Conozca la ingeniería de seguridad de nube
Objetivos de aprendizaje
Después de completar esta unidad, podrá:
- Definir la ingeniería de seguridad de nube.
- Identificar cómo trabajan los ingenieros de seguridad de nube con otros equipos y proveedores.
- Explicar la importancia de la ingeniería de seguridad de nube.
¿Qué es la ingeniería de seguridad de nube?
La informática en la nube presenta muchos problemas y desafíos únicos de seguridad. En la nube, los datos se almacenan con un proveedor de terceros, y se accede a ellos en Internet. Esto significa que la visibilidad de la estructura que contiene estos datos se encuentra limitada. Por lo tanto, es posible que los clientes no tengan una vista clara de la superficie de ataque y que les resulte difícil predecir los vectores de ataque que un atacante podría aprovechar. Es fundamental que el cliente y el proveedor de servicios en la nube (CSP) comprendan sus respectivas funciones y los problemas de seguridad inherentes de la informática en la nube.
Como ingeniero de seguridad de nube, debe ayudar a su organización a mantener una postura sólida de seguridad en la nube. Para hacer esto, debe proteger la confidencialidad, la integridad y la disponibilidad (confidentiality, integrity, and availability, CIA) de los sistemas de nube, además de la información que estos sistemas almacenan y procesan. Examinemos con más detenimiento lo que significa cada uno de estos términos.
-
Confidencialidad significa mantener los datos privados o en secreto. Para ello, se debe controlar el acceso a los datos y evitar su difusión no autorizada. Por ejemplo, solo los empleados de plantilla autorizados deben tener acceso a la base de datos de la nómina de empleados.
-
Integridad significa asegurar que los datos no hayan sido manipulados y que, por lo tanto, sean de confianza. Por ejemplo, se debe asegurar que la información del producto y el precio sea correcta en un sistema de comercio electrónico.
-
Disponibilidad significa asegurar que la infraestructura, los sistemas y las actualizaciones se encuentren en funcionamiento, y que los usuarios autorizados tengan acceso oportuno y confiable a los recursos cuando los necesitan, por ejemplo, para evitar ataques de denegación de servicio en que los actores malintencionados hagan que los usuarios previstos no tengan acceso a un sistema.
Conozcamos a Andrea. Ella es ingeniera de seguridad de nube en una universidad. Ayuda a su organización a adoptar, desarrollar y poner en práctica tecnologías de nube. Trabajó en proyectos como la migración a la nube del sistema heredado de programación de cursos y la planificación y la ingeniería de un nuevo sistema nativo de la nube para funciones administrativas.
Hoy, Andrea evalúa la infraestructura existente de la universidad e investiga soluciones para la migración de distintas funciones, como un almacén de bases de datos asociado con un trabajo académico, a un sistema basado en la nube. Evalúa la infraestructura de TI existente de la universidad y propone cambios en conjunto con los equipos de arquitectura e ingeniería. Trabaja estrechamente con estos equipos para integrar la estructura existente de la base de datos en el sistema basado en la nube.
Migración de sistemas, mejora de la seguridad y aplicación de políticas
Cuando el equipo decide migrar el almacén de bases de datos a la nube, Andrea ayuda con la migración y mantiene el sistema en la nube. También negocia los términos con los proveedores de servicios en la nube que la universidad contrata. Durante el proyecto, Andrea le comunica los progresos a la gestión de alto nivel de la universidad.
Andrea trabaja todos los días para mejorar la seguridad de los sistemas basados en la nube de la universidad y los datos de sus estudiantes, su cuerpo docente y sus miembros del personal. Desarrolla, implementa y enseña las mejores prácticas de seguridad en la huella de TI de la universidad, incluidos el aporte de recomendaciones de seguridad sobre temas como el diseño de microservicios (un enfoque de arquitectura para el desarrollo de una aplicación única como un conjunto de servicios pequeños) y el desarrollo de aplicaciones. Siempre analiza las estructuras de nube existentes para crear métodos de seguridad nuevos y mejorados, y colabora estrechamente con los arquitectos de seguridad de la universidad para desarrollar marcos de seguridad de nube para su organización.
También ayuda a reforzar las políticas de seguridad y a implementar controles de seguridad para los sistemas de nube, incluidos los controles relacionados con la gestión del acceso, la autenticación, la seguridad de aplicaciones, la protección de datos, la gestión de claves, el cifrado y los firewalls. Trabaja con los equipos de aplicaciones e infraestructura para diseñar la infraestructura (de las redes, los sistemas operativos y las bases de datos) y las aplicaciones a fin de proporcionar protección contra los atacantes, y establecer y mantener una nube segura. Incluso pasa a lo práctico e implementa mecanismos de protección física como firewalls y túneles de red privada virtual (VPN).
Monitoreo de sistemas y generación de informes sobre las métricas
Además de implementar estas protecciones de seguridad, Andrea supervisa la postura de seguridad de la infraestructura y los sistemas de nube de la universidad, y ayuda con la respuesta a incidentes. Proporciona protección contra las amenazas de día cero e inspecciona el tráfico cifrado y sin cifrar para detectar amenazas en toda la cadena de eliminación (un modelo que describe las etapas de un ciberataque). Realiza simulaciones de amenazas para detectar posibles riesgos y poner a prueba las vulnerabilidades de seguridad. También configura el monitoreo de los sistemas clave para verificar que la CIA de los recursos y los procesos críticos. Revisa los registros de los sistemas y las aplicaciones para comprobar que se hayan completado los trabajos programados críticos, como las copias de seguridad.
Por último, Andrea desarrolla las métricas clave de seguridad de nube, las mantiene y genera informes sobre ellas. Entre algunos ejemplos de métricas de las que ella realiza un seguimiento, se encuentran la cantidad de dispositivos sin gestionar con acceso a datos confidenciales en la nube, la cantidad de instancias de datos confidenciales en la nube en las que la organización no gestiona las claves de cifrado y la cantidad de aplicaciones de nube sin gestionar que no tienen registros para realizar un seguimiento de la actividad y los inicios de sesión de los usuarios. Trabaja con los equipos de tecnología y negocios para remediar las brechas que estas métricas representan. También trabaja con el equipo de respuesta a incidentes para remediar los incidentes y las fallas tecnológicas, y recuperarse de estos, y se coordina y comunica con los equipos afectados. Es una verdadera superheroína de la seguridad de nube.
Equipos de seguridad de nube
Como ingeniero de seguridad de nube, a menudo sirve como parte de un equipo mayor dedicado a la seguridad y la gestión basadas en la nube. Debe instruir a otros equipos acerca de métodos adecuados de codificación. También debe trabajar con equipos de funciones cruzadas, que son una mezcla de equipos de software, operaciones y arquitectura.
Además, el uso de informática en la nube podría implicar la externalización de una cantidad en aumento de funciones de TI. Es común que una compañía trabaje con contratistas y subcontratistas para aprovechar habilidades especializadas, como el cifrado de datos, la gestión de claves y la autenticación en la nube. En algunos casos, un ingeniero podría necesitar comunicarse por teléfono o email con un recurso técnico de una ciudad lejana que trabaja en su infraestructura de nube. Estos compañeros de nube proporcionan al proyecto experiencias que tal vez no tengan los trabajadores internos. Es una estrategia efectiva a medida que continúa el avance de las tecnologías de nube.
La importancia de la ingeniería de seguridad de nube
Todo el planeta se está comenzando a impulsar en mayor medida con tecnología informática. Casi todos los sectores dependen cada vez más de varias formas de tecnología para realizar sus operaciones diarias. Como parte de este panorama cambiante, la seguridad se volvió una consideración esencial.
Debido a que las compañías dejan atrás los modelos de infraestructura en las instalaciones para adoptar un enfoque que prioriza la nube cuando actualizan entornos o diseñan nuevos, la necesidad de contratar especialistas en tecnología con experiencia en la nube creció de forma significativa.
Todos los sistemas de TI conectados a Internet requieren una seguridad sólida. La nube es vulnerable a los ataques en particular debido a que la superficie de amenaza es muy amplia. Cuando las aplicaciones se alojan en el centro de datos propio de una compañía, el panorama de seguridad puede resultar sencillo: Debe aplicar la tecnología de seguridad apropiada en las ubicaciones adecuadas para abordar los problemas de seguridad específicos. Para mantener la seguridad de los centros de datos, se pueden proteger estrechamente las conexiones externas con firewalls y sistemas de detección de intrusiones.
Sin embargo, en los entornos modernos de informática en la nube distribuida, mantener la seguridad resulta mucho más difícil. En los entornos de nube, la seguridad es una responsabilidad compartida entre el proveedor de servicios en la nube y el cliente que los utiliza.
Responsabilidades del proveedor y el cliente
La seguridad, diseñada en capas, incluye los componentes físicos y lógicos. La infraestructura de nube que proporcionan los proveedores de infraestructura como servicio (IaaS) se encuentra protegida de varias maneras. Desde un punto de vista de la disponibilidad, el proveedor diseñó la infraestructura para que tenga una disponibilidad alta, y el tiempo de actividad de la infraestructura es responsabilidad del proveedor. Desde un punto de vista de la seguridad, el proveedor solo es responsable de asegurar la infraestructura que proporciona.
Como cliente, cuando instala una o más aplicaciones virtualizadas en la infraestructura de nube del proveedor, es responsable de asegurar el acceso, el tráfico de red y las aplicaciones de datos. Muchos proveedores proporcionan algunas herramientas de seguridad para que varias partes del entorno de aplicaciones de nube del cliente puedan estar aseguradas. Sin embargo, estas herramientas pueden representar algunos problemas.
En primer lugar, puede que estas herramientas solo proporcionen algunas funciones de seguridad básicas, y estas son las mismas herramientas que los proveedores utilizan para asegurar la infraestructura subyacente. Si un atacante lograra superar la seguridad de estas herramientas en la capa de infraestructura, es probable que puedan superarla también en el nivel de la aplicación del cliente.
En segundo lugar, y tal vez más importante, está el hecho de que muchas organizaciones operan en un entorno híbrido en el que algunas de sus aplicaciones permanecen alojadas en sus propios centros de datos, algunas en la plataforma de nube de IaaS de un proveedor, algunas en la plataforma de nube de otro proveedor y varias otras en las plataformas de varios proveedores de software como servicio (SaaS). A esto lo conocemos como un entorno “multinube” e implica un problema “multinube”: varias soluciones de seguridad independientes sin coordinar (un problema en el que la complejidad puede aumentar con la cantidad de proveedores de nube involucrados). Esto puede representar un desafío de seguridad significativo y destaca la importancia y la necesidad de ingenieros de seguridad de nube con habilidades especializadas.
Resumen
La informática en la nube proporciona muchos beneficios a los desarrolladores y puede ayudar a que la tecnología sea más accesible para el mundo. Sin embargo, para que tenga éxito, las organizaciones deben integrar la seguridad en la nube. La migración a entornos de nube presenta nuevos desafíos y requiere una reevaluación de las soluciones de seguridad y cumplimiento. Esto implica una gran cantidad de trabajo para usted como ingeniero de seguridad de nube para garantizar que las soluciones de nube que su organización utiliza estén aseguradas. Analicemos con mayor detalle las responsabilidades y las habilidades correspondientes en la próxima unidad.
Recursos
- Sitio externo: CSA: Le damos la bienvenida a la Alianza de seguridad de nube
- Sitio externo: Fortinet: La evolución de la ciberseguridad (se requiere inicio de sesión)
- Sitio externo: CISA: Sitio externo: McAfee: Problemas de seguridad de la informática en la nube