El modelo de responsabilidad compartida en la nube es un concepto fundamental en la seguridad de la nube. Nuestra guía ofrece una descripción general completa de este modelo y explica las funciones y responsabilidades de los proveedores de servicios en la nube y los clientes a la hora de garantizar la seguridad de los recursos basados en la nube.
Conozca las diferentes capas del modelo de responsabilidad compartida, incluida la infraestructura física, los controles de red y la seguridad a nivel de aplicación.
Principales riesgos de seguridad que los clientes deben abordar en el modelo de responsabilidad compartida en la nube
A medida que las organizaciones evalúan la seguridad de la nube para sus negocios, los altos directivos y los responsables técnicos deben tener en cuenta los riesgos a los que se enfrentan ellos y sus clientes dentro del modelo de responsabilidad compartida en la nube. Estos riesgos se pueden clasificar en los siguientes temas:
- Acceso no autorizado – Las organizaciones deben asegurarse de que cuentan con controles de autenticación y acceso sólidos para evitar el acceso no autorizado a datos y aplicaciones confidenciales. Esto incluye la gestión de las identidades de los usuarios, la aplicación de contraseñas seguras y la autenticación multifactorial, y la limitación del acceso a datos y aplicaciones confidenciales en función de los roles y permisos de los usuarios.
- Violaciones de datos – Garantizar unos mecanismos adecuados de cifrado y protección de datos ayuda a las organizaciones a proteger sus datos en reposo y en tránsito. Esto incluye el uso de algoritmos de cifrado robustos, la implementación de protocolos de transferencia de datos seguros y la supervisión de patrones y actividades de acceso a datos inusuales.
- Malware y virus – El malware y los virus pueden infectar los entornos en la nube a través de diversos medios, como archivos adjuntos de correo electrónico, descargas de software o terminales comprometidos. Las organizaciones deben invertir en una protección antivirus y antimalware adecuada y realizar actualizaciones y parches de software periódicos para evitar vulnerabilidades.
- Amenazas internas – Las amenazas internas, como los empleados o contratistas con acceso autorizado a los recursos en la nube, pueden suponer un riesgo significativo para la seguridad. Se pueden implementar controles de acceso y mecanismos de supervisión adecuados para detectar y prevenir las amenazas internas. Esto incluye supervisar las actividades de los usuarios, implementar medidas de prevención de pérdida de datos y la realización de auditorías y evaluaciones de seguridad periódicas.
- Infracciones de cumplimiento – Los clientes de la nube también deben conocer las normativas de cumplimiento normativo y asegurarse de que las cumplen. Esto incluye normativas como HIPAA, PCI-DSS y GDPR. En virtud de estos marcos normativos, las organizaciones están obligadas por ley a garantizar que su entorno en la nube cumpla con las normas de seguridad y privacidad y cuente con políticas adecuadas de gestión y conservación de datos.
Al abordar estos riesgos de seguridad, los clientes pueden ayudar a garantizar la seguridad y la fiabilidad de su entorno de nube, al tiempo que cumplen con los requisitos normativos y protegen sus datos y aplicaciones confidenciales.
Definición de la importancia del modelo de responsabilidad compartida en la nube
El modelo de responsabilidad compartida en la nube es un concepto fundamental en la seguridad de la nube que establece las responsabilidades tanto de los proveedores de servicios en la nube como de sus clientes. Este modelo garantiza que ambas partes comprendan sus funciones en la protección de los activos en la nube y evita confusiones y malentendidos.
En el modelo, se describen claramente las responsabilidades relativas a la seguridad y la gestión de los entornos en la nube:
- Los proveedores de servicios en la nube son generalmente responsables de la seguridad de la infraestructura en la nube, incluidos los centros de datos físicos, las redes y el hardware de los servidores.
- Los clientes son responsables de la seguridad de sus aplicaciones, datos y sistemas operativos que se ejecutan en la infraestructura de la nube.
El modelo de responsabilidad compartida en la nube es fundamental para la seguridad de la nube, ya que aclara quién es responsable de qué, lo que garantiza una seguridad completa y eficaz. Sin este modelo, es muy difícil para las partes determinar quién es responsable de la seguridad de la nube, lo que da lugar a lagunas en la cobertura de seguridad o a la duplicación de esfuerzos.
Guía de mercados de la CNAPP
Obtenga información clave sobre el estado del mercado de CNAPP en esta guía de mercado de Gartner para plataformas de protección de aplicaciones nativas de la nube.
Guía de lecturaIdentificar la diferencia entre los modelos de servicio en la nube
Infraestructura como servicio (IaaS), plataforma como servicio (PaaS) y software como servicio (SaaS) son los tres principales modelos de servicios en la nube que utilizan habitualmente las organizaciones basadas en la nube en la actualidad. Se diferencian en el nivel de control y la responsabilidad que tiene el cliente sobre los recursos en la nube.
Infraestructura como servicio (IaaS)
En un modelo IaaS, el proveedor de servicios en la nube ofrece una infraestructura virtualizada que puede utilizarse como sustituto del hardware físico. Los clientes pueden alquilar recursos informáticos, como máquinas virtuales, almacenamiento y componentes de red, y utilizarlos para ejecutar sus aplicaciones o servicios. El cliente tiene control total sobre el sistema operativo, el middleware y las aplicaciones que se ejecutan en esta infraestructura y es responsable de su gestión.
Sin embargo, en un modelo IaaS, el cliente es responsable de proteger sus aplicaciones y datos, así como de gestionar las copias de seguridad, la recuperación ante desastres y otras tareas relacionadas con el sistema operativo y las aplicaciones. Esto puede requerir una gran experiencia y recursos, y puede suponer un reto para algunas organizaciones.
Plataforma como servicio (PaaS)
En un modelo PaaS, el proveedor de nube ofrece una plataforma para crear, implementar y gestionar aplicaciones. La plataforma incluye un entorno de ejecución, herramientas de desarrollo y componentes preconstruidos que se pueden utilizar para desarrollar e implementar aplicaciones. Como resultado, el cliente puede centrarse en desarrollar e implementar sus aplicaciones si gestiona la infraestructura subyacente. El proveedor se encarga de la infraestructura, como los servidores, el almacenamiento y las redes, así como del sistema operativo y el middleware. El cliente gestiona sus aplicaciones y datos sin preocuparse por la infraestructura.
PaaS ofrece un equilibrio entre flexibilidad y comodidad. Permite a los clientes centrarse en desarrollar e implementar sus aplicaciones, mientras que el proveedor gestiona la infraestructura subyacente. También proporciona un entorno de desarrollo estandarizado, lo que puede ayudar a reducir el tiempo de desarrollo y aumentar la productividad. Sin embargo, PaaS puede tener algunas limitaciones en cuanto a la personalización y la integración con otros sistemas.
Software como servicio (SaaS)
En un modelo SaaS, el proveedor de servicios en la nube ofrece aplicaciones de software a través de Internet, a las que los clientes pueden acceder y utilizar mediante un navegador web o una aplicación cliente. El proveedor se encarga de la infraestructura subyacente, el sistema operativo y el software de aplicación, mientras que el cliente es responsable de configurar y utilizar el software según sus necesidades. Como resultado, el cliente no tiene que preocuparse por la gestión de la infraestructura ni por las actualizaciones de software.
El SaaS ofrece el máximo nivel de comodidad, ya que el proveedor se encarga de todo lo relacionado con la aplicación de software. El cliente puede centrarse en utilizar el software y personalizarlo según sus necesidades. Sin embargo, el SaaS puede tener opciones de personalización limitadas y el cliente puede depender del proveedor para obtener asistencia y actualizaciones.
En general, la elección del modelo de servicio en la nube depende de las necesidades y requisitos específicos de la organización. El IaaS ofrece el máximo nivel de flexibilidad y control, pero requiere más experiencia y recursos. El PaaS equilibra la flexibilidad y la comodidad, mientras que el SaaS ofrece el máximo nivel de comodidad, pero puede tener opciones de personalización limitadas.
Comprender las diferentes capas del modelo de responsabilidad compartida en la nube
El modelo de responsabilidad compartida en la nube consta de tres capas: infraestructura, plataforma y aplicación. Cada capa representa un nivel diferente de responsabilidad y requiere un nivel único de participación por parte de los proveedores de servicios en la nube y sus clientes.
Capa de infraestructura
La capa de infraestructura es la base del modelo de responsabilidad compartida en la nube. Incluye los componentes físicos y virtuales de la infraestructura de la nube, como servidores, almacenamiento y dispositivos de red. Además, los proveedores de servicios en la nube son responsables de la seguridad de la capa de infraestructura, incluida la seguridad física, la seguridad de la red y los controles de acceso.
Los clientes son responsables de proteger sus datos y aplicaciones en la capa de infraestructura. Deben asegurarse de utilizar protocolos seguros e implementar controles de acceso adecuados. También son responsables de garantizar que sus aplicaciones y datos se almacenen de forma segura y de utilizar el cifrado cuando sea necesario.
Capa de plataforma
La capa de plataforma es donde el proveedor de servicios en la nube proporciona una plataforma para que los clientes creen y desplieguen sus aplicaciones. La capa de plataforma incluye sistemas operativos, entornos de ejecución y bases de datos. Los proveedores de servicios en la nube son responsables de proteger la capa de plataforma, aplicar parches y actualizar el software, garantizar que esté configurado de forma segura y proporcionar controles de acceso.
Los clientes son responsables de proteger sus aplicaciones y datos en la capa de plataforma. Deben asegurarse de que sus aplicaciones sean seguras, de que utilicen protocolos seguros y de que utilicen cifrado cuando sea necesario. También son responsables de configurar correctamente sus aplicaciones e implementar los controles de acceso adecuados.
Capa de aplicación
La capa de aplicación es donde los clientes implementan sus aplicaciones en la plataforma del proveedor de servicios en la nube. Los proveedores de servicios en la nube no son responsables de proteger la capa de aplicación; es responsabilidad del cliente. Sin embargo, los clientes deben asegurarse de que sus aplicaciones sean seguras y de que utilicen protocolos seguros. También son responsables de implementar controles de acceso adecuados y de proteger sus datos.
Responsabilidades de los proveedores de servicios en la nube y los clientes
Los proveedores de servicios en la nube y sus clientes tienen diferentes responsabilidades según la capa del modelo de responsabilidad compartida en la nube. Haciendo referencia a las tres capas de la última sección de este blog, a continuación se presenta un desglose de las responsabilidades por capa.
Responsabilidades de la capa de infraestructura
Los proveedores de servicios en la nube son responsables de lo siguiente en la capa de infraestructura:
- Seguridad física del centro de datos donde se aloja la infraestructura
- Seguridad de la red, incluidos cortafuegos y sistemas de detección de intrusiones
- Aplicación de parches y actualización de los componentes de la infraestructura
- Proporcionar controles de acceso y supervisión de actividades inusuales
Los clientes son responsables de lo siguiente en la capa de infraestructura:
- Proteger sus datos y aplicaciones
- Asegurarse de que utilizan protocolos seguros, como SSL/TLS
- Implementar controles de acceso adecuados para sus aplicaciones y datos
- Utilizar cifrado cuando sea necesario
Responsabilidades de la capa de plataforma
Los proveedores de servicios en la nube son responsables de lo siguiente en la capa de plataforma:
- Aplicar parches y actualizar el sistema operativo y los componentes de software
- Configurar la plataforma de forma segura, por ejemplo, desactivando los servicios innecesarios e implementando controles de acceso
- Proporcionar controles de acceso para la plataforma
Los clientes son responsables de lo siguiente en la capa de la plataforma:
- Proteger sus aplicaciones y datos
- Asegurarse de que utilizan protocolos seguros, como SSH
- Configurar sus aplicaciones de forma correcta y segura
- Implementar controles de acceso adecuados para sus aplicaciones y datos
Responsabilidades de la capa de aplicación
Los clientes son responsables de lo siguiente en la capa de aplicación:
- Proteger sus aplicaciones y datos
- Asegurarse de que utilizan protocolos seguros, como HTTPS
- Implementar controles de acceso adecuados para sus aplicaciones y datos
- Proteger sus datos mediante el cifrado de la información confidencial
Una forma alternativa de comprender las responsabilidades en la nube
Existe otro modelo para describir las diferentes capas del modelo de responsabilidad compartida en la nube. En lugar de utilizar las tres capas (infraestructura, plataforma y aplicación), este modelo agrupa las responsabilidades en temas de interés más amplios.
- Seguridad física – El proveedor de servicios en la nube es responsable de proteger los centros de datos físicos y el hardware que ejecuta la infraestructura de la nube. Esto incluye proporcionar medidas de seguridad física, como controles de acceso, videovigilancia y sistemas de detección de intrusos.
- Seguridad de la red – El proveedor de servicios en la nube es responsable de proteger la infraestructura de red en la nube, incluidos los cortafuegos, los enrutadores y los conmutadores. Debe garantizar que la infraestructura de red esté protegida contra accesos no autorizados y ciberataques.
- Seguridad de la infraestructura del host – El proveedor de servicios en la nube es responsable de proteger la infraestructura del host subyacente, incluidos el hipervisor, las máquinas virtuales y el sistema operativo. Esto incluye garantizar que la infraestructura del host esté actualizada y parcheada, y que cualquier vulnerabilidad se solucione rápidamente.
- Seguridad de las aplicaciones – El cliente es responsable de proteger las aplicaciones que se ejecutan en la infraestructura de la nube. Esto incluye configurar controles de acceso, implementar el cifrado y garantizar el cumplimiento de las normativas.
- Seguridad de los datos – El cliente es responsable de proteger los datos almacenados en la infraestructura de la nube. Esto incluye la implementación de cifrado, controles de acceso y medidas de copia de seguridad y recuperación de datos.
El enfoque diferente del modelo de responsabilidad compartida en la nube entre Amazon AWS, Google Cloud y Microsoft Azure
Amazon AWS, Google Cloud y Microsoft Azure son los principales proveedores de servicios en la nube del mercado. Cada uno de ellos se distingue por su enfoque único del modelo de responsabilidad compartida en la nube.
Modelo de responsabilidad compartida de Amazon AWS
Amazon AWS ofrece a sus clientes un modelo de responsabilidad compartida integral. Según AWS, ellos son responsables de la seguridad de la infraestructura en la nube, mientras que los clientes son responsables de la seguridad de la nube. AWS es responsable de proteger la infraestructura subyacente, como los servidores físicos, las redes y los hipervisores. Por otro lado, los clientes son responsables de proteger sus aplicaciones, datos y sistemas operativos.
En el modelo de responsabilidad compartida de AWS, los clientes tienen un control total sobre sus datos y aplicaciones. Son responsables de configurar sus grupos de seguridad, listas de control de acceso a la red y cortafuegos. Además, los clientes pueden utilizar servicios de AWS como AWS Identity and Access Management (IAM), AWS CloudTrail y AWS Config para proteger aún más su entorno.
Modelo de responsabilidad compartida de Google Cloud
Google Cloud adopta un enfoque diferente con respecto al modelo de responsabilidad compartida. Según Google Cloud, ellos son responsables de la seguridad de la infraestructura, mientras que los clientes son responsables de proteger sus aplicaciones y datos. Este enfoque atribuye más responsabilidad al cliente que al proveedor de servicios en la nube.
Según el modelo de responsabilidad compartida de Google Cloud, los clientes son responsables de configurar sus cortafuegos, establecer controles de acceso y proteger sus aplicaciones y datos. Además, Google Cloud proporciona varias herramientas para ayudar a los clientes a proteger su entorno, entre las que se incluyen Google Cloud IAM, Google Cloud Security Command Center y Google Cloud DLP.
Modelo de responsabilidad compartida de Microsoft Azure
Microsoft Azure ofrece un modelo de responsabilidad compartida similar al de Amazon AWS. Según Microsoft, ellos son responsables de la seguridad de la infraestructura de la nube, mientras que los clientes son responsables de la seguridad en la nube. Este enfoque otorga más responsabilidad al proveedor de servicios en la nube que al cliente.
En el modelo de responsabilidad compartida de Microsoft Azure, los clientes son responsables de proteger sus aplicaciones, datos y control de acceso. Pueden utilizar Azure Security Center, Azure Active Directory y las herramientas de seguridad y cumplimiento de Azure para proteger aún más su entorno.
Prácticas recomendadas para implementar el modelo de responsabilidad compartida en la nube
La implementación del modelo de responsabilidad compartida en la nube requiere la colaboración y la comunicación entre los proveedores de servicios en la nube y sus clientes. Utilice estas prácticas recomendadas como guía inicial a la hora de implementar el modelo:
- Comprenda sus responsabilidades – Comprenda claramente todas las responsabilidades relacionadas con la seguridad de todas las aplicaciones, los datos y los sistemas operativos que se ejecutan en la infraestructura de la nube.
- Siga las mejores prácticas de seguridad – Siga las mejores prácticas estándar del sector, como el uso de contraseñas seguras, la habilitación de la autenticación multifactor y la implementación del cifrado, lo que garantiza el éxito a largo plazo al utilizar la nube.
- Implemente controles de acceso – El acceso a datos y aplicaciones confidenciales debe concederse en función de las funciones y los permisos de los usuarios.
- Supervisar y actualizar periódicamente las medidas de seguridad – Asignar equipos de seguridad que supervisen de cerca el panorama de amenazas para detectar los riesgos crecientes relacionados con la nube. Asegurarse de que las medidas de seguridad se actualicen oportunamente para abordar cualquier vulnerabilidad o nueva amenaza.
- Cumplir con las normativas – Trabaje con expertos legales para comprender cualquier normativa aplicable, como HIPAA, PCI-DSS y GDPR.
Vea SentinelOne en acción
Descubra cómo la seguridad en la nube basada en IA puede proteger su organización en una demostración individual con un experto en productos SentinelOne.
DemostraciónConclusión
El modelo de responsabilidad compartida en la nube es un concepto fundamental en la seguridad de la nube. Aclara las funciones y responsabilidades de los proveedores de servicios en la nube y sus clientes a la hora de proteger los activos en la nube. Al comprender las diferentes capas del modelo y sus respectivas responsabilidades, los proveedores de servicios en la nube y los clientes pueden trabajar juntos para garantizar que sus entornos en la nube sean seguros y eficaces.
"Preguntas frecuentes sobre el modelo de responsabilidad compartida en la nube
El modelo de responsabilidad compartida en la nube establece quién se encarga de cada tarea de seguridad cuando se utilizan servicios en la nube. El proveedor se encarga de la seguridad de los centros de datos físicos, las redes y las capas de virtualización, mientras que usted se encarga de todo lo que crea y almacena en la nube: sus sistemas operativos, aplicaciones y datos. Esta división ayuda a cada parte a centrarse en lo que controla, lo que mantiene su entorno de nube seguro y fiable.
La claridad en las funciones hace que ambas partes sean responsables y evita las brechas de seguridad. Sin ella, podría suponer que el proveedor se encarga del cifrado de datos o de los controles de acceso cuando en realidad es su trabajo, o viceversa. Definir los límites garantiza que no se pase nada por alto, reduce la duplicación de esfuerzos y facilita las auditorías al mostrar exactamente quién debe actuar en cada control de seguridad.
Los proveedores de nube se encargan de la pila de infraestructura. Protegen los centros de datos físicos (suministro eléctrico, refrigeración y edificios), gestionan las defensas de la red, como cortafuegos y sistemas de intrusión, mantienen y actualizan los servidores y los hipervisores, y garantizan la alta disponibilidad del hardware.
También cumplen con las certificaciones del sector (ISO 27001, SOC 2) y demuestran el cumplimiento de la plataforma de nube subyacente.
El nivel de responsabilidades del cliente cambia con IaaS, PaaS y SaaS. Con IaaS, se alquila potencia de cálculo sin procesar, por lo que usted se encarga de proteger el sistema operativo, el middleware, las aplicaciones y los datos. PaaS le ofrece un tiempo de ejecución gestionado, por lo que usted se centra en el código y las configuraciones, mientras que el proveedor se encarga de las actualizaciones del sistema operativo y la plataforma.
SaaS transfiere la mayoría de las obligaciones al proveedor: usted solo configura y utiliza la aplicación, mientras que ellos se encargan de proteger todo lo demás.
Las responsabilidades suelen dividirse en tres capas:
- Capa de infraestructura: Hardware, virtualización y dispositivos de red protegidos por el proveedor; usted protege sus datos en esos sistemas.
- Capa de plataforma: Sistemas operativos, entornos de ejecución y bases de datos parcheados y configurados por el proveedor; usted bloquea sus aplicaciones y su configuración.
- Capa de aplicación: Usted se encarga del código de la aplicación, los controles de acceso y el cifrado de datos; el proveedor no protege su lógica personalizada ni sus datos empresariales.
La seguridad en la nube Singularity™ de SentinelOne aplica las responsabilidades compartidas proporcionándole visibilidad en tiempo real y controles automatizados en todas las cargas de trabajo en la nube. Combina CSPM (comprobaciones de postura), CWPP (protección de cargas de trabajo), CIEM (gestión de permisos), escaneo de IaC y corrección con un solo clic.
Su detección de amenazas y aplicación de políticas impulsadas por IA cubren todas las capas, por lo que puede detectar configuraciones incorrectas, aplicar el cifrado y poner en cuarentena las amenazas antes de que afecten a sus recursos en la nube.
