La nube proporciona varias ventajas de seguridad sobre la tecnología local tradicional, como la capacidad de automatizar los procesos relevantes para la seguridad, incluida la respuesta completa a amenazas e incidentes. Sin embargo, a pesar de la cuidadosa adopción de la nube, los servicios en la nube pueden presentar varios riesgos que las organizaciones deben comprender y abordar durante el proceso de adquisición o las operaciones en la nube.
Las vulnerabilidades de la nube son similares a las que se encuentran en las arquitecturas tradicionales, pero las características de la nube de tenencia compartida y el acceso potencialmente ubicuo pueden aumentar el riesgo de explotación. Una evaluación exhaustiva de las implicaciones de seguridad al trasladar los recursos a la nube ayudará a garantizar la disponibilidad continua de los recursos y reducirá el riesgo de exposición a información confidencial.
Las organizaciones también deben considerar las amenazas cibernéticas a los recursos de la nube para implementar mitigaciones efectivas, tal como lo harían en un entorno en el sitio. Además, la seguridad en la nube es un proceso constante y los clientes deben monitorear continuamente sus recursos en la nube y trabajar para mejorar su postura de seguridad.
En esta publicación, veremos una lista completa de recomendaciones que las organizaciones deben aplicar para una mejor seguridad en la nube.
- Comprenda qué tipo de datos se almacenan en la nube y mantenga un registro.
- Use políticas de nube para evitar que los usuarios compartan datos públicamente sin un rol justificado por la misión.
- Asegúrese de que solo los destinatarios previstos tengan los permisos si comparte datos confidenciales con otros a través de la nube.
- Asegúrese de que cualquier software que se ejecute en el dispositivo del consumidor del servicio en la nube que acceda a un servicio en la nube solo sincronizará los datos permitidos entre el dispositivo y la nube.
- Defina los permisos apropiados para archivos y carpetas.
- Limite el acceso a los recursos de la nube y entre ellos.
- Aplique el cifrado de datos con métodos de cifrado robustos y sistemas de gestión vitales adecuadamente configurados, administrados y monitoreados.
- Comprenda sus datos y cómo fluyen a través de diferentes sistemas.
- Evalúe las áreas donde los silos de TI operativos o de infraestructura tradicionales se pueden fusionar en implementaciones en la nube.
- Configure el software para que se actualice automáticamente en sistemas en la nube.
- Asegúrese de que todos los niveles de registro estén habilitados y que los registros se almacenen de forma inmutable.
- Correlacione registros de entornos híbridos o de varias nubes.
- Utilice la autenticación multifactor con factores sólidos y solicite una nueva autenticación regular.
- Haga cumplir la autenticación de múltiples factores para el restablecimiento de contraseña.
- Use roles predefinidos en lugar de roles primitivos y mucho más granulares.
- Limite el número y los detalles de quién puede operar como una cuenta de servicio.
- Sea restrictivo al otorgar a los miembros el rol de propietario.
- Establezca un monitoreo continuo automatizado para cambios de configuración y eventos de seguridad.
- Controle la selección de imágenes de máquinas virtuales para requerir líneas de base reforzadas y permitir una ciberdefensa predecible.
- Deshabilite los protocolos mediante autenticación débil.
- Utilice contraseñas seguras para cada cuenta.
- Use diferentes cuentas para diferentes empleados.
- Use diferentes contraseñas para diferentes cuentas.
- Elimine inmediatamente las cuentas de acceso o cambie las contraseñas cuando cambie el personal.
- Cambie las contraseñas periódicamente.
- Cuando sea posible, use controles de acceso basados en la nube en los recursos de la nube.
- No incluya claves API en los sistemas de control de versiones de software donde pueden filtrarse involuntariamente.
- Use instancias dedicadas, de unidad completa o completas para cargas de trabajo confidenciales.
- Utilice la virtualización para el aislamiento en lugar de la contenedorización, para cargas de trabajo confidenciales.
- Utilice herramientas automatizadas para auditar los registros de acceso en busca de problemas de seguridad.
- Evolucionar la arquitectura y los procesos para incorporar nuevas funciones.
- Controle y audite las políticas de servicios en la nube.
- Adherirse a los estándares aplicables (p. ej., guía CSP, Center for Internet Security Benchmarks, DoD CCSRG).
- Audite los registros de acceso con herramientas automatizadas para identificar los datos sobreexpuestos.
- Garantice una formación adecuada para las personas que crean o modifican políticas de servicios en la nube.
- Siga las mejores prácticas para evitar el abuso de cuentas privilegiadas.
- Use dispositivos confiables solo para acceder a los servicios en la nube. Evite el uso de computadoras públicas para procesar datos confidenciales en la nube.
- Dispositivo de acceso físicamente seguro. Proteja el dispositivo contra el acceso no autorizado.
- Restrinja los datos confidenciales al almacenamiento aprobado y use soluciones de prevención de pérdida de datos para hacer cumplir estas restricciones.
- Utilice herramientas en la nube o de terceros para detectar errores de configuración en las políticas de servicios en la nube.
- Mantenga actualizados los sistemas operativos, los navegadores y las aplicaciones de su dispositivo de acceso, incluidas las computadoras y los dispositivos móviles, con las últimas versiones de software y parches de seguridad.
- Tenga cuidado al navegar, especialmente al no hacer clic en ningún enlace de fuentes no confiables.
- Establezca un contrato que satisfaga las necesidades organizacionales de redundancia, disponibilidad, rendimiento, propiedad/soberanía de los datos, seguridad física, manejo de incidentes y transparencia de la infraestructura de la nube.
- Asegúrese de que los contratos de desarrollo y migración estipulen el cumplimiento de estándares internos o procesos similares para mitigar el riesgo de la cadena de suministro.
- Establezca una política de cuenta de acceso simple para usar el servicio en la nube.
- Verifique si el proveedor de servicios se reserva el derecho de usar, divulgar o hacer pública su información.
- Verifique si sus propios derechos de propiedad intelectual de datos permanecen intactos.
- Comprenda si sus datos y el servicio se pueden mover o transferir a otro proveedor cuando lo desee y si hay utilidades de exportación disponibles y fáciles de usar.
- Verifique que el proveedor de servicios conserve sus derechos de información incluso si elimina sus datos de la nube.
- Compruebe si los datos, incluido cualquier almacenamiento de copia de seguridad, se pueden borrar de forma permanente de la nube cuando elimine estos datos o cuando cancele el servicio.
- Realice una copia de seguridad periódica de sus datos almacenados en el servicio en la nube.
- Desarrolle un plan de continuidad comercial y elabore alternativas cuando no haya servicio o datos en la nube.
- Mantenga una copia de seguridad local de sus datos críticos, de modo que estos datos aún puedan estar disponibles cuando el proveedor de servicios esté temporal o permanentemente fuera de servicio (por ejemplo, una interrupción de la red).