Aunque la informática en la nube tiene algunos riesgos, una estrategia de seguridad en la nube adecuada puede compensar considerablemente tales riesgos.
Después de leer este artículo podrás:
Contenido relacionado
¿Qué es la nube?
¿Qué es un firewall en la nube (FWaaS)?
¿Qué es la nube híbrida?
¿Qué es el almacenamiento en la nube?
¿Qué es la migración a la nube?
Suscríbete a theNET, el resumen mensual de Cloudflare sobre las ideas más populares de Internet.
Copiar el enlace del artículo
La seguridad en la nube es el conjunto de estrategias y prácticas para proteger los datos y las aplicaciones que se alojan en la nube. Al igual que la ciberseguridad, la seguridad en la nube es un área muy amplia, y es imposible prevenir todos los tipos de ataques. Sin embargo, una estrategia de seguridad en la nube bien diseñada reduce considerablemente el riesgo de ciberataques.
Incluso con estos riesgos, la informática en la nube suele ser más segura que la informática en las instalaciones. La mayoría de los proveedores de la nube tienen más recursos para mantener los datos seguros que las empresas individuales, lo que permite a los proveedores de la nube mantener la infraestructura actualizada, y parchear las vulnerabilidades lo antes posible. En cambio, puede que una empresa individual no cuente con los recursos suficientes para realizar estas tareas de forma sistemática.
Nota: La seguridad en la nube no es lo mismo que la seguridad como servicio (SECaaS o SaaS), que hace referencia a los productos de seguridad alojados en la nube.
La mayoría de los riesgos de seguridad en la nube encajan en una de estas categorías generales:
El objetivo de una estrategia de seguridad en la nube es reducir lo máximo posible la amenaza que suponen estos riesgos, mediante la protección de los datos, la gestión de la autenticación y el acceso de los usuarios, y al permanecer operativos ante un ataque.
Una estrategia de seguridad en la nube debe incluir todas las siguientes tecnologías:
Encriptación: la encriptación es una forma de codificar los datos para que solo las partes autorizadas puedan entender la información. Si un atacante hackea la nube de una empresa y encuentra datos sin encriptar, podrá llevar a cabo cualquier acción maliciosa con los datos: filtrarlos, venderlos, utilizarlos para realizar otros ataques, etc. Sin embargo, si los datos de la empresa están encriptados, el atacante solo encontrará datos codificados que no podrá utilizar, a menos que descubra de algún modo la clave de desencriptación (lo que debería ser casi imposible). De este modo, la encriptación ayuda a evitar la fuga y divulgación de datos, incluso cuando fallan otras medidas de seguridad.
Los datos se pueden encriptar tanto en reposo (cuando están almacenados) como en tránsito (mientras se envían de un lugar a otro). Los datos en la nube deben estar encriptados tanto en reposo como en tránsito para que los atacantes no puedan interceptarlos y leerlos. La encriptación de los datos en tránsito debe abordar tanto los datos que viajan entre una nube y un usuario, como a los que viajan de una nube a otra, como en un entorno de multinube o de nube híbrida. Además, los datos deben estar encriptados cuando se almacenan en una base de datos o mediante un servicio de almacenamiento en la nube.
Si las nubes de un entorno de nube híbrida o multinube están conectadas en la capa de red, una VPN puede encriptar el tráfico entre ellas. Si están conectadas en la capa de aplicación, debe utilizarse la encriptación SSL/TLS. SSL/TLS también debe encriptar el tráfico entre un usuario y una nube (ver ¿Qué es HTTPS?).
Gestión de identidades y accesos (IAM): los productos de gestión de identidades y accesos (IAM) hacen un seguimiento de quién es un usuario y qué puede hacer, y autorizan a los usuarios y deniegan el acceso a usuarios no autorizados, según sea necesario. La IAM es muy importante en la informática en la nube, porque la identidad y los privilegios de acceso de un usuario determinan si puede acceder a los datos, no el dispositivo o la ubicación del usuario.
La IAM ayuda a reducir la amenaza que supone que usuarios no autorizados accedan a activos internos y que los usuarios autorizados hagan un uso excesivo de sus privilegios. La solución IAM adecuada ayudará a mitigar varios tipos de ataques, como los ataques de apropiación de cuentas y las amenazas internas (cuando un usuario o empleado abusa de su acceso para hacer públicos los datos).
El IAM puede incluir varios servicios diferentes, o puede ser un único servicio que combine todas las siguientes capacidades:
Firewall: un firewall de nube proporciona una capa de protección alrededor de los activos de la nube bloqueando el tráfico web malicioso. A diferencia de los firewall tradicionales que se alojan localmente y defienden el perímetro de red, los firewalls de nube se alojan en la nube y forman una barrera de seguridad virtual alrededor de la infraestructura de la nube.
Los firewalls en la nube bloquean los ataques DDoS, la actividad de los bots maliciosos y la explotación de vulnerabilidades. Esto reduce las posibilidades de que un ciberataque paralice la infraestructura en la nube de una organización.
La implementación de las tecnologías anteriores (más cualquier producto adicional de seguridad en la nube) no es suficiente por sí misma para proteger los datos en la nube. Además de las mejores prácticas de ciberseguridad estándar, las organizaciones que utilizan la nube deben seguir estas prácticas de seguridad en la nube:
Configuración adecuada de los ajustes de seguridad de los servidores en la nube: Cuando una empresa no configura correctamente sus ajustes de seguridad, se puede producir una fuga de datos. Los servidores en la nube mal configurados pueden hacer públicos los datos directamente en Internet. Configurar adecuadamente los ajustes de seguridad en la nube requiere miembros del equipo que sean expertos en trabajar con cada nube, y también puede requerir una estrecha colaboración con el proveedor de la nube.
Políticas de seguridad coherentes en todas las nubes y centros de datos: las medidas de seguridad tienen que aplicarse en toda la infraestructura de una empresa, incluyendo las nubes públicas, las nubes privadas, y la infraestructura local. Si un aspecto de la infraestructura de la nube de una empresa, por ejemplo, su servicio de nube pública para el procesamiento de big data, no está protegido por una encriptación y autenticación del usuario fuertes, es más probable que los atacantes encuentren y ataquen el eslabón débil.
Planes de copia de seguridad: como pasa con cualquier otro tipo de seguridad, tiene que haber un plan para cuando las cosas se tuerzan. Para evitar que se pierdan o se manipulen los datos, hay que realizar una copia de seguridad de los datos en otra nube o en las instalaciones. También debe haber un plan de conmutación por error para que los procesos empresariales no se vean interrumpidos si falla un servicio en la nube. Una de las ventajas de las implementaciones multinube e híbridas es que se pueden utilizar diferentes nubes como copia de seguridad, por ejemplo, el almacenamiento de datos en la nube puede realizar una copia de seguridad de una base de datos local.
Educación de los usuarios y empleados: un gran porcentaje de las fugas de datos se producen porque un usuario ha sufrido un ataque de phishing, instaló sin saberlo un malware, utilizó un dispositivo anticuado y vulnerable, o tiene malas prácticas relacionadas con las contraseñas (reutiliza la misma contraseña, la deja anotada en un lugar visible, etc.). Al educar a sus empleados internos en temas de seguridad, las empresas que operan en la nube pueden reducir el riesgo de que esto suceda. (El Centro de aprendizaje de Cloudflare es un buen recurso para la educación en seguridad).
Cloudflare actúa como un plano de control unificado para la seguridad en todos los tipos de infraestructuras en la nube, incluidos los entornos multinube e híbridos. La pila de productos de Cloudflare se ejecuta en una red global de proxies que abarca 330 ciudades en más de 120 países, lo cual permite que las empresas apliquen políticas de seguridad coherentes en todas sus nubes a la vez, que bloquean ataques DDoS y explotaciones de vulnerabilidades. El uso de Cloudflare también reduce el riesgo de dependencia del proveedor.
Aprende a mejorar la seguridad de la nube con la conectividad cloud.