¿Cómo funciona la seguridad en la nube? | Seguridad en la informática en la nube

Aunque la informática en la nube tiene algunos riesgos, una estrategia de seguridad en la nube adecuada puede compensar considerablemente tales riesgos.

Objetivos de aprendizaje

Después de leer este artículo podrás:

  • Entender qué es la seguridad en la nube
  • Explorar las tecnologías de seguridad para la informática en la nube
  • Más información sobre las mejores prácticas de seguridad en la nube

Copiar enlace del artículo

¿Qué es la seguridad en la nube?

La seguridad en la nube es el conjunto de estrategias y prácticas para proteger los datos y las aplicaciones que se alojan en la nube. Al igual que la ciberseguridad, la seguridad en la nube es un área muy amplia, y es imposible prevenir todos los tipos de ataques. Sin embargo, una estrategia de seguridad en la nube bien diseñada reduce considerablemente el riesgo de ciberataques.

Incluso con estos riesgos, la informática en la nube suele ser más segura que la informática en las instalaciones. La mayoría de los proveedores de la nube tienen más recursos para mantener los datos seguros que las empresas individuales, lo que permite a los proveedores de la nube mantener la infraestructura actualizada, y parchear las vulnerabilidades lo antes posible. En cambio, puede que una empresa individual no cuente con los recursos suficientes para realizar estas tareas de forma sistemática.

Nota: La seguridad en la nube no es lo mismo que la seguridad como servicio (SECaaS o SaaS), que hace referencia a los productos de seguridad alojados en la nube.

¿Cuáles son los principales riesgos de seguridad en la nube?

La mayoría de los riesgos de seguridad en la nube encajan en una de estas categorías generales:

  • Los datos están expuestos o se han filtrado
  • Un usuario no autorizado de fuera de la organización tiene acceso a los datos internos
  • Un usuario interno autorizado tiene demasiado acceso a los datos internos
  • Un ataque malicioso, como un ataque DDoS o una infección de malware, paraliza o destruye la infraestructura en la nube

El objetivo de una estrategia de seguridad en la nube es reducir lo máximo posible la amenaza que suponen estos riesgos, mediante la protección de los datos, la gestión de la autenticación y el acceso de los usuarios, y al permanecer operativos ante un ataque.

¿Cuáles son algunas de las tecnologías clave para la seguridad en la nube?

Una estrategia de seguridad en la nube debe incluir todas las siguientes tecnologías:

Encriptación: la encriptación es una forma de codificar los datos para que solo las partes autorizadas puedan entender la información. Si un atacante hackea la nube de una empresa y encuentra datos sin encriptar, podrá llevar a cabo cualquier acción maliciosa con los datos: filtrarlos, venderlos, utilizarlos para realizar otros ataques, etc. Sin embargo, si los datos de la empresa están encriptados, el atacante solo encontrará datos codificados que no podrá utilizar, a menos que descubra de algún modo la clave de desencriptación (lo que debería ser casi imposible). De este modo, la encriptación ayuda a evitar la fuga y divulgación de datos, incluso cuando fallan otras medidas de seguridad.

Los datos se pueden encriptar tanto en reposo (cuando están almacenados) como en tránsito (mientras se envían de un lugar a otro). Los datos en la nube deben estar encriptados tanto en reposo como en tránsito para que los atacantes no puedan interceptarlos y leerlos. La encriptación de los datos en tránsito debe abordar tanto los datos que viajan entre una nube y un usuario, como a los que viajan de una nube a otra, como en un entorno de multinube o de nube híbrida. Además, los datos deben estar encriptados cuando se almacenan en una base de datos o mediante un servicio de almacenamiento en la nube.

Si las nubes de un entorno de nube híbrida o multinube están conectadas en la capa de red, una VPN puede encriptar el tráfico entre ellas. Si están conectadas en la capa de aplicación, debe utilizarse la encriptación SSL/TLS. SSL/TLS también debe encriptar el tráfico entre un usuario y una nube (ver ¿Qué es HTTPS?).

Gestión de identidades y accesos (IAM): los productos de gestión de identidades y accesos (IAM) hacen un seguimiento de quién es un usuario y qué puede hacer, y autorizan a los usuarios y deniegan el acceso a usuarios no autorizados, según sea necesario. La IAM es muy importante en la informática en la nube, porque la identidad y los privilegios de acceso de un usuario determinan si puede acceder a los datos, no el dispositivo o la ubicación del usuario.

La IAM ayuda a reducir la amenaza que supone que usuarios no autorizados accedan a activos internos y que los usuarios autorizados hagan un uso excesivo de sus privilegios. La solución IAM adecuada ayudará a mitigar varios tipos de ataques, como la toma de posesión de cuentas y los ataque internos (cuando un usuario o empleado abusa de su acceso para hacer públicos los datos).

El IAM puede incluir varios servicios diferentes, o puede ser un único servicio que combine todas las siguientes capacidades:

  • Los proveedores de identidad (IdP) autentican la identidad del usuario
  • Los servicios de inicio de sesión único (SSO) ayudan a autenticar las identidades de los usuarios para múltiples aplicaciones, para que los usuarios solo tengan que iniciar sesión una vez para acceder a todos sus servicios en la nube
  • Los servicios de Autenticación multifactor (MFA) refuerzan el proceso de autenticación del usuario
  • Los servicios de Control de acceso permiten y restringen el acceso de los usuarios

Firewall: un firewall en la nube proporciona una capa de protección en torno a los activos en la nube al bloquear el tráfico web malicioso. A diferencia de los firewalls tradicionales, que están alojados en local y defienden el perímetro de la red, los firewall en la nube se alojan en la nube y forman una barrera de seguridad virtual en torno a la infraestructura de la nube. La mayoría de los firewall de aplicaciones web se incluyen en esta categoría.

Los firewalls en la nube bloquean los ataques DDoS, la actividad de los bots maliciosos y la explotación de vulnerabilidades. Esto reduce las posibilidades de que un ciberataque paralice la infraestructura en la nube de una organización.

¿Qué otras prácticas son importantes para mantener la seguridad de los datos en la nube?

La implementación de las tecnologías anteriores (más cualquier producto adicional de seguridad en la nube) no es suficiente por sí misma para proteger los datos en la nube. Además de las mejores prácticas de ciberseguridad estándar, las organizaciones que utilizan la nube deben seguir estas prácticas de seguridad en la nube:

Configuración adecuada de los ajustes de seguridad de los servidores en la nube: Cuando una empresa no configura correctamente sus ajustes de seguridad, se puede producir una fuga de datos. Los servidores en la nube mal configurados pueden hacer públicos los datos directamente en Internet. Configurar adecuadamente los ajustes de seguridad en la nube requiere miembros del equipo que sean expertos en trabajar con cada nube, y también puede requerir una estrecha colaboración con el proveedor de la nube.

Políticas de seguridad coherentes en todas las nubes y centros de datos: las medidas de seguridad tienen que aplicarse en toda la infraestructura de una empresa, incluyendo las nubes públicas, las nubes privadas, y la infraestructura local. Si un aspecto de la infraestructura de la nube de una empresa, por ejemplo, su servicio de nube pública para el procesamiento de big data, no está protegido por una encriptación y autenticación del usuario fuertes, es más probable que los atacantes encuentren y ataquen el eslabón débil.

Planes de copia de seguridad: como pasa con cualquier otro tipo de seguridad, tiene que haber un plan para cuando las cosas se tuerzan. Para evitar que se pierdan o se manipulen los datos, hay que realizar una copia de seguridad de los datos en otra nube o en las instalaciones. También debe haber un plan de conmutación por error para que los procesos empresariales no se vean interrumpidos si falla un servicio en la nube. Una de las ventajas de las implementaciones multinube e híbridas es que se pueden utilizar diferentes nubes como copia de seguridad, por ejemplo, el almacenamiento de datos en la nube puede realizar una copia de seguridad de una base de datos local.

Educación de los usuarios y empleados: un gran porcentaje de las fugas de datos se producen porque un usuario ha sufrido un ataque de phishing, instaló sin saberlo un malware, utilizó un dispositivo anticuado y vulnerable, o tiene malas prácticas relacionadas con las contraseñas (reutiliza la misma contraseña, la deja anotada en un lugar visible, etc.). Al educar a sus empleados internos en temas de seguridad, las empresas que operan en la nube pueden reducir el riesgo de que esto suceda. (El Centro de aprendizaje de Cloudflare es un buen recurso para la educación en seguridad).

¿Cómo proporciona Cloudflare seguridad en la informática en la nube?

Cloudflare actúa como un plano de control unificado para la seguridad en todos los tipos de infraestructuras en la nube, incluidos los entornos multinube e híbridos. La pila de productos de Cloudflare se ejecuta en una red global de proxies que abarca 270 ciudades en más de 100 países, lo cual permite que las empresas apliquen políticas de seguridad coherentes en todas sus nubes a la vez, que bloquean ataques DDoS y explotaciones de vulnerabilidades. El uso de Cloudflare también reduce el riesgo de dependencia del proveedor.