ciberseguridad

¿Cómo implementar una estrategia de seguridad efectiva en una arquitectura Multicloud?



Dirección copiada

En una implementación Multicloud, la evaluación de las correspondientes estrategias y medidas de seguridad debe considerar todos los escenarios de despliegue y las aplicaciones nativas para nube.

Actualizado el 30 sept 2023



Ciberseguridad-Nube-

En una arquitectura Multicloud, se hace imprescindible que la organización implemente la práctica de Control de Postura de Nube continuo, y pensando en los requerimientos de diseño para este entorno, éstos se deben regir por los principios “Zero Trust” (ZT) del NIST. En tanto, desde la perspectiva de la cultura organizacional, se requiere asumir el paradigma de “responsabilidades compartidas” entre el proveedor de servicios en la nube y el cliente, el que, además, puede variar según el modelo de servicio en la nube que se utilice (IaaS, PaaS, SaaS) y el proveedor de servicios en la nube específico.

Control de Postura de Nube continuo

El Control de Postura en la Nube se refiere a un conjunto de prácticas y herramientas utilizadas para evaluar y garantizar el cumplimiento de políticas de seguridad y conformidad en entornos de nube, basadas en herramientas de tipo CSPM que permiten:

Evaluar y garantizar que los dispositivos cumplan con las políticas de seguridad antes de permitirles acceder a recursos en la nube.

Asegurar que los servicios en la nube utilizados también cuenten con medidas de seguridad adecuadas, como autenticación de dos factores, cifrado de datos y auditorías de seguridad.

Encontrar activos expuestos públicamente en forma errónea

Unificar y simplificar las políticas de gestión multi nube.

Corregir configuraciones defectuosas en la nube y multi nube.

Ejecutar controles a nivel de comunicaciones y reglas de accesos externos/ internos desde tus VPC (Red o nube privada virtual).

Controlar a nivel de código los scripts creados dentro del entorno, como los utilizados para realizar tareas de automatización en la nube.

Todos estos controles se logran ejecutando diferentes rulesets relacionados a entidades reguladoras globales, como también políticas adecuadas para cada entorno otorgado por los distintos vendors que existen actualmente en el mercado.

Diseño basado en principios de Zero Trust

Este abordaje se basa en los siguientes pilares aplicados a los entornos de nube, multi nube y aplicaciones cloud-native:

Se consideran recursos a securitizar todas las fuentes de datos y servicios, dado que todo recurso no es inherentemente seguro. En especial, cuando la arquitectura además incorpora microservicios.

Toda la comunicación debe estar segura independientemente de su origen, dado que toda red (privada o pública) no se considera una zona de confianza implícita y, por lo tanto, pueden no estar 100% bajo su gestión. Además, esto se complejiza cuando se suma micro segmentación y servicios mesh para resolver acceso, routing y balanceo.

El acceso a los recursos de la organización son otorgados en forma individual (y por sesión) y gestionados a través de políticas dinámicas. En muchos casos, no todos los recursos corresponden a infraestructura propiedad de la organización (servicios de terceros).

La organización monitorea y mide la integridad y postura de seguridad de todos los activos propios y asociados.

Toda la autenticación y autorización de recursos son dinámicas y se aplican estrictamente antes de permitir el acceso.

La organización recopila información y la utiliza para mejorar.

En función de lo anterior, y como se puede observar en el diagrama, se definen un conjunto de componentes lógicos necesarios para cumplir con las premisas anteriores:

Administrador de políticas.
Motor de políticas.
Puntos de aplicación de políticas.

Desafíos y ventajas del viaje hacia entornos multicloud

Los principales desafíos que encuentran las organizaciones en este viaje hacia entornos multicloud se relacionan con la complejidad derivada de la existencia de diferentes sistemas de autorización en diferentes Service Cloud Providers y entornos; la mayor complejidad para la gestión del inventario de activos y su distribución de costos en la organización (SBOM); la mayor complejidad en el análisis de flujo de datos y gestión de vulnerabilidades; la mayor tolerancia al riego frente a usuarios con usuarios privilegiados a través de múltiples nubes; y la mayor complejidad ante respuesta a incidentes. En este contexto, a modo de conclusión, estamos convencidos de que el enfoque Multicloud posibilita un conjunto de ventajas y capacidades sumamente atractivas para las organizaciones y que se pueden resumir en: Diversificación de riesgos, Mejora de la resiliencia, Optimización de costos y Flexibilidad y agilidad.

Artículos relacionados

Artículo 1 de 2