Red Seguridad 095

40 red seguridad cuarto trimestre 2021 monográfico cloud la capacidad de utilizar controles que reduzcan la superficie de ataque, tecno- logías de decepción, así como los con- troles correspondientes para garantizar el cumplimiento y adherencia a marcos regulatorios de cumplimiento y estánda- res industriales”. Y a todo ello, añade, tiene que contar también “con controles de seguridad que permitan regular iden- tidades, credenciales y acceso de identi- dades privilegiadas”. La segunda tecnología destacada es Cloud Security Posture Management (CSPM), con la que se garantiza que los despliegues e implementaciones cum- plen con los estándares del mercado como CIS o NIST. Además, puntualiza Pedroche, de Qualys, debe “apoyarse en las buenas prácticas y recomendaciones de los proveedores cloud y evaluar que las configuraciones sean las adecuadas en todo momento desde el punto de vis- ta de seguridad”. Otra propuesta destacada en este sentido es Cloud Access Security Broker (CASB), que dota al usuario de capacidad para “gestionar desde identidades hasta llaves de cifrado y acceso programático e incluso secretos (secrets)”, en palabras de Fuentes, de Bitdefender. Para este profesional, dicha solución ”debe contar también con capacidad para satisfacer la debida adherencia a marcos regulatorios de cumplimiento y estándares industria- les, así como con capacidad para moni- torizar y restringir el uso de API”. Fuente también pone sobre la mesa la importancia de contar con Servicios Ges- tionados de Seguridad o Managed De- tection and Response (MDR), “con capa- cidad para monitorizar desde aplicativos y sistemas de cómputo de misión crítica, hasta actividad de sistemas y usuarios tanto dentro como fuera de la red”. Eso sí, en todo momento, hay que tener en cuenta que el perímetro clásico, al que las organizaciones estaban acostumbra- das, desaparece en la nube. “Ya no tene- mos que usar una VPN para acceder a la aplicación corporativa, porque está en la nube y se puede acceder desde cualquier sitio, aunque seguimos teniendo recursos dentro de nuestro perímetro clásico”, ma- tiza Rodas, de Sophos. Esto, según el di- rectivo, “hace que tengamos que utilizar conceptos relativamente nuevos, como es el ZTNA (Zero Trust Network Access)”. “Este tipo de productos nos permiten con- trolar no solo quién accede a nuestros elementos clásicos, sino también a los recursos que tengamos publicados en cloud ”, puntualiza. Mejores prácticas Pero no basta con implementar directa- mente estas tecnologías de protección, igualmente hay que contar con una po- lítica definida de seguridad en la nube. Eso pasa por tener en cuenta una serie de recomendaciones que realizan los ex- pertos consultados. Por ejemplo, según indica Fuentes, de Bitdefender, el primer Bitdefender y la protección ‘cloud’ Son varias las soluciones con las que cuenta Bitdefender para ofrecer una protección integral de los activos cloud , según explica Yasser Fuentes, gerente técnico de Productos de Se- guridad para Nube de la compañía. En concreto, GravityZone Security for Containers; GravityZone Security for AWS; GravityZone Security for Virtual Environments VDI, VS, CPU; GravityZo- ne Security for Storage; GravityZone Advanced Business Security; Gravity- Zone Elite; GravityZone Ultra; Hyper- visor Introspection; Cloud Security for MSP-SVE VS; Bitdefender Cloud Secu- rity for MSP-SVE VDI; y Managed De- tection and Response (MDR). Todas ellas, trabajando de forma coordina- da, permiten “detectar, prevenir, ana- lizar y responder a cualquier inciden- cia de seguridad relacionada con la nube, así como monitorizar y detectar anomalías que comprometan la inte- gridad de un servicio cloud ”, añade. Qualys Cloud Platform La propuesta de Qualys en el ámbito de la seguridad en la nube se llama Qualys Cloud Platform. En palabras de Sergio Pedroche, Country Manager de Qualys para España y Portugal, se trata de “una plataforma cloud nativa con más de 24 aplicaciones integradas de inventario, seguridad y cumplimiento normativo perfectamente adaptada a estos entornos con una única consola global desde la que administrarlo todo”. Esto permite responder y mitigar las amenazas detectadas en el menor tiempo posible de una forma continua y lo más automatizada posible, así como aprender y prevenir que se repitan incidentes en el futuro. Esta solución cuenta con capacidades de inventario global de cualquier activo de una compañía (CSAM) que ayuda a contextualizar el propio entorno y ajustar el riesgo; así como funciones de CSPM de los principales proveedores cloud y CWP en entornos híbridos y DevOps. paso es “escoger meticulosamente un proveedor de servicio de nube y, a su vez, revisar el Modelo de Responsabili- dad Compartida (Shared Responsibility Model), así como los controles y las me- didas de seguridad que ofrezca”. Por su parte, Rodas, de Sophos, da otro consejo general: “La mejor práctica es olvidarse de las prisas y pensar todo