A medida que las empresas continúan digitalizando sus operaciones, cada vez es más evidente que la seguridad debe ser un proceso continuo y no una etapa que se aplica después de los ciclos de vida de las operaciones y el desarrollo. La tecnología de seguridad, en particular las ideas y prácticas de seguridad, se está desarrollando de forma simultánea. Las organizaciones saben que proteger sus datos después de haberlos asegurado es fundamental.
Puede resultar difícil cumplir las normas de seguridad mientras se navega por el abanico de opciones de seguridad en la nube en un entorno normativo en constante cambio. Mantener el cumplimiento normativo a medida que cambian las regulaciones es más difícil cuanto más complicada es la infraestructura de una organización. Las organizaciones deben encontrar un equilibrio entre su necesidad de proteger los datos y la adaptabilidad de la nube. En este artículo, analizaremos los 15 principios fundamentales de la seguridad en la nube.
Los 15 principios fundamentales de la seguridad en la nube
Las organizaciones pueden planificar de forma más eficaz su enfoque de la seguridad en la nube siendo abiertas y sinceras sobre sus procedimientos de seguridad. La hoja de ruta de seguridad en la nube debe tener en cuenta los siguientes principios de seguridad en la nube al crearla e implementarla. Tenerlos en cuenta ayudará a su organización a sacar el máximo partido a su plataforma de seguridad en la nube.
#1 Proteger los datos en tránsito.
El primero de la lista de principios de seguridad en la nube es proteger los datos en tránsito. Las redes que transfieren los datos de los usuarios deben contar con sólidas medidas de protección contra el espionaje y la manipulación. Las organizaciones pueden lograrlo mediante el uso de protección de red y cifrado. Esto les permite impedir que los atacantes accedan a los datos y los lean.
#2 Proteger los datos en reposo.
El siguiente principio de seguridad en la nube que hay que seguir es la protección de los datos en reposo. Es esencial garantizar que las personas no autorizadas con acceso a la infraestructura no puedan acceder a los datos. Sea cual sea el medio de almacenamiento, los datos de los usuarios deben estar protegidos. Si no se implementan las medidas de seguridad adecuadas, la divulgación accidental o la pérdida de datos podrían ser peligrosas.
#3 Protección de activos y resiliencia del servicio
Las credenciales, los datos de configuración, la información derivada y los registros son algunos de los tipos de datos que se suelen ignorar. Estos también deben protegerse adecuadamente.
Debe sentirse seguro al conocer la ubicación de sus datos y los usuarios autorizados. Esto también debería aplicarse a los derivados de datos, como los registros detallados y los modelos de aprendizaje automático , a menos que se haya omitido o eliminado deliberadamente información confidencial.
#4 Separar a los clientes entre sí
Las estrategias de separación garantizan que el servicio de un cliente no pueda acceder ni afectar al servicio (o los datos) de otro cliente. Es un paso crucial en los principios de seguridad en la nube que hay que seguir.
Usted depende de las medidas de seguridad implementadas por su proveedor de servicios en la nube para asegurarse de que:
Usted tiene control sobre quién tiene acceso a sus datos, y el servicio es lo suficientemente sólido como para protegerlo del código malicioso utilizado por otro cliente para acceder a su cuenta.
#5 Marco de gobernanza de la seguridad
Un marco de gobernanza es esencial para coordinar y guiar la gestión del servicio.
Una estructura de gobernanza sólida garantizará que se mantengan los controles operativos, procedimentales, humanos, físicos y técnicos en todo el servicio. Además, debe adaptarse a las modificaciones del servicio, los avances tecnológicos y la aparición de nuevos peligros.
#6 Proteja sus operaciones
Para reconocer, mitigar o evitar ataques, las operaciones y la gestión deben ser muy seguras. Una seguridad operativa sólida no requiere un procedimiento complicado y largo. La gestión del cambio, la configuración, la supervisión proactiva, la gestión de incidentes y la gestión de vulnerabilidades son factores importantes.
Guía de mercados de la CNAPP
Obtenga información clave sobre el estado del mercado de CNAPP en esta guía de mercado de Gartner para plataformas de protección de aplicaciones nativas de la nube.
Guía de lectura#7 Proteja a su personal
Compruebe y limite el número de empleados de los proveedores de servicios. Es un paso crucial en los principios de seguridad en la nube que hay que seguir. Cuando los empleados de los proveedores de servicios tienen acceso a sus datos y sistemas, debe confiar lo suficiente en su fiabilidad y en los controles tecnológicos para supervisar y restringir su comportamiento.
Para que sea eficaz, es necesario un control equilibrado del personal.
- El proveedor de servicios muestra cómo desarrolla la confianza suficiente en sus empleados.
- Medidas de seguridad técnicas que reducen la posibilidad y los efectos de compromisos involuntarios o maliciosos por parte de los empleados del proveedor de servicios.
#8 Seguridad del desarrollo
El siguiente principio de seguridad en la nube es la seguridad del desarrollo. El diseño, el desarrollo y la implementación de los servicios en la nube deben minimizar y mitigar las vulnerabilidades de seguridad.
Si los servicios en la nube no se crean, desarrollan e implementan de forma segura, pueden surgir problemas de seguridad que pongan en peligro sus datos, provoquen interrupciones en el servicio o faciliten otros comportamientos delictivos.
A lo largo del proceso de desarrollo y diseño del servicio, se debe tener en cuenta la seguridad. Considere la evaluación de las amenazas potenciales y la construcción de mitigaciones eficientes a lo largo del desarrollo de nuevas funciones. Es esencial equilibrar la utilidad, el costo y la seguridad.
#9 Proteja la cadena de suministro.
Las cadenas de suministro de terceros deben respaldar la implementación declarada por el servicio de todos los criterios de seguridad.
Los servicios en la nube dependen de bienes y servicios de fuentes externas. Por lo tanto, si no se implementa este concepto, una violación de la cadena de suministro podría poner en peligro la seguridad del servicio e interferir en la aplicación de otros principios de seguridad.
#10 Seguridad en la gestión de usuarios
El siguiente principio de seguridad en la nube es la seguridad en la gestión de usuarios. El proveedor debe poner a disposición herramientas para gestionar de forma segura el uso de un servicio.
Su proveedor de servicios debe proporcionarle las herramientas necesarias para controlar de forma segura su acceso al servicio, prohibiendo el acceso no autorizado y la alteración de sus datos, aplicaciones y recursos.
Al igual que con el control de acceso basado en roles (RBAC), el control de acceso debe basarse en permisos específicos aplicados a una identidad humana o de máquina. En este modelo, cada autorización detallada se limita a uno o más recursos y se concede a un rol (la identidad). Esto permite crear roles con acceso solo a los recursos necesarios para cumplir su función prevista.
Aumente sus capacidades sin complicaciones con nuestra plataforma de seguridad en la nube.
#11 Identidad autorizada y autenticación
Solo los usuarios autenticados y autorizados deben poder acceder a las interfaces de servicio.
Solo una identidad autenticada y autorizada, ya sea un usuario o una identidad de servicio, debe tener acceso a los servicios y datos.
Debe confiar en el proceso de autenticación utilizado para establecer la identidad de la persona que realiza el acceso con el fin de implementar un control de acceso eficaz, tal y como se describe en el Principio 9: gestión segura de usuarios.
Una autenticación débil en estas interfaces puede permitir el acceso no autorizado a sus sistemas, lo que puede dar lugar al robo o la alteración de datos, cambios en el servicio o ataques de denegación de servicio.
#12 Protección de la interfaz externa
Todas las interfaces de servicio externas o menos fiables deben localizarse y protegerse. Este es un punto esencial en los principios de seguridad de la nube.
Las medidas defensivas incluyen interfaces de programación de aplicaciones (API), consolas web, interfaces de línea de comandos (CLI) y servicios de conexión directa. Además, cualquier interfaz de sus servicios se crea sobre el servicio en la nube y las interfaces de administración utilizadas por el proveedor de la nube y por usted para acceder al servicio.
El impacto de una vulnerabilidad puede ser más significativo si alguna de las interfaces abiertas es privada (como las interfaces de gestión). Puede conectarse a los servicios en la nube utilizando varios métodos, lo que expone sus sistemas corporativos a diferentes grados de riesgo.
#13 Seguridad de la administración de servicios
Los proveedores de servicios en la nube deben apreciar la importancia de los sistemas administrativos.
Teniendo en cuenta su gran valor para los atacantes, el diseño, la implementación y la gestión de los sistemas administrativos utilizados por su proveedor de servicios en la nube deben cumplir con las mejores prácticas empresariales.
Los sistemas con privilegios elevados utilizados por el proveedor para la administración de servicios en la nube tendrán acceso a dicho servicio. Su compromiso tendría un gran impacto, ya que permitiría a alguien eludir las medidas de seguridad y robar o manipular grandes cantidades de datos.
#14 Emitir alertas de seguridad e información de auditoría
El siguiente principio de seguridad en la nube es emitir alertas de seguridad e información de auditoría. Los proveedores deben proporcionar los registros necesarios para realizar un seguimiento del acceso de los usuarios a su servicio y a los datos almacenados en él.
Debe ser capaz de reconocer los problemas de seguridad y tener los conocimientos necesarios para determinar cómo y cuándo se produjeron.
Debe disponer de la información de auditoría necesaria para investigar los incidentes relacionados con su uso del servicio y los datos almacenados en él. Su capacidad para reaccionar de manera oportuna ante conductas inapropiadas o maliciosas dependerá directamente del tipo de información de auditoría a la que pueda acceder.
El proveedor de servicios en la nube debe enviar inmediatamente alertas de seguridad en formatos que se adapten a sus necesidades. Se debe incluir un formulario escrito para el personal de operaciones y un formato estructurado y legible por máquina para el análisis automatizado.
Para que pueda probar de forma rutinaria el procesamiento de alertas sin esperar a que se produzca un evento real, el proveedor de servicios en la nube debe proporcionar una forma de simular alertas y registrar todos los tipos de alertas que puede enviar.
#15 Uso seguro del servicio
Su proveedor de servicios en la nube debe facilitarle el cumplimiento de su obligación de proteger adecuadamente sus datos.
Incluso si su proveedor adopta una política de seguridad por defecto, usted debe configurar sus servicios en la nube. Debe utilizar nuestra guía para utilizar los servicios en la nube de forma segura para determinar si sus recomendaciones satisfacen sus requisitos de seguridad. Audite su configuración periódicamente como parte de una prueba de penetración o una revisión de seguridad exhaustiva.
Conclusión
La seguridad en la nube se enfrenta a diversas dificultades y áreas de crecimiento potencial, y los principios de seguridad pueden ayudar a las empresas a salvar estas brechas. Todos los usuarios y empresas deben comprender adecuadamente las amenazas en el panorama de la seguridad en la nube y seguir los Principios de seguridad en la nube. La financiación y los esfuerzos que una organización destina a la seguridad en la nube deben equilibrarse con la comodidad del usuario y el tiempo de comercialización. Solicite una demostración de nuestra plataforma Singularity Cloud Security hoy mismo para ver cómo SentinelOne puede ayudar a su organización.
"Preguntas frecuentes sobre los principios de seguridad en la nube
Los principios de seguridad en la nube son directrices que ayudan a mantener la seguridad de los datos y los servicios en la nube. Abarcan cómo proteger el acceso, garantizar la privacidad de los datos y mantener la disponibilidad del servicio. Se pueden considerar como barreras de protección: controlan quién puede ver o modificar sus recursos, cifran los datos en tránsito y en reposo, y configuran copias de seguridad. Estos principios le ayudan a mantenerse organizado y a reducir la posibilidad de infracciones.
Los principios de seguridad en la nube son importantes porque evitan el acceso no autorizado, las fugas de datos y el tiempo de inactividad. Si sigue estas directrices, podrá detener los ataques antes de que se produzcan y recuperarse rápidamente si algo sale mal.
También le ayudan a cumplir los requisitos legales y del sector. En resumen, los principios de la nube le ofrecen una vía clara para proteger sus datos, servicios y reputación sin perder tiempo en conjeturas.
Los principios básicos de seguridad en la nube incluyen:
- Mínimo privilegio: Conceda solo el acceso necesario para realizar una tarea.
- Defensa en profundidad: Implante múltiples controles de seguridad para que, si uno falla, los demás sigan protegiéndole.
- Cifrado en todas partes: Cifre los datos en tránsito y en reposo.
- Responsabilidad compartida: Comprenda qué protegen usted y su proveedor.
- Supervisión continua: Realice un seguimiento y registre la actividad para una detección y respuesta rápidas.
SentinelOne se ajusta a los principios de seguridad en la nube al ofrecer la aplicación del privilegio mínimo, la detección automatizada de amenazas y la respuesta en tiempo real. Su Singularity XDR añade protección basada en IA a los puntos finales, las cargas de trabajo y las aplicaciones en la nube, lo que le proporciona una defensa en profundidad.
Cifra las comunicaciones, registra todos los eventos para su supervisión continua y se integra con los principales proveedores de nube para aclarar las responsabilidades compartidas. También puede automatizar las comprobaciones de cumplimiento para configuraciones seguras.
La responsabilidad compartida significa que tanto usted como su proveedor de nube tienen obligaciones en materia de seguridad. El proveedor se encarga de proteger los centros de datos físicos, la red y los hipervisores. Usted es responsable de proteger sus datos, aplicaciones, identidades y configuraciones.
Si configura incorrectamente los depósitos de almacenamiento o ignora la aplicación de parches, pueden producirse violaciones de seguridad incluso si el proveedor bloquea su parte. Conocer estos límites evita lagunas y solapamientos en su postura de seguridad general.
Para aplicar el privilegio mínimo, comience por auditar quién tiene acceso y por qué. Elimine los permisos innecesarios y utilice roles o grupos en lugar de cuentas individuales. Configure la autenticación multifactor en todas partes y rote las credenciales con regularidad.
Utilice herramientas de gestión de identidades y accesos para supervisar quién inicia sesión y desde dónde. Automatice las revisiones de acceso para que los permisos se actualicen cuando las personas cambien de función o dejen la empresa.
La configuración segura garantiza que sus recursos en la nube se inicien en un estado seguro, evitando puertos abiertos o credenciales predeterminadas. El escaneo de infraestructura como código (IaC) comprueba si hay configuraciones incorrectas en sus plantillas de implementación antes de ponerlas en marcha.
Juntos evitan errores comunes como buckets de almacenamiento expuestos públicamente o políticas demasiado permisivas. Al automatizar estas comprobaciones, se detectan los errores de forma temprana y se mantiene la coherencia y la seguridad del entorno de la nube.
En primer lugar, centralice los registros y las métricas de todos los recursos de la nube en un sistema de gestión de información y eventos de seguridad (SIEM). Configure alertas para comportamientos inusuales, como fallos de inicio de sesión o picos repentinos de tráfico. Utilice guías automatizadas para contener las amenazas de inmediato. Pruebe regularmente su plan de respuesta a incidentes con simulacros.
Por último, revise los incidentes para encontrar deficiencias y actualizar los controles, de modo que cada respuesta le haga más fuerte.
Trate la protección de datos como un ciclo de vida: clasifique la información según su sensibilidad, cifre los datos en tránsito y en reposo, y almacene las copias de seguridad en ubicaciones aisladas y fuera de las instalaciones. Aplique la tokenización o el cifrado a nivel de campo para los datos críticos. Utilice controles de acceso basados en roles para restringir quién puede ver o modificar los datos. Audite periódicamente los flujos de datos y las políticas de retención para asegurarse de que nada permanezca más allá de su vida útil o del plazo de cumplimiento.
La gobernanza y el cumplimiento establecen las normas que debe seguir para cumplir con la ley y garantizar la seguridad. La gobernanza define procesos como la gestión del cambio, la evaluación de riesgos y las revisiones de seguridad. El cumplimiento garantiza que esos procesos cumplan con normas como el RGPD, la HIPAA o la PCI DSS.
Al integrarlos en las operaciones diarias, mediante políticas como código y auditorías automatizadas, se mantiene la responsabilidad, se reducen las multas y se conserva la confianza de los clientes sin ralentizar la innovación.
