Todos tenemos un concepto de seguridad en nube. Estos son muy similares y pueden ir desde que la seguridad en nube es una disciplina de la ciberseguridad dedicada a asegurar los sistemas informáticos en nube, hasta ser una práctica que hace referencia a proteger la integridad de las aplicaciones, datos e infraestructura en la nube.
Sin embargo, todos tenemos la base de que la seguridad en nube abarca una amplia gama de controles, tecnologías, normas y procedimientos que se utilizan para proteger datos, aplicaciones y las infraestructuras involucradas en cloud computing.
Todos estos conceptos son válidos pues todos tenemos diferentes fuentes de conocimientos y hemos ido adquiriendo la información a medida que vamos creciendo en nuestro entorno laboral y se nos presentan retos como la adquisición de ambientes en nube y luego la implementación, puesta en marcha y administración de nuestros diferentes servicios.
Y uno de los primero que se nos suele enseñar sobre los ambientes en nube, no es precisamente ¿Qué es la seguridad en la nube?. Este llega a nosotros para recalcarnos que la seguridad en la nube es un proceso compartido, entre el cliente y el proveedor de nube. Donde los clientes son responsables de una parte de “seguridad en la nube” y el proveedor es responsable por otra parte de la “seguridad de la nube”. Por lo que es muy importante que dependiendo de nuestro proveedor de nube conozcamos los modelos de responsabilidad compartida que tienen, asegurando así la transparencia y la claridad.
Tomando en cuenta esto y siendo consciente de la importancia de tener todos los conocimientos, tanto nosotros como el resto de nuestro equipo de trabajo, te has preguntado: ¿tenemos el conocimiento de los fundamentos o pilares básicos de la seguridad en la nube?
Así que hablemos de los pilares básico, en este caso solo veremos tres fundamentos básicos de seguridad en la nube.
En donde nos enfocamos en el acceso e identidad, implementando un proceso que controle el acceso a la infraestructura y que ese usuario, identificado, tenga permisos para realizar cambios gracias a la asignación de privilegios a usuarios específicos, teniendo así una identificación y gestión segura de usuarios.
Adicional, es recomendable utilizar la autenticación multifactor (MFA) así como la federación de identidad con el proveedor de identidad existente, para mantener la identidad y accesos seguros de los usuarios. Recordemos que debemos aplicar el principio de confidencialidad, no sólo a los datos sensibles de la empresa, sino también amparar toda la información de la que seamos responsables.
La cual consistiría en garantizar que nuestros datos y toda la información de la que seamos responsables. No importa si son los datos que tenemos almacenados en una o varias bases de datos, on premise o en la nube, datos almacenados en discos de máquinas virtuales o datos almacenados en aplicaciones SaaS como O365.
Por lo que es importante implementar un sistema de control de cambios para detectar y auditar las modificaciones que se realizan, así como un sistema de copias de seguridad, que nos permita recuperar la información en caso de necesitarlo.
Para aplicar la seguridad tanto de nuestras aplicaciones, así como de nuestro cómputo, desde los endpoints hasta nuestro entorno de red.
Debemos asegurar de que las aplicaciones se mantengan seguras en todo su ciclo de vida, lo que llamamos shift left. Donde no solo administrarás la seguridad, sino que la desplazaras a la izquierda durante todo el proceso, desde el desarrollo, la salida a producción y retiro de la aplicación.
Y si tenemos desarrollo de aplicaciones, es fundamental que el manejo y almacenamiento de los secretos confidenciales de las aplicaciones deba ser algo consensuado entre el área de desarrollo y el área de seguridad. Es primordial hacer que la seguridad sea un requisito para el diseño de todo el desarrollo de aplicaciones y no que sea lo último en ser integrado en el diseño, esto es clave.
Así mismo mantengamos el acceso seguro a nuestras máquinas virtuales, donde se limite la comunicación entre los recursos o restringir el acceso entrante o saliente de internet, cuando corresponda. Adicional, es fundamental que implementemos la protección de endpoints, así como es un requisito mantener los sistemas actualizados y debidamente parcheados.
