A medida que aumenta la adopción de la nube, las empresas se ven sometidas a una presión cada vez mayor para proteger sus datos en entornos multi-nube. Sin embargo, puede ser un reto para las empresas gestionar el acceso a esos datos y mantenerlos seguros.
Los tipos de amenazas que se observan en entornos multi-nube no difieren de las que se producen en un entorno de nube única, afirma Crystal Morin, estratega de ciberseguridad de la empresa de seguridad Sysdig. Sin embargo, el Equipo de Investigación de Amenazas de Sysdig está observando que los atacantes se mueven entre entornos durante los ataques, lo que es motivo de preocupación para los usuarios de multi-nube.
“El mayor error que puede cometer una empresa que opera con un entorno multicloud, más allá de las prácticas normales de seguridad en la nube, es no asegurar y observar el movimiento entre los entornos en la nube”, afirma. “Mantener una visión completa de tu entorno es clave para mantenerlo seguro”.
A medida que se popularicen los entornos multi-nube, es probable que aumenten los atacantes que se mueven lateralmente por los entornos en busca de privilegios adicionales y datos sensibles que puedan estar almacenados en los distintos entornos, añade Morin.
Dado que el panorama de la nube es tan diverso, abarcando configuraciones multi-nube e híbridas, presenta una red fragmentada que amplía la superficie de ataque y complica la supervisión y la protección, dice Phani Dasari, director de seguridad de la información de HGS, una empresa de experiencia digital del cliente.
Superar esta fragmentación mediante una mayor visibilidad en todo el entorno de la nube es vital para reducir los ciberriesgos y una prioridad máxima para los equipos de seguridad, añade.
Los gnomos mágicos no son la respuesta
Las empresas deben asegurarse de que sólo puedan acceder a los datos específicos de la empresa las personas que lo necesiten para su trabajo, afirma Wayne Anderson, director de nube, seguridad e infraestructura de BDO Digital, proveedor de servicios de asesoramiento tecnológico y empresarial.
“Sin embargo, el mundo multicloud de hoy no está formado por un ejército de gnomos mágicos que tomen decisiones inteligentes y acertadas en tiempo real”, afirma. “En lugar de eso, los sistemas tienen que diseñarse o configurarse para saber qué permisos se necesitan, quién debe tener esos permisos y cómo se aplican los permisos a los datos o a las funciones de las aplicaciones. Las máquinas seguirán estas reglas al pie de la letra. Las reglas deben ser correctas”.
Para conseguirlo se necesita una organización cuyas unidades de negocio se comuniquen regularmente con el equipo de seguridad, que esté dispuesta a dedicar tanto tiempo al proceso de planificación, estableciendo cosas como el flujo de trabajo, como al de comprar las herramientas en primer lugar, según Anderson.
“Los mejores equipos de seguridad actúan como asesores y se han ganado la confianza de la empresa para ser el consultor que encuentra el equilibrio entre una implantación rápida y la protección de la empresa”, añade.
Una de las formas más eficaces de gestionar el nivel de permisos que se asignan a las entidades de una organización es mediante el control de acceso basado en roles (RBAC), dice Brandon Leiker, arquitecto principal de soluciones de seguridad de 11:11 Systems, proveedor de soluciones de infraestructura gestionada. Con RBAC, se crean varios roles basados en los tipos de usuarios o niveles de acceso que los usuarios necesitan a un entorno o a unos datos, y luego se asignan cuentas de usuario a esos roles.
“[Sin embargo], gestionar el acceso y los permisos en varios entornos de nube a través de la solución de gestión de identidades y accesos de cada entorno puede ser una carga administrativa“, afirma. “Por no hablar de que los usuarios se enfrentarán al reto de tener que gestionar varios nombres de usuario, contraseñas y tokens MFA [autenticación multifactor], lo que les hará caer en la mala práctica de reutilizar contraseñas en todos esos entornos.”
Para aliviar estas molestias, las organizaciones deberían intentar implantar soluciones de inicio de sesión único, dice Leiker. Esto permite a los administradores gestionar el acceso y los permisos en los distintos entornos en la nube utilizados por las organizaciones a través de una plataforma centralizada. Los usuarios disponen de un portal centralizado para acceder a esos entornos utilizando un único nombre de usuario, contraseña y MFA.
Los atacantes atacan las copias de seguridad
En un entorno multi-nube, garantizar la seguridad de los datos es primordial, dice Evan Pease, líder tecnológico de Launch Consulting Group. Una forma de hacerlo es mantener copias de seguridad en varias ubicaciones y disponer de sólidos planes de recuperación.
“Las configuraciones multi-nube ofrecen la flexibilidad de utilizar distintos proveedores de nube para las copias de seguridad”, afirma. “Aunque puede ser más caro almacenar datos en varias nubes, las ventajas pueden merecer la pena para algunos datos”.
Steve Costigan, director técnico de campo para EMEA de la empresa de computación en nube Zadara, está de acuerdo, y afirma que las organizaciones deben asegurarse de que las copias de seguridad sean portátiles en distintos entornos y ubicaciones.
“No quieres atarte a una solución bloqueada con opciones de recuperación limitadas”, afirma. “Asegúrate de que tienes un verdadero aislamiento entre sistemas, esto restringirá el movimiento lateral este-oeste si se produce un compromiso”.
Y es posible que las empresas quieran considerar la posibilidad de realizar copias de seguridad inmutables o en el aire, ya que la mayoría de los ataques a entornos se dirigen ahora específicamente a las copias de seguridad, según Costigan.
“Esta es tu última línea de defensa para la recuperación”, afirma. “Si tus copias de seguridad se borran o se ven comprometidas, entonces estás mirando al abismo para la integridad de tus datos”.
Los entornos multi-nube también necesitan mecanismos de control de versiones y sólidos planes de recuperación ante desastres, dice Dasari.
“Tener versiones históricas fácilmente accesibles garantiza una rápida restauración en caso de pérdida o corrupción de datos”, explica. “Probar rigurosamente el plan de recuperación ante desastres es crucial para minimizar el tiempo de inactividad y garantizar la disponibilidad de los datos”.
No se trata sólo de las herramientas técnicas
Proteger los datos en un entorno multicloud va más allá de emplear las herramientas técnicas adecuadas; se trata de adoptar un enfoque holístico que abarque aspectos administrativos y técnicos, dice Nick Harrahill, director de atención al cliente de Spin.AI, una empresa de seguridad de software como servicio (SaaS).
“En el aspecto técnico, son primordiales medidas como el cifrado de datos tanto en reposo como en tránsito, la supervisión periódica de la integridad de los datos mediante firmas digitales o hashes, y fuertes controles de gestión de identidades y accesos”, afirma. “Además, son esenciales una auditoría exhaustiva, una gestión oportuna de las vulnerabilidades, la adopción de plataformas de gestión de datos, una seguridad de red fortificada y soluciones automatizadas de recuperación ante desastres.”
Desde el punto de vista administrativo, son fundamentales las evaluaciones rigurosas de los proveedores y los contratos que garanticen el cumplimiento de los acuerdos de nivel de servicio y las normas de seguridad más estrictas, añade Harrahill. Las auditorías frecuentes de terceros, las políticas sólidas de seguridad de datos, una estrategia bien definida de respuesta a incidentes y unas directrices estrictas de gestión del ciclo de vida de los datos son igualmente vitales.
“Todo el esfuerzo de proteger los datos en una configuración multicloud se reduce a fomentar la colaboración entre clientes y proveedores, aportando cada uno su experiencia y controles”, señala. “Siempre hago hincapié en el mantra ‘confía pero verifica‘. Esta filosofía es fundamental para construir y mantener relaciones sólidas y seguras en el espacio multi-nube, garantizando la integridad y seguridad de los datos en todo momento.”
Una piedra angular para salvaguardar los datos es comprender los mecanismos de seguridad de cada proveedor de la nube y garantizar la alineación con los protocolos internos, afirma Mike Fraser, vicepresidente de DevSecOps en Sophos, proveedor de soluciones de ciberseguridad.
“El cifrado de datos requiere cifrar los datos en reposo y durante el tránsito. Aunque muchos proveedores de la nube proporcionan herramientas de cifrado, las organizaciones obtienen una mayor seguridad cuando gestionan sus claves de cifrado“, afirma.
Y la gestión de la postura de ciberseguridad y la gestión de la postura de seguridad de los datos desempeñan un papel importante en esto, al mantener configuraciones seguras y conformes de los servicios y datos en la nube, que a menudo se integran perfectamente en las modernas canalizaciones DevSecOps para garantizar el cumplimiento mediante la automatización, añade Fraser.
Lo esencial
A medida que las ciberamenazas sigan evolucionando y las normativas se hagan más estrictas, las organizaciones de todo el mundo darán prioridad a sus inversiones cibernéticas basándose en la protección de los datos “de impacto empresarial”, dice Dasari.
“Esto implica conocer en profundidad dichos datos en toda la organización y evaluar continuamente su introducción en el entorno, ya sea a través de la nube, soluciones SaaS, aplicaciones centrales o relaciones con terceros”, afirma. “Este enfoque conducirá a programas de ciberseguridad más resistentes y a minimizar los riesgos para las organizaciones”.