La principal preocupación en seguridad en la nube para 2021
La nube es un entorno lleno de potencial, que brinda fácil acceso a tecnologías que no estaban disponibles hace una década. Sin embargo, ahora se puede decir que es equivalente a un centro de datos completo que se inicia con un solo comando.
El escalado para satisfacer las demandas de millones de clientes puede automatizarse por completo. El análisis avanzado de aprendizaje automático es tan simple como una llamada a la API.
Esto ha permitido a los equipos acelerar la innovación y centrarse casi exclusivamente en ofrecer valor empresarial. Pero no todo es bueno. La suposición era que junto con este aumento potencial, los desafíos de seguridad que se ve en las instalaciones también aumentarían, y los equipos deberían tener problemas con los días cero, las cadenas de vulnerabilidades y la TI en la sombra.
El mayor desafío es cometer errores en la forma de una mala configuración del servicio.
Responsabilidad compartida
La evidencia en torno a la suposición inicial que la gente hace sobre la seguridad en la nube, está relacionada con que los propios proveedores de servicios en la nube son un gran riesgo. Pero, los datos no apoyan esta suposición en absoluto.
Cada uno de los cuatro grandes proveedores de servicios en la nube, Alibaba Cloud, AWS, Google Cloud y Microsoft Azure, han tenido dos brechas de seguridad en sus servicios durante los últimos cinco años. Ahora, es importante tener en cuenta que cada uno de los cuatro grandes ha tenido que lidiar con toneladas de vulnerabilidades de seguridad durante este período de tiempo.
Una gran cantidad de servicios en la nube son simplemente ofertas de servicios administrados por proyectos comerciales o de código abierto populares, y estos proyectos han tenido varios problemas de seguridad con los que los proveedores han tenido que lidiar.
Dependiendo del tipo de servicio que esté utilizando en la nube, sus responsabilidades cambian. Si usa máquinas virtuales, usted es el responsable del sistema operativo, las aplicaciones que se ejecutan en ese sistema operativo y los datos. Y a medida que pasa a un servicio completamente administrado, solo es responsable de los datos que procesa y almacena con el servicio. Pero para todos los tipos de servicios en la nube, usted es responsable de la configuración del servicio.
A pesar de tener una línea clara de responsabilidades, los proveedores ofrecen una serie de funciones para ayudarle a cumplir con sus responsabilidades y ajustar los servicios para satisfacer sus necesidades.
Ritmo de cambio
Cuando se presentan configuraciones incorrectas, son errores, descuidos, y otras veces, son una elección incorrecta debido a la falta de conciencia. Pero todo vuelve al poder que la nube se hace accesible. La reducción de estas barreras ha tenido un aumento proporcional en el ritmo de la innovación.
Los equipos se mueven más rápido. A medida que estos equipos maduran, pueden mantener una alta tasa de innovación con una baja tasa de fallas. De hecho, el 43% de los equipos que han adoptado una filosofía de DevOps pueden implementar al menos una vez a la semana, mientras mantienen una tasa de fallas por debajo del 15%.
Cuando encuentran una falla, son capaces de resolverla en el día. Lo que es más impresionante, el 46% de esos equipos resuelven esos problemas en una hora. Pero, como se sabe, los ciberdelincuentes no necesitan un día. Cualquier apertura puede ser suficiente para ganar terreno creando un incidente.
Por otro lado, el otro 57% de los equipos, la mayoría de los cuales son de grandes empresas, a menudo sienten que su falta de ritmo brinda protección. Moverse con cautela en la nube les permite adoptar un enfoque más mesurado y reducir sus tasas de error.
Si bien esto puede ser cierto, y no hay evidencia para apoyar o refutar esta suposición, todavía se están produciendo cambios a su alrededor. Los propios proveedores de servicios en la nube se están moviendo a un ritmo rápido, en 2020, los cuatro grandes proveedores de hiperescala lanzaron más de 5.000 nuevas funciones para sus servicios.
Objetivo de la ciberseguridad
Ahora, el objetivo de la ciberseguridad es bastante simple y consiste en garantizar que todo lo que se construya funcione según lo previsto y solo según lo previsto.
En un entorno local tradicional, este enfoque estándar es un perímetro sólido y una visibilidad profunda en toda la empresa. Pero eso no funciona en la nube.
El ritmo del cambio es demasiado rápido, tanto a nivel interno como con el proveedor. Los equipos más pequeños se están construyendo cada vez más. Muy a menudo, por diseño, estos equipos actúan fuera de la infraestructura central del CIO, lo cual requiere que la seguridad se trate como otro aspecto relevante. No se puede tratar como una actividad independiente.
El rol de los controles de seguridad
La mayoría de las veces, cuando se habla de controles de seguridad, se hace referencia a lo que lo detiene, es decir un sistema de prevención de intrusiones capaz de detener gusanos y otros tipos de ataques a la red. Los controles anti malware pueden detener el ransomware, los cripto mineros y otros comportamientos maliciosos. Para cada control de seguridad, existe una lista de cosas que son capaces de detener los ataques. Esto es excelente y funciona bien para los equipos de seguridad.
Pero los constructores tienen una perspectiva diferente. Los constructores quieren construir. Cuando se enmarca en el contexto adecuado, es fácil mostrar cómo los controles de seguridad pueden ayudarlos a construir mejor.
La gestión correcta ayuda a garantizar que la configuración permanezca establecida independientemente de cuántas veces se despliegue un equipo durante la semana. Los controles de red aseguran a los equipos que solo el tráfico válido llega a su código. El control de admisión de contenedores garantiza que se implemente el contenedor correcto en el momento adecuado.
Los controles de seguridad hacen mucho más que evitar que sucedan cosas.