Lambda de AWS, Cloud Run y Cloud Functions de Google, o Azure Containers y Azure Functions de Microsoft.
Una consideración aquí es que estos servicios administrados son, bueno, administrados, por lo que hay que pagar una prima más alta por ellos que las ofertas más básicas. Vale la pena revisarlo detenidamente teniendo en cuenta la gran cantidad de personal que necesitaría contratar y administrar para hacer el mismo nivel internamente.
Además de esto, querrá invertir en su canalización de código utilizando un modelo de integración continua e implementación continua (CI/CD) que le permita ejecutar rápidamente implementaciones que enfrentan una batería de pruebas automatizadas antes de ser aprobadas para pasar a producción. La clave son procesos bien definidos que hagan cumplir los estándares de servicio, seguridad y calidad del código y produzcan resultados repetibles.
En muchos casos, estos servicios administrados (como Lamdas y sistemas de contenedores) significan que el CSP es responsable de cierta medida de monitoreo y administración de la seguridad en torno a esas herramientas, por lo que en lugar de que usted y su equipo deban dedicar recursos para mantenerse actualizados. Con todos los parches necesarios para un sistema operativo Linux, su proveedor de nube lo administra por usted. Nota: los servicios en la nube cambian regularmente, por lo que debe confirmar que cualquier servicio que utilice incluya parches y versiones automatizados antes de comenzar.
La idea aquí es que AWS, Google y Azure suelen ser mejores en algunas de estas prácticas de gestión de seguridad y en mantener las cosas actualizadas que la mayoría de las organizaciones. Hay algunas excepciones notables; En particular, cabe señalar que Microsoft ha tenido un año muy malo en términos de seguridad en todos sus productos. Si no lo ha leído, eche un vistazo al informe de la Junta de Revisión de Seguridad Cibernética (CSRB) del gobierno de EE. UU. sobre las infracciones de Microsoft del año pasado. Es una evaluación bastante aleccionadora de algunas fallas de seguridad catastróficas dentro de la empresa.
Evaluaciones de madurez y visibilidad de la junta directiva
Si ha invertido mucho en entornos de nube, es fundamental realizar una evaluación de riesgos de seguridad de su infraestructura de nube. Centrarse en áreas clave:
- Gestión de identidad y acceso: revise y proteja el acceso a máquinas privilegiadas y las cuentas raíz con autenticación basada en claves criptográficas para máquinas y MFA respaldada por hardware FIDO2 para los usuarios, especialmente los privilegiados.
- Máquinas virtuales y terminales: asegúrese de que los procesos de parcheo cubran todas las vulnerabilidades explotadas conocidas de CISA dentro de los plazos recomendados. Mida su tiempo de aplicación de parches y realice un seguimiento como una métrica empresarial ejecutiva.
- Postura de seguridad accesible a Internet: asegúrese de que las reglas de firewall estén denegadas de forma predeterminada para la mayoría de las conexiones entrantes y salientes.
- Registro: habilite el registro en todas partes y haga que un equipo revise los registros periódicamente.
- Copia de seguridad y restauración: implemente un proceso sólido de copia de seguridad y restauración, idealmente con copias de seguridad independientes de sus cuentas principales en la nube para protegerse contra un compromiso catastrófico de la cuenta.
Una vez que haya establecido una línea de base para estas áreas clave de riesgo y madurez, comience a considerar la compra de servicios o el desarrollo de capacidades para mantenerlos monitoreados, con visibilidad e informes en los niveles más altos de su organización. Este es un paso enormemente valioso para garantizar que la comprensión de los riesgos de seguridad cibernética asociados con la TI y la nube no sea algo limitado solo al equipo técnico sino también a la junta directiva.
Elliott Wilkes es director de tecnología de Advanced Cyber Defense Systems. Wilkes, un experimentado líder en transformación digital y gerente de productos, tiene más de una década de experiencia trabajando con los gobiernos estadounidense y británico, más recientemente como consultor de seguridad cibernética para la administración pública.