Buenas prácticas que evitan los errores de configuración en la nube

  • Cloud

Las malas configuraciones de los entornos cloud son responsables de la filtración de miles de millones de registros cada año. Eset ha analizado los diferentes tipos de errores y subraya que, además de entender el modelo de responsabilidad compartida para la seguridad en la nube, es necesario limitar los permisos, cifrar los datos, comprobar el cumplimiento de la normativa antes del aprovisionamiento y realizar auditorías continuas.

Recomendados: 

Cloud: en busca de la agilidad Encuesta

La hoja de ruta de DevOps en materia de seguridad Leer

La seguridad de los entornos cloud es siempre una preocupación para las empresas, y la mala configuración es la causa de que se filtren la filtración de miles de millones de registros cada año. Estos errores pueden adoptar muchas formas, según los expertos de la firma, desde la falta de restricciones de acceso y de controles de permisos, a políticas de grupo de seguridad demasiado permisivas, rutas de conectividad a Internet mal entendidas o funciones de redes virtualizadas mal configuradas.

Además, advierten de que la TI en la sombra también puede aumentar las posibilidades de que ocurra lo anterior, ya que la TI no sabrá si los sistemas en la nube se han configurado correctamente o no.

Recomendaciones
Desde Eset aconsejan que el primer paso para evitar este tipo de errores es comprender el modelo de responsabilidad compartida para la seguridad en la nube, que define qué tareas se encargará el proveedor de servicios (CSP) y cuáles son competencia del cliente: mientras que los CSP son responsables de la seguridad de la nube (hardware, software, redes y otras infraestructuras), los clientes deben asumir la seguridad en la nube, lo que incluye la configuración de sus activos.

Después hay que seguir una serie de buenas prácticas:

- Limitar los permisos: aplicar el principio del mínimo privilegio a los usuarios y a las cuentas en la nube, minimizando así la exposición al riesgo.

- Cifrar los datos: emplear un cifrado fuerte a los datos críticos para el negocio o altamente regulados para mitigar el impacto de una fuga.

- Comprobar el cumplimiento de la normativa antes del aprovisionamiento: dar prioridad a la infraestructura como código y automatizar las comprobaciones de configuración de políticas lo antes posible en el ciclo de vida del desarrollo.

- Realizar auditorías continuas: los recursos de la nube son notoriamente efímeros y cambiantes, mientras que los requisitos de cumplimiento también evolucionarán con el tiempo. Esto hace que las comprobaciones continuas de la configuración con respecto a la política sean esenciales. Las compañías deben, asimismo, considerar la posibilidad de utilizar herramientas de gestión de la seguridad en la nube (CSPM) para automatizar y simplificar este proceso.