Según el Informe sobre Adopción y Riesgos en la Nube de McAfee, la compañía de seguridad del dispositivo a la nube, el intercambio de datos confidenciales en entornos cloud aumenta un 53% cada año. Las infraestructuras en la nube ya contienen un 21% de datos confidenciales, con lo que cada vez más organizaciones son conscientes de la necesidad de proteger estos datos. Aun así, existe una noción preconcebida de que, como los proveedores de servicios en la nube ofrecen infraestructuras profesionales, la seguridad está integrada. Pero muchos ignoran el Modelo de Responsabilidad Compartida de la nube, que es el más extendido actualmente y que determina dónde empieza la responsabilidad sobre la seguridad del proveedor y dónde comienza la del usuario.
El Modelo de Responsabilidad Compartida implica que el proveedor de servicios cloud se hace responsable de la seguridad del hardware y software de la propia nube, mientras que el cliente es responsable de la seguridad de sus recursos en la nube. Esto significa que los proveedores de servicios sólo cubren la seguridad de la infraestructura cloud, no los datos del cliente o el uso de la infraestructura y las plataformas que realizan. Si las empresas están familiarizadas con la seguridad de los centros de datos, de los servidores o de infraestructuras virtuales, probablemente esto no sea ninguna sorpresa. Encriptar datos, emplear anti-malware del proveedor y configurar los controles de acceso recaen en el tejado del usuario.
“No hay que olvidar que la nube es también una red. Y, al igual que las redes, los centros de datos son susceptibles de recibir amenazas. La infraestructura en la nube tiene sus propias vulnerabilidades: si un servidor está comprometido, el malware potencialmente puede migrar a otros servidores vulnerables en el mismo entorno,” explica Ángel Ortiz, Director Regional de McAfee en España. “Este camino lateral se conoce como el tráfico ‘este-oeste’ de la red y es mucho más prominente en entornos virtualizados. Además, existen retos únicos de gestión en la nube, como orquestar controles de seguridad en un entorno dinámico que se transforma constantemente o automatizar los procesos.”
Justamente, con el nacimiento de nuevos entornos nativos en la nube, como el serverless, la nube se vuelve más cambiante. Cada uno presenta sus propios retos de seguridad y complejidades que las empresas deben afrontar.
1. No asumir quién protege el entorno cloud. La nube es compleja por naturaleza y ese hecho puede hacer pasar por alto puntos ciegos. Es importante determinar quién se responsabiliza de todos los elementos de la nube, pues asumir la propiedad sin consultar con el proveedor puede dejar vulnerable a una organización en caso de sufrir un ataque.
2. Trabajar con el proveedor de servicios cloud para construir la estrategia de seguridad desde la base. Como marca el Modelo de Responsabilidad Compartida, la seguridad es una tarea conjunta entre el proveedor y el cliente. En vez de implementar medidas de seguridad una vez descubierta una vulnerabilidad, es importante aliarse con el proveedor para prevenir ataques desde el principio.
3. Contar con un equipo de seguridad flexible que piense transversalmente en la nube. Los nuevos métodos para desarrollar aplicaciones en la nube hacen que el Modelo de Responsabilidad Compartida que ha funcionado hasta ahora se vuelva menos claro. Por eso, los profesionales de ciberseguridad necesitan estar preparados para proteger la nube de sus organizaciones, asumiendo que su proveedor únicamente se hace cargo de los requisitos de seguridad mínimos.
4. Emplear plataformas de seguridad integrales que protejan tanto el endpoint como la nube. Soluciones como McAfee MVISION Cloud proporcionan protección de datos y amenazas en Software-as-a-Service (SaaS), Infrastructure-as-a-Service (IaaS) y Platform-as-a-Service (PaaS), y permiten a las compañías adoptar servicios en la nube al tiempo que protegen la infraestructura y los datos confidenciales, y detienen las amenazas más avanzadas.
