Los proveedores de la nube ofrecen una variedad de sistemas de seguridad y herramientas para asegurar las cargas de trabajo de los clientes, pero el administrador tiene que implementar realmente las defensas necesarias. No importa qué tipo de defensas de seguridad tenga el proveedor de la nube si los clientes no lo hacen. Ellos deben proteger sus propias redes, usuarios y aplicaciones.
Las organizaciones ya no pueden tratar la nube pública como un lugar para almacenar información, sino que deben incorporar algunas medidas de seguridad para garantizar que sus entornos de nube, aplicaciones y datos estén protegidos contra el acceso no autorizado.
1. Debes saber de lo que eres responsable
No todos los servicios en la nube son iguales, y el nivel de responsabilidad varía. Los proveedores de software como servicio (SaaS, por sus siglas en inglés) se asegurarán de que tus aplicaciones estén protegidas y de que los datos se transmitan y almacenen de forma segura, pero ese no suele ser el caso con la infraestructura en la nube. Por ejemplo, la organización tiene completa responsabilidad sobre AWS Elastic Compute Cloud (EC2), Amazon EBS y las instancias de la nube privada virtual de Amazon (VPC), que incluyen la configuración del sistema operativo, la administración de aplicaciones y la protección de datos.
En contraste, Amazon mantiene el sistema operativo y las aplicaciones para Simple Storage Service (S3), y la organización es responsable de administrar los datos, el control de acceso y las políticas de identidad. Amazon proporciona las herramientas para encriptar los datos para S3, pero le corresponde a la organización habilitar la protección a medida que ingresa y abandona el servidor.
Debes consultar con el proveedor para saber quién está a cargo de cada control de los sistemas de seguridad de la nube.
2. Controla quién tiene acceso
Muchas bases de datos en la nube pública están abiertas a Internet. De hecho, la mayor parte de los recursos en entornos de nube pública no restringen el tráfico saliente. Incluso un porcentaje de las cargas de trabajo en la nube aceptan el tráfico desde cualquier dirección IP en cualquier puerto.
La violación de datos de Verizon de Julio de este año ocurrió porque su almacenamiento S3 se configuró para permitir el acceso externo. Desafortunadamente, este es un error común. Muchas organizaciones tienen paquetes de S3 que permiten acceso a cualquiera. Muchos administradores habilitan erróneamente permisos globales en sus servidores utilizando 0.0.0.0/0 en las subredes públicas. La conexión se deja completamente abierta, dando a cualquier máquina la capacidad de conectarse. En el caso de AWS, S3 nunca debería tener una política de acceso público.
Otro error común es dejar abierto SSH lo que significaba que cualquiera que pueda descubrir la ubicación del servidor podría evitar el firewall y acceder directamente a los datos.
3. Protege los datos
Otro error común es dejar datos sin cifrar en la nube. Sin ir más lejos, en Estados Unidos, la información de sus votantes y archivos sensibles del Pentágono se expusieron porque los datos no estaban encriptados y los servidores estaban accesibles para terceros no autorizados.
Almacenar datos confidenciales en la nube sin implementar los controles adecuados para evitar el acceso al servidor y proteger los datos es irresponsable y peligroso. El cifrado es seguro contra fallos: incluso si falla la configuración de algunos sistemas de seguridad y los datos caen en manos de una parte no autorizada, los datos no se pueden usar.
Las violaciones de datos no siempre son causadas por atacantes externos. Los datos confidenciales pueden ser expuestos también por errores humanos. Errores u olvidos, como olvidarse de encender algo o pensar que algo se hizo sin verificarlo, pueden dejar la puerta abierta para los atacantes. Las organizaciones necesitan evaluar periódicamente los sistemas de seguridad de sus entornos de nube, y también los de sus proveedores y socios.
