Google Cloud Platform (GCP) se ha convertido en una solución preferida a lo largo de los años para las empresas que desean ampliar o reducir su infraestructura en la nube de forma segura y eficiente. Las organizaciones están trasladando sus datos y operaciones a la nube, por lo que la seguridad es necesaria. En esencia, Google Cloud Security representa las herramientas, los protocolos y las mejores prácticas diseñadas para proteger los datos almacenados en GCP de cualquier tipo de exposición. Los ciberdelincuentes emplean tácticas avanzadas de ingeniería social para engañar a los usuarios y robar información confidencial. El 80 % de las empresas globales han informado de graves ataques a la seguridad de Google Cloud, y los profesionales de la seguridad están cada vez más preocupados por las vulnerabilidades y las configuraciones erróneas de GCP.
En esta entrada del blog, le ayudaremos a comprender el panorama de la seguridad de Google Cloud para que conozca sus conceptos básicos, las principales amenazas de seguridad y las mejores formas de mitigarlas. Analizaremos por qué necesita buenas prácticas de seguridad en la nube y, a continuación, le sugeriremos las mejores prácticas que se pueden implementar fácilmente.
¿Qué es la seguridad de Google Cloud?
La seguridad en la nube comprende medidas, controles y políticas destinadas a proteger los datos, las aplicaciones y la infraestructura relacionados con la ejecución de una aplicación en los servicios de Google Cloud. Abarca un amplio espectro de seguridad, que incluye la seguridad de la red, el cifrado de datos, el control de acceso y la detección de amenazas.
La seguridad de Google Cloud utiliza mecanismos de protección basados en hardware y software que funcionan conjuntamente. Esto abarca todo, desde la seguridad física de sus centros de datos, las funciones de cifrado de datos en reposo y en tránsito, las soluciones de gestión de acceso de identidad (IAM) y los servicios de terceros que proporcionan capacidades más avanzadas de detección de amenazas. Google Cloud también sigue un modelo de responsabilidad compartida, que es la forma en que proporciona tanto a Google como al cliente funciones para proteger los recursos de la nube.
La importancia de la seguridad de Google Cloud
Hay múltiples razones por las que la seguridad de Google Cloud es fundamental. Veamos algunas de ellas.
1. Protección de datos
Las organizaciones utilizan una gran cantidad de datos confidenciales en la nube. Esta información abarca desde datos de clientes hasta contenido financiero, pasando por registros internos. Es necesario proteger los servicios de Google Cloud, donde se almacenan estos valiosos datos, para que los actores maliciosos no puedan acceder sin autorización a la información confidencial, lo que podría dar lugar a violaciones de datos.
2. Requisitos de cumplimiento normativo
La protección de datos y la privacidad se consideran sagradas para muchos sectores debido a sus estrictas normas reguladoras. Las organizaciones sanitarias tienen su propio conjunto de normas de cumplimiento, como la HIPPA, mientras que las instituciones financieras, por su parte, necesitan la PCI DSS. La seguridad de Google Cloud garantiza que las organizaciones cumplan con estas normas a través de sus herramientas y funciones nativas que se integran con diversos marcos normativos.
3. Panorama de amenazas
En este mundo digital en rápida expansión, los tipos de amenazas también han ido aumentando. Con el ransomware, el malware y los intentos de piratería avanzada que amenazan con comprometer los entornos en la nube, el riesgo es muy alto. La implementación de prácticas de seguridad adicionales de Google Cloud puede ayudar a las organizaciones a protegerse de estas amenazas de ciberseguridad y reducir la posibilidad de que los ataques tengan éxito.
4. Reducción de costes
Presupuestar la seguridad puede parecer un coste adicional, pero la idea es que genere ahorros a largo plazo. Proteger los activos puede evitar posibles pérdidas financieras derivadas de la representación legal, los esfuerzos de recuperación y las sanciones por incumplimiento.
5. Escalabilidad y flexibilidad
A medida que las empresas se expanden, también lo hacen su consumo de la nube y sus requisitos de seguridad. Soluciones como Google Cloud Security Scale son capaces de adaptarse a los cambios en los requisitos, garantizando que la protección sea igual de sólida cuando cambia la huella de la nube de la organización.
Guía de mercados de la CNAPP
Obtenga información clave sobre el estado del mercado de CNAPP en esta guía de mercado de Gartner para plataformas de protección de aplicaciones nativas de la nube.
Guía de lectura10 problemas de seguridad de Google Cloud
Para proteger GCP, es importante comprender los principales riesgos de seguridad de Google Cloud. Echemos un vistazo a ellos.
N.º 1. Configuración incorrecta de los depósitos de Cloud Storage
A pesar de ser probablemente el problema de seguridad más conocido de GCP, los depósitos de Cloud Storage mal configurados siguen ocupando los primeros puestos en la lista de incidentes de Google Cloud. Este problema, debido a su naturaleza incontrolada, puede provocar la pérdida de datos si no se gestiona con cuidado.
Un gran número de buckets de Google Cloud Storage están mal configurados, lo que los deja expuestos a una posible exposición de datos. Esto ocurre cuando los controles de acceso no están configurados correctamente y los usuarios no autorizados pueden leer, escribir o enumerar el contenido del bucket. Algunas causas comunes de la configuración incorrecta son el uso o la configuración incorrectos de las políticas de IAM, la configuración de acceso público y el uso inadecuado de las URL firmadas y los documentos de políticas firmados.
Una gran cantidad de datos confidenciales podrían quedar expuestos inadvertidamente a la Internet pública, lo que expone a las organizaciones a violaciones de datos y de cumplimiento normativo. En algunos casos, los atacantes pueden modificar o eliminar datos de estos buckets, comprometiendo la integridad de los datos.
#2. Reglas de firewall inseguras
Las configuraciones incorrectas en las reglas de firewallfirewall son una pesadilla para la seguridad de Google Cloud. Estas configuraciones erróneas pueden dar lugar a vulnerabilidades (abrir puntos de entrada a los actores maliciosos) que los atacantes pueden explotar fácilmente para obtener acceso no autorizado a los recursos.
Las reglas de firewall dentro de las redes VPC de Google Cloud, si no se configuran correctamente, pueden provocar problemas de seguridad en Google Cloud. Las reglas laxas o los rangos de IP mal configurados pueden autorizar el acceso a los recursos por error.
La complejidad de la gestión de las reglas de firewall para las arquitecturas de red en entornos cloud da lugar a configuraciones erróneas.
N.º 3. Datos en reposo sin cifrar
Aunque el cifrado de datos no es algo nuevo, es uno de los aspectos más críticos de la seguridad en la nube, y muchas organizaciones suelen descuidar o proteger de forma deficiente sus datos en reposo en Google Cloud. Esto puede dejar los secretos vulnerables y a disposición de cualquier persona que no deba acceder a ellos.
Aunque Google Cloud ofrece cifrado en reposo de forma predeterminada, que se basa en el uso de claves predeterminadas y puede que no cumpla todos los requisitos en materia de protección de los datos de los clientes, la ausencia de claves de cifrado gestionadas por el cliente (CMEK) podría dar lugar a que los datos quedaran expuestos de forma involuntaria. Las empresas pueden utilizar Google Cloud KMS (Key Management Service) para controlar sus propias claves de cifrado. No utilizar CMEK o realizar una rotación de claves y controles de acceso inadecuados puede reducir la seguridad general.
Las consecuencias de no utilizar un cifrado lo suficientemente fuerte van más allá de la simple privacidad de los datos. Lamentablemente, como bien sabe, muchas normas de cumplimiento exigen que los datos confidenciales se cifren utilizando métodos específicos. Si no se utiliza el cifrado correcto, se pueden infringir normativas como el RGPD, la HIPAA o la PCI DSS. Las organizaciones también deben desarrollar un enfoque sólido para el cifrado, utilizando CMEK (que garantiza que las claves estén cifradas), la rotación de claves y controles de acceso seguros en torno a estas claves.
#4. Gestión deficiente de las funciones de IAM
IAM es uno de los pilares de la seguridad de Google Cloud. Sin embargo, una mala gestión de las funciones de IAM puede crear una brecha en la seguridad de la nube. Este tipo de vulnerabilidad puede provocar casos de robo no autorizado y violación de datos.
Las funciones de IAM de Google Cloud pueden crear permisos excesivamente permisivos y vulnerabilidades de seguridad si no se comprenden y gestionan adecuadamente. Si las asignaciones de funciones son demasiado amplias o se utilizan funciones primitivas en lugar de predefinidas o personalizadas, esto también puede dar lugar a derechos de acceso innecesarios. Las configuraciones incorrectas de IAM son el resultado de no realizar revisiones periódicas del acceso o de utilizar cuentas de servicio no gestionadas.
El eslabón más débil de la cadena es la autorización. El concepto del principio del privilegio mínimo es crucial en la gestión de IAM, pero normalmente no es una prioridad y se implementa de forma deficiente. Como resultado, los usuarios y las cuentas de servicio suelen acabar teniendo demasiados permisos con el tiempo, lo que amplía la superficie de ataque de cientos a decenas de miles de combinaciones de permisos. Las empresas deben realizar auditorías periódicas de IAM para identificar y eliminar los permisos excesivos. Las organizaciones también pueden utilizar herramientas como IAM Recommender para facilitar esta tarea, una herramienta que proporciona información sobre el consumo de permisos y algunas recomendaciones de buenas prácticas para configuraciones seguras.
#5. API y servicios no seguros
Las API son un componente básico de las arquitecturas modernas en la nube, pero las API no seguras en Google Cloud pueden provocar graves problemas de seguridad en Google Cloud. Los atacantes podrían utilizar estos puntos de ataque para explotar tanto sistemas bien protegidos como sistemas aislados.
Muchos servicios de Google Cloud exponen API para el acceso programático. Si la seguridad de las API no se gestiona correctamente, se convierte en un punto débil para que los piratas informáticos entren en el sistema. Las empresas pueden implementar API gestionadas por Google o API personalizadas en Google Cloud. Algunos de los problemas de seguridad más comunes con las API se deben a la falta de autenticación, comprobaciones de autorización y limitación de velocidad configuradas en las API. También es recomendable utilizar mecanismos de autenticación como claves API o tokens OAuth, que deben gestionarse adecuadamente de forma segura. Una limitación y supervisión adecuadas de la velocidad también ayudarán a prevenir un ataque de diccionario a la API. Las empresas pueden utilizar herramientas como Cloud Endpoints para gestionar las API de forma segura. Las pruebas de penetración anuales (pen-testing), así como las pruebas de seguridad continuas de las API, pueden ayudar a los equipos a identificar y corregir las vulnerabilidades antes de que puedan ser explotadas.
#6. Registro y supervisión
Uno de los principales riesgos asociados a la seguridad es el registro y la supervisión inadecuados en los entornos de Google Cloud, lo que puede impedir que las organizaciones detecten amenazas o infracciones. Se trata de un problema de seguridad de Google Cloud, ya que significa que las empresas no pueden detectar ni responder adecuadamente a los incidentes.
Una vez que se dispone de un servicio en Google Cloud, es muy importante contar con un registro y una supervisión potentes. Estos se obtienen a través de Cloud Logging y Cloud Monitoring, respectivamente. Sin embargo, muchas organizaciones fracasan por no utilizar estos servicios correctamente o por no utilizarlos en absoluto. Esta deficiencia puede acabar provocando que se pasen por alto incidentes críticos de ciberseguridad o que no se detecten actividades inusuales dentro del entorno de la nube.
El registro y la supervisión deben realizarse con el mismo cuidado que cualquier otra implementación. Las organizaciones deben decidir qué eventos registrarán, cuánto tiempo conservarán esos registros y cuál es la forma más eficiente de analizarlos. Para obtener un registro de la actividad administrativa de la API, active Cloud Audit Logs para todos los proyectos. Además, el uso de métricas basadas en registros y la configuración de alertas pueden ayudar a las empresas a detectar incidentes de seguridad sobre la marcha. Es importante revisar los registros con regularidad y mejorar las estrategias de supervisión de forma constante para mantener una buena postura de seguridad.
#7. Imágenes de contenedores vulnerables
Uno de los mayores retos en el entorno de contenedores es el uso de imágenes de contenedores vulnerables u obsoletas en Google Kubernetes Engine (GKE) o Cloud Run. Esto puede causar graves problemas de seguridad para las implementaciones en la nube. Los atacantes pueden aprovechar estas vulnerabilidades para atacar aplicaciones en contenedores.
Cada imagen de contenedor puede contener numerosos componentes de software que pueden tener vulnerabilidades conocidas. Estas vulnerabilidades pueden transmitirse al utilizar imágenes base anteriores sin parches hasta la fase de producción.
Para evitar caer en esta trampa, las organizaciones deben contar con una estrategia sólida para gestionar las imágenes de contenedores. Esto implica utilizar imágenes base fiables, actualizar y parchear los contenedores con frecuencia e integrar el escaneo de imágenes de contenedores como parte del proceso de CI/CD. Google Cloud ofrece una API de análisis de contenedores y un escaneo de contenedores para encontrar vulnerabilidades en las imágenes de contenedores. Exigir que solo se implementen imágenes escaneadas y aprobadas puede reducir el riesgo de implementar contenedores inseguros.
#8. Configuración incorrecta de máquinas virtuales
Un conjunto de máquinas virtuales (VM) configuradas de forma insegura en Google Compute Engine puede hacer que las empresas se enfrenten a posibles vulnerabilidades de seguridad que podrían ser objeto de ataques. Las configuraciones incorrectas causadas por puertos abiertos y software obsoleto son solo algunos ejemplos.
Las configuraciones incorrectas típicas de las VM incluyen claves SSH arbitrarias (así como claves débiles), tener puertos abiertos que no es necesario que estén abiertos o ejecutar un sistema operativo o software obsoleto en las VM.
Las organizaciones deben establecer procesos repetibles para la creación y gestión de máquinas virtuales. Esto implica utilizar imágenes de máquinas virtuales reforzadas, implementar una segmentación de red adecuada y garantizar que el software de las máquinas virtuales se actualice y parchee de manera oportuna. Este proceso de actualización de las máquinas virtuales (que, como resultado, requiere un reinicio) se puede coordinar utilizando el servicio de gestión de parches del sistema operativo de Google Cloud.#9. Funciones en la nube inseguras
Aunque las empresas pueden hacer mucho por proteger sus funciones en la nube, la plataforma informática sin servidor de Google sigue ofreciendo una superficie de ataque si no se configura y protege adecuadamente. Estos exploits pueden filtrar datos confidenciales o ejecutar código no autorizado.
Los principales problemas de seguridad de las funciones en la nube son el manejo inadecuado de las credenciales, la falta de validación de entradas y las funciones IAM no seguras. Además, ejecutar con tiempos de ejecución o dependencias más antiguos también supone un riesgo, ya que los atacantes pueden comprometer el entorno.
Las organizaciones deben configurar los mecanismos de autenticación y autorización adecuados para las invocaciones de funciones con el fin de bloquear las funciones en la nube. También es recomendable implementar la validación de entradas y la codificación de salidas para protegerse contra los ataques de inyección. Mejor aún, las empresas deben aplicar el privilegio mínimo en las cuentas de servicio de Cloud Functions y gestionar adecuadamente los desencadenantes de funciones para reforzar estos controles de seguridad.
N.º 10. Segmentación deficiente de la red
Si no se aplica una segmentación de red suficiente entre los distintos recursos de Google Cloud, si un atacante logra violar un componente de la infraestructura, su capacidad para moverse lateralmente dentro de la red y comprometer otros elementos aumenta considerablemente. Si los atacantes pueden aprovechar esto por cualquier medio, la seguridad de las implementaciones en la nube en su conjunto puede verse comprometida.
Muy pocas organizaciones se toman el tiempo necesario para segmentar adecuadamente sus redes VPC de Google Cloud. Esto da lugar a una comunicación implícita entre las distintas partes de la aplicación, lo que aumenta la posibilidad de desplazamiento lateral una vez que se ha producido una brecha. La falta de segmentación también complica la aplicación de las políticas de seguridad.
Este problema puede resolverse utilizando una estrategia de segmentación de la red diseñada y aplicada por la organización. Esto incluye aprovisionar cuidadosamente el emparejamiento de redes VPC, definir reglas de firewall para filtrar el tráfico entre los distintos segmentos y un Cloud NAT para permitir el acceso a Internet saliente para instancias privadas. En configuraciones multiproyecto, se puede aprovechar la VPC compartida para minimizar la gestión de la red. Las empresas deben revisar la segmentación de su red a medida que su entorno de nube crece y cambia, por lo que es recomendable realizar auditorías de red y evaluaciones de seguridad periódicas.
Prácticas recomendadas de seguridad de Google Cloud
Para que las empresas eviten problemas de seguridad en Google Cloud, es importante seguir las prácticas recomendadas que se mencionan a continuación.
1. Aplicar el principio del mínimo privilegio
El principio del privilegio mínimo es una práctica recomendada de seguridad fundamental para evitar problemas de seguridad en Google Cloud. Esta práctica consiste en conceder a los usuarios finales y a los servicios solo los derechos de acceso necesarios para realizar sus tareas.
Las empresas deben revisar las funciones y permisos actuales de IAM. El punto de partida para garantizar el acceso con privilegios mínimos es una revisión completa de las funciones y permisos de IAM existentes. Inspeccione y elimine cualquier acceso de función innecesario o excesivamente permisivo. Utilice las funciones predefinidas de Google Cloud existentes siempre que sea posible, ya que estas funciones se han creado siguiendo el principio del mínimo privilegio. Diseñe funciones personalizadas para necesidades más específicas en las que se requieran permisos exactos. Realice auditorías y revisiones periódicas de las políticas de IAM para validar su relevancia y eliminar los permisos innecesarios de manera oportuna.
2. Activar y configurar los registros de auditoría de Cloud
Los registros de auditoría de Cloud son fundamentales para mantener la visibilidad en el entorno de Google Cloud. Los registros se utilizan para registrar diversas actividades administrativas, eventos a nivel del sistema y todo lo relacionado con el acceso a los datos. Proporcionan un registro de auditoría de 360 grados para el análisis de seguridad y cumplen con los requisitos legales.
Para garantizar que los registros de auditoría en la nube se puedan utilizar para una auditoría eficaz, asegúrese de habilitarlos en todos los proyectos y configure los períodos de retención adecuados en función de sus requisitos de cumplimiento. Implemente exportaciones de registros en un proyecto de registro o en un SIEM externo (como SentinelOne) para realizar un análisis centralizado. Defina métricas y alertas basadas en registros para identificar actividades anormales y responder rápidamente.
3. Implemente prácticas de cifrado sólidas
El cifrado es una parte fundamental de la protección de datos en Google Cloud. Google utiliza el cifrado de todos modos, aunque nunca está de más tomar medidas adicionales para proteger sus documentos. Para los datos confidenciales, utilice claves de cifrado gestionadas por el cliente (CMEK) para que las claves sean gestionadas por las empresas. Utilice el cifrado de sobre para añadir una barrera de seguridad adicional.
Todas las comunicaciones deben utilizar protocolos TLS sólidos (para los datos en tránsito). Rote las claves de cifrado de forma regular y limite el acceso a las soluciones de gestión de claves criptográficas.
4. Configuración de red segura
La seguridad de Google Cloud comienza con una red bien configurada. Una configuración de red correcta ayuda a proteger la red de cualquier acceso no autorizado y también garantiza la minimización del efecto de las brechas de seguridad.
En primer lugar, se debe aplicar una segmentación explícita de la red utilizando redes VPC. Las empresas pueden mejorar la seguridad de su red configurando algunas reglas básicas de firewall para filtrar el tráfico entre su segmento o el acceso a Internet. Habilite el acceso privado a Google para que las máquinas virtuales puedan acceder a las API y los servicios de Google a través de direcciones IP privadas.
5. Realizar revisiones y actualizaciones de seguridad periódicas
En el cambiante mundo de la seguridad en la nube, las empresas deben evaluar su postura de seguridad actual y esforzarse continuamente por mejorarla.
Asegúrese de realizar análisis de vulnerabilidades y pruebas de penetración en su entorno de Google Cloud. Utilice herramientas como el Centro de control de seguridad para tener visibilidad de su postura de seguridad e identificar si hay alguna configuración incorrecta o vulnerabilidad. Aplique una política rigurosa de gestión de parches que mantenga todos los sistemas, incluidas las máquinas virtuales, los contenedores y las aplicaciones, actualizados con los últimos parches de seguridad.
Conclusión
Proteger Google Cloud es difícil. Es un problema con muchas facetas, y hay que estar alerta y actuar de forma proactiva contra las amenazas de seguridad. Si una organización conoce los problemas de seguridad más comunes de Google Cloud, junto con algunas prácticas recomendadas habituales, puede mitigar fácilmente la mayoría de los riesgos. Todo es fundamental, desde IAM hasta la red, pasando por el cifrado y las auditorías de seguridad periódicas necesarias para garantizar la seguridad de los activos y los datos en la nube.
"FAQs
Los problemas de seguridad más comunes en Google Cloud incluyen buckets de almacenamiento mal configurados, gestión inadecuada de roles de IAM, reglas de firewall inseguras, datos en reposo sin cifrar y API no seguras. Otros problemas son el registro y la supervisión insuficientes, las imágenes de contenedores vulnerables, las máquinas virtuales mal configuradas, las funciones de Cloud inseguras y la segmentación de red inadecuada.
Puede supervisar las amenazas en su entorno de Google Cloud utilizando los servicios Cloud Logging y Cloud Monitoring. Habilite Cloud Audit Logs, configure métricas y alertas basadas en registros y utilice el Security Command Center para obtener una visibilidad centralizada de su postura de seguridad. Considere la posibilidad de integrar soluciones SIEM de terceros para la detección y el análisis avanzados de amenazas.
Las prácticas recomendadas para proteger Google Cloud incluyen implementar el acceso con privilegios mínimos, habilitar y configurar Cloud Audit Logs, utilizar prácticas de cifrado sólidas, proteger las configuraciones de red y realizar evaluaciones y actualizaciones de seguridad periódicas. Además, utilice claves de cifrado gestionadas por el cliente, implemente una segmentación de red adecuada y mantenga todos los sistemas y aplicaciones actualizados con los últimos parches de seguridad.
SentinelOne proporciona capacidades de seguridad avanzadas diseñadas específicamente para entornos de Google Cloud. Ofrece detección de amenazas en tiempo real, respuesta automatizada y visibilidad completa de toda su infraestructura en la nube. La plataforma basada en inteligencia artificial de SentinelOne puede ayudar a identificar y mitigar amenazas complejas rápidamente, complementando las funciones de seguridad nativas de Google Cloud y mejorando su postura general de seguridad en la nube.
