Para las organizaciones que buscan priorizar la transformación digital, todos los caminos conducen a la adopción de la nube. Y aunque los proveedores de servicios cloud (CSP) suelen hacer un buen trabajo a la hora de asegurar la infraestructura de los servicios en la nube que ofrecen, los usuarios deben entender que podrían efectuar o pasar por alto configuraciones erróneas potencialmente perjudiciales para sus organizaciones. Las configuraciones erróneas aparentemente sencillas, por desgracia, no son una rareza y podrían dar lugar a sucesos devastadores como brechas de datos o ataques de ransomware .
Es importante entender que la nube no es una solución de seguridad llave en mano. Por ello, es urgente que las organizaciones conozcan el importante papel que deben desempeñar para mantener seguros sus entornos cloud.
Recomendaciones
He aquí algunas recomendaciones de seguridad para mantener a raya las configuraciones erróneas y las amenazas:
- Conceder acceso con mínimos privilegios. En lo que respecta al acceso, los usuarios deben tener solo el acceso o permisos necesarios para operar. Esto se conoce como el principio del mínimo privilegio. Los privilegios de administrador o root deben concederse solo a quienes los necesiten. Si un usuario con acceso de administrador se ve comprometido, un actor malicioso podría comprometer toda la red. Limitando el número de personas con privilegios de administrador y root, el riesgo de compromiso es menor.
- Adhesión al modelo de responsabilidad compartida. El modelo de responsabilidad compartida consiste en la delegación de responsabilidades entre el CSP y el usuario. Cuando los usuarios comprenden las tareas operativas de las que son responsables, el riesgo de que se produzcan errores de configuración disminuye. Por ejemplo, algunas máquinas virtuales o instancias tienen servicios de despliegue preconfigurados proporcionados por los CSP. Una vez que los usuarios los utilizan, deben entender que son responsables de la supervisión, el mantenimiento y la aplicación de parches.
- Educar y formar. Es fundamental que administradores y usuarios comprendan sus responsabilidades en materia de seguridad. Desde la identificación de las prácticas inseguras hasta la notificación inmediata de los problemas de seguridad, todo el mundo debe ser educado y formado sobre las amenazas que representan una configuración errónea.
- Crear y aplicar políticas, normas y procedimientos de seguridad. Deben definirse y aplicarse políticas, normas y procedimientos de seguridad eficaces y detallados para minimizar el riesgo de errores de configuración. Asimismo, deben crearse y aplicarse estrictamente políticas relativas al uso de componentes de código abierto, acceso remoto, creación y gestión de contraseñas, cifrado y descifrado, y gestión de bases de datos.
CloudOne-Conformity
En base a lo expuesto, la tecnología CloudOne-Conformity tiene como misión ofrecer seguridad, cumplimiento normativo y gobernanza continuas para plataformas Software as a Service (SaaS).
Todo esto desde una plataforma SaaS diseñada para ayudar a las organizaciones a gestionar las configuraciones incorrectas de sus recursos cloud en entornos multicloud, ayudando a los creadores de servicios cloud a tener la confianza de que su infraestructura está configurada correctamente y es compatible para crecer y escalar su negocio.
