Hay un buen número de razones por las que más del 90 por ciento de las empresas hoy en día están en la nube. Los entornos de nube son generalmente escalables, confiables, altamente disponibles, rentables, multirregionales, flexibles, distribuidos, actualizables y seguros. Las empresas pronto llegarán a un punto de inflexión, gastando por primera vez más del 50 por ciento en aplicaciones y servicios en la nube en lugar de implementaciones en el sitio.
Pero existen algunos inconvenientes asociados con las migraciones a la nube que las empresas deben tener en cuenta. Casi dos tercios de las organizaciones consideran que la seguridad es el desafío de adopción de la nube más destacado, mientras que la privacidad, los problemas normativos, la gobernanza y el cumplimiento preocupan a más del 60 % de las empresas. Casi el 75 % de los expertos en TI considera que administrar la privacidad y la protección de datos en un entorno de nube es más complicado que en las instalaciones.
Saber qué esperar en términos de seguridad en la nube permitirá a las empresas evitar trampas y migraciones lentas. Esta publicación analizará algunos de los errores de seguridad comunes que cometen las organizaciones al migrar a la nube. También veremos cómo se puede abordar cada uno.
1. Violaciones de datos confidenciales
La violación de información confidencial ha sido un problema para la nube durante algún tiempo. El riesgo es más frecuente durante la migración a la nube. Cuando se trata de Amazon Web Services (AWS), la mayoría de las infracciones ocurren cuando los usuarios colocan sus datos confidenciales en un servicio de almacenamiento llamado ‘S3’ para fines de respaldo y procesamiento por lotes. Estos archivos pueden exponerse fácilmente si los delincuentes los encuentran.
Por ejemplo, el contratista de defensa de EE. UU. Booz Allen Hamilton filtró imágenes del campo de batalla y credenciales de administrador a través de un depósito S3 configurado de manera insegura en sistemas confidenciales. Accenture perdió los detalles técnicos de su plataforma en la nube, 40,000 contraseñas de texto sin formato, credenciales de inicio de sesión de administrador y claves de descifrado, almacenadas en al menos cuatro cubos S3 configurados para estar disponibles públicamente. Time Warner Cable perdió la información de identificación personal (PII, por sus siglas en inglés) de 4 millones de clientes al acceder a dos cubos S3 expuestos públicamente. Verizon soltó la PII de seis millones de clientes y luego filtró información técnica patentada de cubos S3 mal configurados sobre sus sistemas.
Afortunadamente, hay pasos definidos que puede tomar para asegurarse de que sus cubos S3 estén seguros.
- Asegúrese de que cualquier cambio en la configuración del depósito S3 se realice a través de una canalización de compilación y no directamente por un usuario.
- Cree políticas de defensa en profundidad para los depósitos de Amazon CloudFront y S3 para evitar que queden expuestos mediante la URL de S3.
- Utilice las políticas de gestión de acceso e identidad (IAM) adecuadas, incluido el uso de roles de aplicación, para controlar el acceso al depósito desde otros servicios, como EC2 o Lambda.
2. Fuga de credenciales
Las credenciales con privilegios elevados, como nombres de usuario, contraseñas o claves de acceso secretas, son necesarias para que cualquier aplicación se ejecute correctamente. Pero pueden quedar expuestos cuando las empresas no cuidan bien estas credenciales. La mayoría de los piratas informáticos envían bots para buscar credenciales en GitHub, un famoso repositorio de código fuente. Cuando las credenciales están codificadas o almacenadas en el control de código fuente, la infraestructura y el código de la aplicación pueden exponer las claves secretas utilizadas para la autenticación.
¿Qué se puede hacer para evitar que se carguen credenciales confidenciales en GitHub?
- Utilice la herramienta de administración de código fuente Git para detectar datos confidenciales. Permitirá a los desarrolladores y equipos de seguridad escanear los repositorios de Git e identificar las credenciales que no deberían estar expuestas.
- Utilice y ejecute las herramientas de su proveedor de nube para reducir la necesidad de almacenar credenciales en código fuente o archivos.
3. Falta de políticas claras
Una gran ventaja de los entornos de nube es su flexibilidad y escalabilidad. Pero estas propiedades también presentan desafíos complejos para los equipos de seguridad, cuando las empresas no tienen políticas de nube o no las hacen cumplir si las tienen. ¿Qué pueden hacer las empresas para definir e implementar políticas?
- Cree herramientas automatizadas como evidencia.io o Dome9 para hacer cumplir estas políticas.
- Capacite a sus administradores para informarles sobre lo que pueden hacer y lo que no.
- Escanee todos los documentos que ingresen a su red a través del correo electrónico en busca de virus.
4. No examinar a sus proveedores
El uso de proveedores de la nube es inevitable. La forma en que selecciona y trata a los proveedores puede ser perjudicial para la seguridad de su nube si no se hace correctamente. Por ejemplo, la violación de datos de Verizon, que expuso 6 millones de registros de clientes, ocurrió cuando un socio colocó datos de registro en un depósito S3 de acceso público. Las malas prácticas de un proveedor externo también resultaron en la infracción de Time Warner Cable. Aquí hay algunas pautas para manejar a sus proveedores.
- Al elegir un proveedor, examine minuciosamente sus prácticas de seguridad y asegúrese de que puede hacer cumplir las políticas.
- Nunca firme un contrato ni use servicios antes de entender cómo mantendrán sus datos seguros.
- Haga que la seguridad sea parte de su acuerdo. Asegúrese de que todos los requisitos de seguridad se mencionen claramente en el contrato.
- Responsabilice a sus proveedores de la seguridad de los datos.
5. Las cuentas se vuelven locas
Algunas filtraciones de datos confidenciales ocurren cuando los empleados crean cuentas de AWS en nombre de sus empresas. Curiosamente, la violación de Verizon mencionada anteriormente fue causada por una cuenta S3 deshonesta creada por un empleado. Por lo tanto, las políticas claras y el monitoreo de las cuentas son esenciales para evitar que los empleados tengan acceso ilimitado. Estas son algunas de las mejores prácticas.
- Defina claramente un proceso de creación de cuenta.
- Defina una política de uso de la nube en toda la empresa para eliminar la confusión y alinear a las personas con los requisitos de seguridad.
- Cree una estructura o jerarquía de cuentas de valores para administrar varias cuentas.
- Aproveche las API y los scripts de AWS para establecer una configuración de seguridad básica en todas las cuentas.
6. Configuración incorrecta de la red
Una red configurada incorrectamente es una trampa técnica con la que puede encontrarse si es nuevo en la nube. Una encuesta reciente de 300 profesionales de TI revela que la mayoría de las empresas son vulnerables a los eventos de seguridad debido a una mala configuración de la nube. La configuración incorrecta significa que las instancias de la nube pública están mal configuradas de tal manera que son susceptibles a infracciones.
¿Entonces qué vas a hacer?
- Supervise de cerca la nube privada virtual (VPC) y la configuración de la lista de control de acceso (ACL) de la red.
- No permita que todas las direcciones IP accedan a su red.
- Utilice herramientas de seguridad de terceros para ver las configuraciones siempre.
- Involucre a probadores de seguridad externos para asegurarse de que todo esté configurado correctamente.
7. No usar el cifrado adecuado
El cifrado adecuado es necesario cuando se utilizan servicios en la nube. El cifrado convierte los datos confidenciales en algo ilegible e inutilizable. Por lo tanto, el cifrado de datos confidenciales es una defensa fundamental contra el robo de datos. Los datos cifrados, incluso si son robados, son inútiles para terceros sin las claves de cifrado para descifrarlos.
¿Cómo garantizamos un cifrado adecuado?
- Formular una política de cifrado en la nube
- Defina qué datos necesitan cifrado y cuándo
- Implementar soluciones de cifrado y gestión de claves.
- No almacene los datos de autenticación y del titular de la tarjeta más confidenciales: datos de seguimiento completo, códigos de verificación de la tarjeta y PIN y bloqueos de PIN.
- Integre su solución de encriptación con herramientas DLP que pueden detectar y generar alertas sobre la actividad en torno a datos confidenciales para evitar el acceso no autorizado o el intercambio de documentos que contienen información protegida.
- No descuide el cifrado de dispositivos móviles.