¿De qué trata el modelo de responsabilidad compartida? Veámoslo.
Realidad y mito
Un hecho del que estamos seguros es que en el centro de datos tradicional, tú eres responsable de la seguridad general (realidad) desde el edificio de tu centro de datos físico, activos y el entorno virtual, como los controles de usuario de aplicaciones, el servidor, la conectividad a internet, etc.
Sin embargo, cuando se trata de mantener la seguridad en la nube, las personas a menudo la confunden y asumen que no hay necesidad de seguridad en la nube, y que es segura por defecto, o es el único deber del proveedor de servicios en la nube (Cloud Solution Provider, CSP) mantener la seguridad general de la nube, pero esto es solo un mito.
En la computación en la nube, la seguridad se aborda en el modelo de responsabilidad compartida, lo que significa que tu proveedor de servicios en la nube y tú como gerente de TI (o tu equipo asignado) mantienen la seguridad en su nivel definido. Esto indica que puedes mantener un entorno seguro con menos costos iniciales trabajando y compartiendo las responsabilidades de seguridad con el modelo de responsabilidad compartida.
En la esencia de la seguridad en la nube, el proveedor de servicios en la nube (CSP) solo es responsable de su implementación en la nube y del elemento de seguridad necesario que viene con ese entorno implementado. Su proveedor (CSP) ofrece un gran beneficio al administrar la carga de muchas funciones operativas, procesos que incluyen seguridad.
Dependiendo de los servicios como SAAS, PAAS, IAAS, tu proveedor de servicios en la nube manejará y administrará los recursos desde la red física hasta la red virtual, incluidos servidores, almacenamiento, sistemas operativos en tiempo de ejecución, aplicaciones, middleware, etc. Aún así, será responsable de mantener la seguridad y los cumplimientos para el resto del entorno implementado.
Comprendiendo el modelo de responsabilidad compartida de servicios cloud con un caso de uso
Partiendo de esto, supongamos que has alquilado una propiedad en el edificio EQUIS. Como dueño de una propiedad, el arrendador ha hecho las reparaciones necesarias y ha conservado las áreas comunes para mantener los servicios vitales en funcionamiento, como plomería, electricidad, recipientes de basura adecuados, etc. Pero una vez que obtengas tu contrato de alquiler y te conviertas en el inquilino, eres responsable de poner las cerraduras necesarias en la entrada y otras áreas con el fin de mantener tu hogar seguro contra robos y hurtos.
En la computación en la nube, la seguridad funciona igual. Todo el alcance de la seguridad en la nube se clasifica entre tu persona y tu proveedor de servicios en la nube en dos categorías principales, es decir, seguridad de la nube y seguridad en la nube para mantener la postura de seguridad dentro y fuera del entorno de la nube.
La seguridad de la nube es responsabilidad del CSP, y la seguridad en la nube es de los clientes.
La computación en la nube tiene un amplio conjunto de tecnologías, infraestructura asociada, políticas, aplicaciones y servicios relacionados que exigen seguridad en cada capa. En un nivel más profundo, el modelo de responsabilidad compartida varía entre los proveedores de servicios en la nube y podría cambiarse según los servicios que elija y el proveedor de servicios que elija.
Existen múltiples proveedores de servicios en la nube (CSP) como AWS, Azure, Google (GCP), Digital Ocean, Oracle, Alibaba, etc. Sin embargo, en un nivel amplio, según su modelo de servicio en la nube suscrito, la necesidad de seguridad entre su proveedor de servicios y su extremo se puede dividir en lo siguiente.
.png?width=1303&name=De%20qu%C3%A9%20trata%20el%20modelo%20de%20responsabilidad%20compartida%20en%20la%20nube%20(2).png)
La mayoría de las infracciones en la nube ocurren debido a errores y configuraciones incorrectas de los clientes en lugar del CSP. Según Gartner, hasta 2025, el 99 % de las brechas y fallas en la nube ocurrirán debido a la culpa del cliente. Por lo tanto, es esencial conocer y comprender las responsabilidades que vienen con el increíble poder y viabilidad de la nube.
Seguridad de la nube o responsabilidad de seguridad de CSP
Se refiere a las preocupaciones de seguridad que enfrenta el proveedor de servicios en la nube independientemente del modelo de servicio (como SAAS, PAAS, IAAS). Tu CSP administra la seguridad de la nube y es responsable de la implementación segura de la nube y la inmunidad contra ataques cibernéticos, incidentes de seguridad, desastres naturales o cualquier otro percance.
El CSP proporciona seguridad en la siguiente capa del modelo de servicio en la nube.
Responsabilidad de CSP en IAAS
Red física
Los proveedores de servicios locales y proveedores de servicios en la nube protegen las redes físicas a través de múltiples software y medios físicos. La seguridad de la red física incluye la protección contra intrusiones y templados a cualquiera de los hardware compatibles con la nube.
Además, garantizan:
- la disponibilidad ininterrumpida y alta de la conexión a internet y las fuentes de alimentación,
- la confiabilidad y flexibilidad de todos los recursos de la infraestructura,
- el acceso controlado al centro de datos,
- el monitoreo de parámetros críticos,
- la solución de recuperación de desastres en caso de catástrofe natural,
- la red,
- las unidades,
- la protección y estabilidad del equipo del servidor con soluciones integrales integradas de respaldo y restauración.
Servidor y almacenamiento
Al poner en marcha el entorno de la nube, el proveedor de servicios en la nube mantiene un 99,99 % (o menos en algunos casos) de disponibilidad y seguridad de servidores y dispositivos de almacenamiento como discos duros, RAM, matrices de almacenamiento, servidores de red para proteger los datos del usuario, ofrece una migración y copia de seguridad.
Hipervisor
El hipervisor que permite múltiples sistemas operativos invitados en un solo host, asigna hardware único para ser compartido entre múltiples máquinas virtuales, lo que vinculó a los proveedores de la nube a proporcionar virtualización, segmentación y aislamiento separados de componentes de la nube como CPU, GPU, sistema operativo, memoria para proteger el entorno de nube del usuario, la aplicación y los datos.
La seguridad de los componentes mencionados anteriormente es proporcionada por el proveedor de servicios en la nube, independientemente del modelo de servicio en la nube. El resto de la seguridad del componente varía según el modelo de servicio en la nube que elijas comprar.
Responsabilidad de CSP en PAAS
En la plataforma como servicio, tu proveedor de servicios en la nube te ofrece un entorno seguro conveniente y automatizado para desarrollar, probar aplicaciones y poner los servidores a través de los procesos de autoservicio. Siempre que optes por PaaS, tu proveedor de servicios en la nube gestionará la seguridad de todos los componentes de la nube mencionados anteriormente en IaaS con la adición de dos elementos, es decir, con la red virtual y el sistema operativo.
Red virtual
La red virtual proporciona agilidad: control completo sobre tu red y permite implementar tus recursos en cualquier momento. Además, facilita la definición de la segmentación de la red para admitir la arquitectura de varios niveles, así como la segregación entre múltiples redes de desarrollo, producción y corporativas.
Para ofrecer redundancia con menos tiempo de inactividad, tu proveedor de servicios realiza el aislamiento lógico de la red en la nube dedicada a su suscripción y define el control de acceso a su nube privada virtual (VPC) junto con las operaciones de seguridad administradas.
Sistema operativo
Dado que en la PaaS, el sistema operativo es prestado por su proveedor de servicios, eventualmente se convierten en los responsables de mantener y lanzar parches, actualizaciones de seguridad menores y mayores del sistema operativo (SO), servidor web, disponibilidad de tiempo de ejecución del servidor de aplicaciones, etc.
Responsabilidad de CSP en SAAS
En SaaS, tu proveedor de servicios en la nube proporciona un entorno de software dedicado y, por lo tanto, es responsable de administrar la seguridad. Junto con la aplicación en sí, tu proveedor de nube mantiene los recursos compatibles con el software en la nube, como la red física, el servidor y el almacenamiento, el hipervisor, la red virtual, el sistema operativo, etc., similar a IaaS, PaaS.
Aplicación
El proveedor de la nube administra únicamente la seguridad de la aplicación y es responsable de proporcionar seguridad de datos en el entorno multiinquilino. Además, están obligados a proporcionar seguridad de datos en transición y en reposo. Por otro lado, si surge alguna falla de seguridad o vulnerabilidad debido al componente de terceros utilizado en la aplicación, tu proveedor de servicios lo parchea por completo.
Seguridad en la nube o responsabilidad de seguridad del cliente
La seguridad en la nube se refiere a las preocupaciones de seguridad que enfrenta el cliente que utiliza el servicio en la nube, almacena datos o aloja aplicaciones en la nube. Esta categoría de seguridad en la nube depende del cliente, es decir, tú como gerente de TI que utiliza el entorno de la nube.
Responsabilidad del cliente en SAAS
Usuario
La única responsabilidad es mantener el acceso y la seguridad del usuario para evitar que el entorno interno de la nube sea una invasión maliciosa. Debes mantener el acceso de los usuarios en el nivel del suelo e implementar el mecanismo de control de acceso.
En cuanto a la seguridad sólida contra el acceso no autorizado, puedes seguir la autenticación multifactor (MFA), el inicio de sesión único (SSO), la clave de acceso, la administración de contraseñas y otras medidas relativas para mantener la identidad y el control de acceso.
Datos
Tienes control directo y visibilidad sobre tus datos. Por lo tanto, es su responsabilidad controlar los datos confidenciales mediante una configuración segura, un mecanismo de cifrado junto con un protocolo apropiado para la transmisión de datos con el fin de mantener la seguridad de los datos dentro y fuera del entorno de la nube.
Entendamos el modelo de responsabilidad compartida SaaS con un ejemplo
Supongamos que la empresa EQUIS proporciona un servicio de almacenamiento de objetos basado en la nube bajo demanda a través de un software basado en la web. Como cliente, ha comprado la suscripción mensual o anual para su negocio, ha establecido la cuenta y ha compartido la plataforma con sus empleados para usar y almacenar datos. Ahora, como cliente, es su responsabilidad asignada implementar una contraseña segura, una política de autenticación multifactor entre sus empleados y usuarios que tienen acceso al software.
Además, para proteger la cuenta del acceso no autorizado,serías responsable de monitorear y auditar los registros y el tráfico. Tendrías que garantizar el almacenamiento de datos cifrados, enlaces protegidos con contraseña para compartir datos entre los miembros del equipo para que ninguna persona no autorizada pueda leer los datos o hacerlos accesibles pirateando la cuenta de credenciales de un empleado.
Responsabilidad del cliente en PAAS
Aplicación
Cuando optas por la plataforma como servicio, tu responsabilidad de seguridad compartida te exige que protejas al usuario, los datos y la capa de aplicación. En la PaaS, tu proveedor de servicios te ofrece herramientas y recursos para desarrollar la aplicación, por lo que la seguridad de la aplicación se traslada a tu tribunal.
Es tu responsabilidad desarrollar y diseñar su software/aplicación con consideración segura de SDLC. Lo que implica que mitigue los riesgos, parchee rápidamente las vulnerabilidades y supervise constantemente el software construido contra los últimos vectores de ataque y tendencias. Mientras que el resto de la gestión de datos y seguridad del usuario sigue siendo la misma para ti como responsable de TI y SaaS.
Comprende tus responsabilidades en PaaS con el siguiente ejemplo
Supongamos que has comprado una plataforma como servicio para crear un sistema de almacenamiento de objetos. Por lo tanto, como usuario de esa PaaS en particular, estaría girando tu servidor web, diseñando y desarrollando la aplicación con todos tus recursos, pero debes administrar la consideración de seguridad dentro de la aplicación que se construyó en torno al uso de la PaaS.
Incluye la selección de bases de datos y controles de seguridad, como el mecanismo de criptogramas para garantizar la seguridad de los datos, la selección de protocolos para la transmisión segura de datos, el control de identidad y acceso para restringir el acceso no autorizado, la política de bloqueo del usuario, los datos en reposo y en tránsito, la gestión de PII, etc. Junto con él, tendrás que proteger tus sistemas interconectados, tus repositorios de código contra la invasión, garantizar una producción y pruebas seguras durante toda la fase de desarrollo e integración.
Además, no solo estás obligado a mantener la seguridad de la aplicación que diseñas y desarrollas, utilizando el servicio en la nube, sino que también eres responsable de mantener el acceso de tu equipo y la seguridad de los datos dentro del entorno de servicio en la nube PaaS.
Es simple; eres responsable de tener un sistema de administración de identidad y acceso (IAM) adecuado, almacenamiento de datos y mecanismo de seguridad para que ningún usuario o empleado no autorizado pueda acceder a su entorno de producción. Además, es necesario restringir a los atacantes de comprometer la seguridad, insertar código malicioso, certificados falsificados o hacer un mal uso de cualquier recurso interno.
Responsabilidad del cliente en IAAS
En el entorno de la nube, sus responsabilidades aumentan con la creciente demanda de recursos en la nube. Por ejemplo, con la infraestructura como servicio, se alquila un recurso informático de infraestructura bajo demanda. Al igual que tus responsabilidades de PaaS, debe mantener la seguridad de las aplicaciones, pero obtiene responsabilidades adicionales para administrar el resto del entorno implementado, es decir, la red virtual y el sistema operativo.
Red virtual
En IaaS, tu proveedor de servicios ofrece a tu empresa una infraestructura completa para las operaciones diarias, desarrollo, etc. Tu proveedor sólo mantiene la seguridad hasta la capa de hipervisor. Toda la red por encima y bajo tu control es administrada directamente por ti. Por lo tanto, depende totalmente de tu rol y se requiere desde tu extremo monitorear constantemente, segmentar tu red virtual, definir controles de acceso y configurar de forma segura su nube privada virtual y tu red interna.
Sistema operativo
Con la infraestructura como servicio, puedes elegir e instalar el sistema operativo deseado en tu red, lo que aumenta tus responsabilidades. Como autoridad directa de tu entorno operativo, debe mantener su sistema operativo seguro contra las vulnerabilidades que afectan a tus recursos basados en servidor con parches actualizados.
Veamos una idea de tus responsabilidades de seguridad de IaaS
Supongamos que has comprado un modelo de servicio IaaS para tu negocio. Tu proveedor de servicios en la nube ha configurado tu entorno con todos los elementos previos. Ahora eres tú quien dirigirá el desarrollo general y el entorno de la nube con todas las consideraciones de seguridad. Implica la selección del sistema operativo, la gestión de vulnerabilidades, la creación de múltiples redes virtuales, el aislamiento y la segmentación de redes virtuales, la integración de bases de datos, la gestión del equilibrador de carga, la integración de servidores web, el desarrollo de aplicaciones con SDLC seguro, etc.
En resumen, desde la selección del sistema operativo hasta el acceso de los empleados al territorio de la nube, debes monitorear toda la actividad, vulnerabilidades, parches y administrarlos rápidamente.
Conclusión
El modelo de responsabilidad compartida proporciona un plan de acción adecuado y un punto de referencia claro tanto para el cliente como para los proveedores de servicios en la nube para mantener la seguridad dentro y fuera de la nube. Siempre que busques cualquier modelo de servicio en la nube, aprendas y comprendas tus deberes y requisitos de seguridad.
Sobre todo, independientemente del proveedor de servicios en la nube y el modelo de servicio que utilices y de dónde comiencen o finalicen tus responsabilidades, debes asegurarte de que tu entorno de nube empresarial cumpla con los términos y condiciones de cumplimiento.
Transformar tu negocio con la infraestructura en la nube no elimina los requisitos de cumplimiento ni lo hace automáticamente adaptable con él. Debes realizar la debida diligencia con evaluaciones de seguridad en la nube para obtener visibilidad, analizar y responder a las amenazas de ciberseguridad y mantener los requisitos de la regulación.
Como proveedor de servicios de seguridad en la nube, ayudamos a las organizaciones a proteger su ámbito de la nube con una configuración sólida y una gestión de la seguridad. Es imposible ser inmune a los ciberataques, pero es posible reducir el riesgo a un nivel aceptable y es lo que hacemos en ITQS.
Nos aseguramos de que tu entorno informático siga siendo compatible, seguro y resistente a las amenazas de ciberseguridad externas e internas y a los vectores de ataque. Contáctanos hoy para una consulta o discutir inquietudes de seguridad en la nube, más cuando tienes un servidor obsoleto donde podrías esperar consecuencias graves de ciberataques cuando menos lo esperes.
