La seguridad en la nube es una responsabilidad compartida

La seguridad en la nube es una responsabilidad compartida

  • 11 minutos

Las organizaciones se enfrentan a muchos retos con la protección de sus centros de datos, incluida la contratación y la retención de expertos en seguridad, utilizando muchas herramientas de seguridad y adaptándose al volumen y la complejidad de las amenazas.

A medida que los entornos informáticos se trasladan de centros de datos controlados por el cliente a la nube, también cambia la responsabilidad de la seguridad. La seguridad del entorno operativo ahora es una preocupación compartida por los proveedores de servicios en la nube y los clientes. Al cambiar estas responsabilidades a un servicio en la nube como Azure, las organizaciones pueden reducir el foco de interés de las actividades que no son competencias empresariales principales. En función de las opciones de tecnología concretas, algunas protecciones de seguridad se integrarán en el servicio determinado, mientras que las otras seguirán siendo responsabilidad del cliente. Para garantizar que se proporcionan los controles de seguridad adecuados, es necesario realizar una evaluación cuidadosa de los servicios y las opciones de tecnología.

Diagrama en el que se muestran las ventajas de usar la tecnología en la nube para la seguridad.

Copiar

Diagrama titulado Ventajas de seguridad de la era en la nube. Se muestran dos cuadrículas de cuadros, una titulada Enfoque tradicional y otra titulada Seguridad habilitada para la nube, con cuadros sombreados que representan una responsabilidad satisfecha, una responsabilidad no satisfecha, una responsabilidad parcialmente satisfecha y una responsabilidad del proveedor de nube. En el enfoque tradicional, los cuadros están dispersos. En cambio, en la cuadrícula de seguridad habilitada para la nube, están consolidados gracias a varios factores que lo permiten: el desplazamiento de las responsabilidades de los productos al proveedor y la reasignación de los recursos, el aprovechamiento de las funciones de seguridad basadas en la nube para una mayor eficacia y el uso de Cloud Intelligence para mejorar el tiempo de detección y de respuesta.

Descripción de amenazas de seguridad

https://www.microsoft.com/es-es/videoplayer/embed/RWkotg?pid=RWkotg-ax-85-id-oneplayer&jsapi=true&postJsllMsg=true&autoplay=false&mute=false&loop=false&market=es-es&playFullScreen=false&autoCaptions=es-es

La seguridad es una responsabilidad compartida

El primer cambio que hará es pasar de centros de datos locales a infraestructura como servicio (IaaS). Mediante IaaS está aprovechando el servicio de nivel inferior y pidiéndole a Azure que cree máquinas virtuales y redes virtuales. En este nivel, todavía es responsabilidad suya aplicar revisiones en los sistemas operativos y el software y protegerlos, así como configurar la red para que sea segura. En Contoso Shipping, está sacándole el máximo partido a IaaS cuando empieza a usar las máquinas virtuales de Azure en lugar de los servidores físicos locales. Además de las ventajas operativas, puede conseguir la ventaja de seguridad que supone externalizar lo relacionado con la protección de los elementos físicos de la red.

El cambio a la plataforma como servicio (PaaS) externaliza varios problemas de seguridad. En este nivel, Azure se hace cargo del sistema operativo y de la mayoría del software principal como, por ejemplo, los sistemas de administración de bases de datos. Todo se actualiza con las revisiones de seguridad más recientes y se puede integrar con Azure Active Directory para los controles de acceso. PaaS también incluye muchas ventajas operativas. En lugar de crear infraestructuras y subredes completas para los entornos de forma manual, puede “seleccionar y hacer clic” en Azure Portal o ejecutar scripts automatizados para activar o desactivar sistemas protegidos y complejos, y para escalarlos según sea necesario. Contoso Shipping usa Azure Event Hubs para la ingesta de datos de telemetría de drones y camionetas, así como una aplicación web con un back-end de Azure Cosmos DB con sus aplicaciones móviles; estos son ejemplos de PaaS.

Con el software como servicio (SaaS), puede externalizar prácticamente todo. SaaS es un software que se ejecuta con una infraestructura de Internet. El proveedor controla el código, pero está configurado para que lo use el cliente. Al igual que muchas empresas, Contoso Shipping usa Microsoft 365 (anteriormente Office 365), que es un buen ejemplo de SaaS.

Ilustración en la que se muestra cómo los proveedores de nube y los clientes comparten las responsabilidades de seguridad bajo diferentes tipos de implementación de servicios de proceso: local, infraestructura como servicio, plataforma como servicio y software como servicio.

Copiar

Las responsabilidades cambian del cliente a Microsoft, ya que pasan de local a IaaS, a PaaS y a SaaS. En local, todos los cuadros son el cliente. En IaaS, los hosts físicos, la red y el centro de datos ahora son Microsoft. En PaaS, Microsoft asume o comparte la responsabilidad adicional: el sistema operativo es completamente de Microsoft, mientras que los controles de red, la aplicación y la infraestructura de directorios e identidad son una responsabilidad compartida. En SaaS, los controles de red y la aplicación se convierten en responsabilidad exclusiva de Microsoft.

Para todos los tipos de implementación de nube, usted es el propietario de los datos y las identidades. Es responsable de ayudar a proteger los datos y las identidades, los recursos locales y los componentes en la nube que controla (lo que varía según el tipo de servicio).

Independientemente del tipo de implementación, siempre conserva la responsabilidad de los siguientes elementos:

  • Datos
  • Puntos de conexión
  • Cuentas
  • Administración de acceso

Seguridad de Azure: usted frente a la nube

https://www.microsoft.com/es-es/videoplayer/embed/RE2yEvj?pid=RE2yEvj-ax-86-id-oneplayer&jsapi=true&postJsllMsg=true&autoplay=false&mute=false&loop=false&market=es-es&playFullScreen=false&autoCaptions=es-es

Enfoque por capas de la seguridad

La defensa en profundidad es una estrategia que emplea una serie de mecanismos para ralentizar el avance de un ataque dirigido a adquirir acceso no autorizado a la información. Cada capa proporciona protección, de modo que, si se produce una brecha en una capa, ya existe otra en funcionamiento para evitar una mayor exposición. Microsoft aplica un enfoque por capas a la seguridad de los centros de datos físicos y de los servicios de Azure. El objetivo de la defensa en profundidad es proteger y evitar que personas no autorizadas puedan sustraer la información para acceder a ella.

La defensa en profundidad se puede visualizar como un conjunto de anillos concéntricos, con los datos que se deben proteger en el centro. Cada anillo agrega una capa adicional de seguridad en torno a los datos. Este enfoque elimina la dependencia de cualquier nivel de protección único y actúa para ralentizar un ataque y para proporcionar datos de telemetría de alertas sobre los que se puede actuar automática o manualmente. Echemos un vistazo a cada una de las capas.

Ilustración en la que se muestra la defensa en profundidad con los datos en el centro. Los anillos de seguridad que rodean los datos son: aplicación, proceso, red, perímetro, identidad y acceso, y seguridad física.

Datos

En casi todos los casos, los atacantes intentan conseguir datos:

  • Almacenados en una base de datos
  • Almacenados en discos en máquinas virtuales
  • Almacenados en una aplicación de SaaS como Microsoft 365
  • Almacenados en un almacenamiento en la nube

Es responsabilidad de aquellas personas encargadas de almacenar los datos y controlar el acceso a estos asegurarse de que la protección sea la adecuada. A menudo existen requisitos legales que dictan los controles y los procesos que deben cumplirse para garantizar la confidencialidad, la integridad y la disponibilidad de los datos.

Aplicación

  • Asegúrese de que las aplicaciones sean seguras y estén libres de vulnerabilidades.
  • Almacene los secretos de aplicación confidenciales en un medio de almacenamiento seguro.
  • Convierta la seguridad en un requisito de diseño en todo el desarrollo de aplicaciones.

La integración de la seguridad en el ciclo de vida del desarrollo de aplicaciones ayudará a reducir el número de vulnerabilidades en el código. Animamos a todos los equipos de desarrollo a que garanticen que sus aplicaciones son seguras de forma predeterminada y están siguiendo los requisitos de seguridad sin concesiones.

Proceso

  • Proteja el acceso a las máquinas virtuales.
  • Implemente la protección del punto de conexión y mantenga los sistemas revisados y actualizados.

El software malintencionado, los sistemas sin revisiones aplicadas y los sistemas protegidos incorrectamente abren el entorno a los ataques. El enfoque en esta capa es asegurarse de que sus recursos de proceso estén seguros y de que cuenta con los controles adecuados para minimizar los problemas de seguridad.

Redes

  • Limite la comunicación entre los recursos.
  • Deniegue de forma predeterminada.
  • Restrinja el acceso entrante de Internet y limite el saliente cuando sea apropiado.
  • Implemente conectividad segura a las redes locales.

En esta capa, el enfoque está en limitar la conectividad de la red en todos los recursos para permitir solo la necesaria. Al limitar esta comunicación, se reduce el riesgo de desplazamiento lateral en la red.

Perímetro

  • Use protección frente a ataques de denegación de servicio distribuido (DDoS) para filtrar los ataques a gran escala antes de que puedan causar una denegación de servicio para los usuarios finales.
  • Use firewalls perimetrales para identificar los ataques malintencionados contra la red y alertar sobre ellos.

En el perímetro de la red, se trata de la protección frente a ataques basados en red contra los recursos. Identificar estos ataques, eliminar sus repercusiones y recibir alertas sobre ellos cuando suceden son formas importantes de proteger la red.

Identidad y acceso

  • Controle el acceso a la infraestructura y al control de cambios.
  • Use el inicio de sesión único y la autenticación multifactor.
  • Audite los eventos y los cambios.

La capa de identidad y acceso consiste en garantizar que las identidades están protegidas, que solo se otorga el acceso necesario y que se registran los cambios.

Seguridad física

  • La seguridad física del edificio y el control del acceso al hardware de computación del centro de datos son la primera línea de defensa.

La intención de la seguridad física es proporcionar medidas de seguridad físicas contra el acceso a los recursos. Estas medidas garantizan que no se puedan omitir otras capas y se controle apropiadamente la pérdida o el robo.

Azure le ayuda a combatir los problemas de seguridad. Pero, aun así, la seguridad sigue siendo una responsabilidad compartida. En qué grado recae esa responsabilidad sobre nosotros depende de qué modelo se utilice con Azure. Vamos a usar los anillos de defensa en profundidad como directrices para considerar qué protecciones son adecuadas para nuestros datos y entornos.

Back to top