TECNOLOGÍA, INTERNET, JUEGOS

5 problemas de seguridad de multi-cloud que puede evitar

5 problemas de seguridad de multi-cloud que puede evitar

By Bitor Camar

Cuando una organización traslada su trabajo o parte de él a la nube, todo cambia: la forma en que accede, el pago, el almacenamiento y proteger sus recursos. Pero la mayoría de las empresas de hoy en día han superado esa inversión e inmersión inicial en la nube y ahora han adoptado el popular model de negocio de nubes múltiples o multi-cloud.

El enfoque de multi-cloud ha generado atractivo ya que permite a las organizaciones elegir la instancia de nube que mejor se adapte a cargas de trabajo y proyectos específicos. Eso significa que no están atados a un solo proveedor.

Sin embargo, al mismo tiempo, estos entornos presentan mucha complejidad. “Pasar a la nube es difícil, y múltiples nubes es más difícil porque el lenguaje entre nubes no está estandarizado”, dijo Scott Fanning, director senior de la firma de seguridad cibernética CrowdStrike. “Pero cuando agrega la complejidad de comprender cómo los adversarios se aprovecharán de las configuraciones incorrectas y la identidad, se da cuenta de que está lidiando con un entorno muy desafiante”.

Todo se reduce a los datos, ese recurso valioso del que dependen las empresas y del que se aprovechan los adversarios. Un informe reciente de Forrester respalda esto. El informe encontró que los entornos heterogéneos de múltiples nubes exacerban los problemas de seguridad de los datos. Además, dijo Forrester, los desafíos internos más críticos para la seguridad en la nube incluían la complejidad de los entornos de múltiples nubes y las diferencias en los controles operativos y de seguridad entre los proveedores de la nube pública.

Es por eso que Todd Moore, el vicepresidente de soluciones de protección de datos de Thales, recomienda un enfoque de «soberanía digital» de tres puntas para la protección de datos en la nube.

  • Soberanía de datos: mantener el control de sus datos sin importar dónde se encuentran.
  • Soberanía operativa: saber a dónde van sus datos concretamente cuando están en la nube.
  • Soberanía del software: escribir un software que funcionará sin problemas en cualquier entorno de nube, independientemente del proveedor.

Errores que llevan a problemas de seguridad en multi-cloud

Con la complejidad y la confusión que rodea a la seguridad de varias nubes , no sorprende que las empresas se equivoquen tanto. Aquí hay cinco errores graves que las organizaciones pueden cometer sobre la seguridad de múltiples nubes, así como consejos sobre cómo solucionarlos.

Diferencia entre seguridad local y seguridad de multi-cloud

En un entorno local, es relativamente sencillo realizar un seguimiento de dónde residen los datos y asegurarse de que estén protegidos. Sin embargo, cuando están involucrados varios proveedores de la nube, el seguimiento de los datos y garantizar su seguridad es más desafiante.

Eso es especialmente cierto cuando las empresas confían en subcontratistas: terceros que pueden ejecutar el entorno de múltiples nubes para ellos. En lugar de simplemente confiar en esos proveedores externos, las organizaciones deben tomar el control agregando controles de seguridad adicionales en la parte superior de la pila. “Tienes que continuar monitoreando, protegiendo y administrando con el tiempo”, dijo Moore. «Definitivamente no es una situación de ‘configúralo y olvídalo'».

La responsabilidad de la seguridad no recae solo en los proveedores de la nube

Simplemente, pensar que la responsabilidad total únicaente recae en los proveedores de la nube, es un sinsentido. La asociación, llamada modelo de responsabilidad compartida, define la división. Por lo general, el proveedor de la nube es responsable de la seguridad de la nube que proporciona, ya sea infraestructura, almacenamiento, software o plataforma. El cliente, por su parte, es responsable de asegurar lo que hay en esa nube: los archivos, el código, etc.

No asuma que todos los proveedores de la nube tienen responsabilidad compartida de la misma manera

El modelo de responsabilidad compartida a menudo no se comprende bien. Es probable que la confusión se deba en parte a la falta de familiaridad con el concepto, así como al hecho de que los diferentes proveedores de la nube definen sus roles de seguridad y los de sus clientes de manera diferente.

Por ejemplo, los modelos de AWS y Microsoft Azure asumen la responsabilidad de la seguridad de su hardware, software e instalaciones físicas donde alojan sus servicios. Cada proveedor define de manera única las responsabilidades del cliente. Por ejemplo, mientras que los modelos de AWS y Microsoft Azure asumen la responsabilidad de la seguridad de su hardware, software e instalaciones físicas que alojan sus servicios, cada proveedor define de manera única las responsabilidades del cliente. Con AWS, los clientes son responsables de configurar los servicios en la nube, elegir la configuración de seguridad de AWS que desean y monitorear esa seguridad. El modelo de responsabilidad compartida de Azure requiere que los clientes sean responsables de todo lo que construyen o usan dentro de esa infraestructura, incluidos los datos, los puntos finales, las cuentas y la administración de acceso.

Las organizaciones pueden administrar mejor la seguridad en diferentes entornos de nube al centralizar la administración y las políticas, dijo Moore. Para las empresas que desarrollan su propio software , una herramienta de orquestación y automatización como HashiCorp Terraform o Ansible puede garantizar que los scripts que escriben se traducirán a diferentes entornos. Estas herramientas utilizan una capa de abstracción para ayudar a las organizaciones a lidiar con las diferentes interfaces, lo que significa que no tienen que ser expertos en cada nube, agregó Moore.

No espere que todos cumplan su parte en el modelo de responsabilidad compartida

Aquí nos encontramos con algo interesante: casi todos los fallos de seguridad en la nube de hoy en día son culpa del cliente, según Gartner. Con una declaración como esa, está claro que los clientes no siempre hacen su deber.

Sin embargo, lo mismo puede ser cierto para el proveedor de la nube. En cualquier caso, las implicaciones están lejos de ser triviales. Por ejemplo, los servicios en la nube mal configurados pueden generar problemas de administración de identidad y acceso, lo que a su vez puede provocar la pérdida de datos, la introducción de malware, auditorías fallidas e incluso la exposición y el compromiso de la infraestructura subyacente. Si ocurre alguno de esos problemas de seguridad, “no se sorprenda si un adversario se aprovecha de las brechas, porque las verá”, dijo Fanning de CrowdStrike.

No subestime y pase de las herramientas de seguridad adicionales

Incluso cuando el conjunto de herramientas de seguridad de su empresa funcione a la perfección para usted en su mundo local, es posible que no sean suficientes en el mundo de la multi-cloud.

Syrus
A %d blogueros les gusta esto: