Seguridad en la nube: ¿mito o realidad?

Con el tiempo que llevamos asimilando los beneficios de la nube, cabría pensar que es un terreno en el que la seguridad está más que resuelta. Sin embargo, eso es algo que no parece que se tenga tan claro. Si nos fijamos en las encuestas de prestigio de CSA (1) e (ISC)2 (2), se observan nuevas fuentes de riesgo más cercanas a nosotros de lo que nos gustaría aceptar. Es curioso observar que, aún así, existe cierto exceso de confianza, cuando la realidad es que hay trabajo pendiente de puertas adentro.

 

Las encuestas revelan que la seguridad en la nube y la protección de datos sensibles siguen siendo las principales causas de preocupación, aunque el número de incidencias reales es menor de lo que cabría esperar. Hasta aquí sin sorpresas. Lo interesante es que se detecta un exceso de confianza que puede promover aún más las causas de riesgo. De hecho, se concluye que las principales causas de riesgo vienen por accesos no autorizados y configuraciones TIC incorrectas.

 

 

 

 

Prioridad en proteger el dato como uno de los activos más preciados

 

En los tiempos que corren los datos han pasado a ser un elemento crítico de negocio. El trabajo en remoto, la expansión del social media, la cantidad de nuevas fuentes de información y el increíble incremento de dispositivos conectados hace que una incidencia en los centros de datos afecte de forma definitiva al negocio.

 

Es además un elemento indispensable para sobrevivir en el competitivo mundo de hoy en día. La cantidad de datos ahora disponible va a ayudar a conocer mejor a los clientes y sus necesidades y, por tanto, a aportarles más valor que la competencia. Es lógico que haya reticencia en confiar tal activo a un tercero sin la certeza de que van a existir las máximas medidas de seguridad y protección.

 

En el mercado encontramos soluciones y mensajes “exóticos” que incluyen palabras de moda como “cuántico”, “convergencia”, “resiliencia”…  Los proveedores en la nube deben encontrar la forma de destacar. Sin embargo, no se debe perder el foco en lo más básico: asegurar que solo quién (o qué) proceda pueda acceder a lo que requiera en el momento que corresponda.

 

Que no se me interprete mal: cuanto más avanzada sea la solución, más posibilidades de conseguir el objetivo deseado de protección. Pero reflexionemos: ¿realmente tiene posibilidades hoy un proveedor en la nube que no disponga de la capacidad adecuada de protección, detección temprana de amenazas y rápida respuesta en caso de riesgo detectado? La respuesta es no. Y aquí está el punto de partida para responder a la pregunta que da título a este articulo: ¿la seguridad en la nube es realidad o ficción?

 

 

Seguridad en la nube – ¿Realidad o ficción?

 

Seguimos siendo reticentes a la idea de confiar a un tercero nuestro bien más preciado: los datos. Si nos dejamos llevar, oímos multitud de razones y ejemplos: que si ataques a máquinas virtuales mediante VM escape, que si tengo un cliente que sufrió un ataque de canal lateral, etc. Uno de los más comunes es “nunca vamos a tener la certeza de que no acceden desconocidos”. ¿Qué pasa si hay una fuga por una credencial de administrador?

 

Hoy en día se puede afirmar que es más que posible que el dato esté más seguro en un proveedor fiable en la nube que en el centro de datos de la mayoría de los clientes. Nos podemos quedar con una sola de las muchas razones que podría listar: la inversión en seguridad de un proveedor en la nube, de cuya fiabilidad y credibilidad va a depender su negocio, será muchísimo mayor que la de la inmensa mayoría de empresas cliente. ¿La razón? Que el negocio de estas empresas cliente no es la seguridad. Eso hace que el capital invertido en seguridad siempre será una fracción de lo que pueda invertir un proveedor en la nube.

 

De modo que puedo afirmar sin temor a equivocarme que sí, que la seguridad en la nube es realidad. Tan solo hay que tener dos factores en cuenta:

 

  1. Que el proveedor elegido cumpla con el requisito de garantizar la absoluta privacidad del dato (a parte de los requisitos genéricos contractuales y de garantía de servicio).
  2. Hoy más que nunca hay que tener claro el concepto de responsabilidad compartida y adoptarlo como modelo de garantía de una, ahora si, Seguridad 360º.

 

 

La necesidad de entender y asimilar el modelo de responsabilidad compartida

 

Las encuestas delatan que, desde el punto de vista de incidentes reportados y riesgos identificados, se pone en evidencia problemas internos de seguridad que pueden implicar filtraciones de datos.

 

Según la encuesta de (ISC)2 (2), un 68% de los encuestados expone como mayor riesgo de amenaza las configuraciones incorrectas, seguido de un 58% que indica como preocupación los accesos no autorizados. Estos datos encajan con lo expuesto en el estudio de la CSA (1): Las cuatro primeras amenazas en la nube identificadas de un total de once son:

 

  1. La brecha de datos.
  2. Malas configuraciones y fallos en el control de cambios.
  3. Falta de estrategia y arquitectura de seguridad en la nube.
  4. Mala gestión de identidades y accesos.

Y el panorama expuesto por analistas va en esa dirección. Según Gartner (3), hasta 2025, el 90% de las organizaciones que no controlen el uso de la nube pública compartirán datos confidenciales de manera inapropiada. También indica que mientras la mayoría de las empresas seguirán luchando por medir adecuadamente los riesgos de seguridad en la nube, el 99% de los fallos de seguridad en la nube serán culpa del cliente.

 

Es posible mitigar gran parte de los riesgos y amenazas a los que nos podemos enfrentar con tan solo tener claras estas simples directrices como clientes:

 

 

Tener presente que, en última instancia, los datos son nuestra responsabilidad.

  • Es un agujero potencial de seguridad el no disponer de una política adecuada de versiones y parches o una gestión controlada de configuraciones (Si lo miramos, ¿Cuántas contraseñas por defecto encontraríamos en el sistema? ¿y contraseñas de usuarios de aplicación conocidas?).
  • Debemos asegurarnos de que nuestro proveedor en la nube puede garantizados la total privacidad de nuestros datos, así como tener la capacidad de proveernos de los recursos que precisemos para cumplir con nuestra parte de responsabilidad.

 

Un ejemplo, si decidimos contratar un entorno PaaS para mantener nuestra estructura de base de datos, nos querremos asegurar de que el proveedor cumple con su parte de responsabilidad:

 

  • La infraestructura de sistema operativo, almacenamiento y comunicaciones cumple con todos los requisitos de seguridad requeridos (aislamiento entre inquilinos, protección contra DDoS, enlaces cifrados, etc..)
  • Que la base de datos está al día de versiones y parches

 

Entonces viene la parte de responsabilidad del cliente. Este deberá asegurarse de que la base de datos:

 

  • Disponga de las medidas de seguridad requeridas (cifrado, segregación de funciones, etc..), cosa que en gran parte de los proveedores es opcional con coste
  • Esté correctamente configurada (control de alcance de administradores, gestión de contraseñas, sin configuraciones por defecto, etc..)
  • Tenga un diseño adecuado de permisos y control de acceso

 

 

La seguridad en la nube pública de Oracle

 

 

 

Desde su inicio, Oracle Cloud Infrastructure (OCI) se ha centrado en resolver los problemas de seguridad propios de las nubes de primera generación, que en su mayoría están centradas en el uso eficiente de recursos, situando la seguridad en un plano más de perímetro.

 

OCI aporta seguridad por defecto en IaaS junto con diversidad de controles gestionados por el cliente, con la filosofía de que también es parte de responsabilidad Oracle compartir mejores practicas y soporte de uso con sus clientes. Está diseñado priorizando la seguridad desde la red al hardware, desde la máquina virtual al hipervisor, desde dato a la identidad, en cumplimiento tanto en aplicación (pci, sox, gdpr, etc.) como en infraestructura (SOC 1/2, ISO27001, etc.), aportando seguridad de primer nivel en su parte de responsabilidad:

 

  • Datos de la aplicación (cifrado gestionado por el cliente, etc.)
  • Accesos (políticas de iam, protección de credenciales, etc.)
  • VCN (listas de seguridad de vcn / subredes / bastiones, VPN, etc.)• Almacenamiento (listas de acceso, registros de acceso, etc.)
  • Computación (firewalls de instancia, claves ssh, parches de seguridad, etc.)
  • Consolas y API (cifrados TLS.2, mitigación de fuerza bruta, etc.)
  • Plano de control del host (controles de acceso, parcheo, monitoreo, etc.)
  • Hardware del servidor (firmware, procesadores, gpus, periféricos, etc.)
  • Red (protección DDoS, firewalls frontera / de tránsito, Routers, VPN, etc.)
  • Centro de datos (seguridad física, investigación de antecedentes de personal, destrucción de unidades, control acceso de operadores, etc.

 

Oracle pretende ganarse la confianza de empresas y clientes con cargas de trabajo críticas con el concepto de La seguridad primero, rediseñando la pila de virtualización para reducir el riesgo de ataques basados en hipervisores y aumentar el aislamiento de los inquilinos, protegiéndolos entre sí y también del proveedor de la nube. El resultado es nube pública de segunda generación que cumple con todos los requisitos de cumplimiento normativo y de seguridad que necesitan empresas y clientes.

 

 

La seguridad de los datos es un requerimiento, no un privilegio

 

Una plataforma segura de aislamiento en la nube nunca será suficiente si no se incluyen medidas específicas, eficientes y efectivas de protección de datos. Medidas que deben formar por defecto parte del entorno sin que ello implique necesariamente gastar más dinero.

 

Tenemos el ejemplo de Oracle Autonomous Database. Un servicio de base de datos como servicio (DBaaS) donde la seguridad viene por defecto aprovechando la seguridad de OCI y de los componentes de siempre de seguridad en base de datos:

 

 

  • Sistema operativo reforzado que no es accesible para los administradores del lado cliente.
  • Segregación de Funciones: Quién concede derechos no puede administrar y viceversa.
  • Cifrado de datos en reposo y en movimiento.
  • Auditoría de eventos críticos de seguridad.
  • Restricciones de BBDD en inicialización, características, comandos SQL y tipos de datos.
  • Lista blanca de IP para eliminar todo el tráfico de direcciones desconocidas.
  • Se actualiza y parchea automáticamente sin paradas y de manera oportuna.
  • Análisis de privilegios y roles usados/obsoletos con políticas de privilegios mínimos.
  • Evaluación del riesgo de usuarios y configuraciones periódica automatizada.

 

 

La seguridad de la nube extendida al cliente

 

En un entorno informático compartido multiinquilino, Oracle es responsable de la seguridad de la infraestructura en la nube subyacente (como las instalaciones del centro de datos y los sistemas de hardware y software) y el cliente (o inquilino en particular) es responsable de proteger las cargas de trabajo y configurar los servicios (como los recursos informáticos, la red, el almacenamiento y la base de datos) de manera segura.

 

En función del servicio contratado, el nivel de responsabilidad variará. En un modelo SaaS, Oracle se responsabiliza de toda la parte de plataforma e infraestructura, mientras que el cliente lo hace de la parte de configuración y uso seguro de la aplicación. En un modelo PaaS, Oracle es responsable de la parte de infraestructura, el cliente de todo lo relativo a la aplicación y la configuración y seguridad de los servicios de plataforma (servidores de aplicación, bases de datos, etc.). En un modelo IaaS, Oracle se responsabiliza de asegurar todo aquello que está en capas inferiores al sistema operativo (red, almacenamiento, infraestructura, hardware, etc.), mientras que el cliente es el responsable de configurar la seguridad de su plataforma (sistema operativo, servidores de aplicación, bases de datos, etc.), aplicaciones y el acceso a sus datos (siempre y cuando no tenga contratado algún tipo de servicio de mantenimiento/administración global).

 

Oracle, con el fin de facilitar la parte de responsabilidad del cliente, ofrece servicios en la nube y componentes On-Premise con capacidades de seguridad y gestión que incluyen:

 

  • Prácticas y servicios de seguridad que garantizan máximos niveles de protección, disponibilidad y cumplimiento local e internacional.
    • Servicios Profesionales ofrecidos por Oracle Consulting Services, Advanced Customer Support o por alguno de los partners Oracle especializados en seguridad, como avanttic.
  • Oferta de servicios Cloud con seguridad por defecto en base a la postura de privilegios mínimos.
    • Seguridad propia de nube pública de Oracle (Oracle Cloud Infrastructure – OCI).
    • Oracle Data Safe para servicios de BBDD en la nube y locales en el CPD del cliente.
    • Configuración de Seguridad por defecto para Oracle Autonomous Database.
    • Oracle Cloud Guard para la monitorización de toda la plataforma OCI.
    • Maximum Security Zones para aportar cuando sea preciso, de un espacio de máxima seguridad en la nube para protección de recursos críticos.

 

  • Capacidades disponibles de gestión de plataforma, monitorización, control de configuraciones y gestión de riesgos en datos y servicios Cloud con Oracle CASB, Oracle Cloud Observability and Management Platform y Oracle Enterprise Manager.
  • Seguridad a nivel de aplicación con Oracle WAF.
  • Gestión, registro y control de accesos para asegurar que solo quien corresponde puede acceder a datos y servicios con Oracle Identity Cloud Service y la familia de componentes OnPremise de Oracle Identity and Access Management.

 

Conclusión

 

Los clientes, aún con cierto exceso de confianza, son conscientes de que tienen trabajo pendiente de puertas adentro. Y un primer paso necesario es tener bien claro el modelo de responsabilidad compartida.

 

Está claro que la seguridad en la nube y la protección de datos sensibles siguen siendo las principales causas de preocupación con la confirmación, respaldada por encuestas e incidencias reportadas, de que las principales causas de riesgo vienen por accesos no autorizados y configuraciones TIC incorrectas.

 

Para evolucionar en el concepto de Seguridad Cloud y poder mitigar los riesgos identificados, los clientes tendrán que aceptar que el enfoque tradicional de seguridad TIC es obsoleto. Promoviendo la concienciación y adopción de mejores prácticas tendrán que centrarse en el desarrollo de mejores sistemas de gestión de configuraciones, entornos de autenticación y apoyarse en herramientas propias del proveedor Cloud. Y es en este punto donde Oracle se posiciona y destaca dando respuesta a las inquietudes de los clientes aportando herramientas que ayudarán mitigar los riesgos sobre sus principales activos.

 

Oracle va a acompañar al cliente en su parte de responsabilidad a la vez que cumple estrictamente con la suya propia. Por su parte, el ecosistema de partners Oracle, que aporta especialización, innovación y escalabilidad a los proyectos, es indispensable para acompañar a los clientes en estos procesos de transformación hacia nuevos enfoques de seguridad TIC en la nube.

 

 

Documentación consultada:
(1) LAS 11 PRINCIPALES AMENAZAS EN LA NUBE SEGÚN CSA 2020 https://cloudsecurityalliance.org/artifacts/top-threats-egregious-11-deep-dive/
(2) INFORME DE SEGURIDAD CLOUD (ISC)2 2020https://www.cybersecurity-insiders.com/portfolio/2020-cloud-secuity-report-isc2/
(3) ¿ES LA NUBE SEGURA? GARTNER 2019 https://www.gartner.com/smarterwithgartner/is-the-cloud-secure/
(4) ARQUITECTURA DE SEGURIDAD EN OCIhttps://www.oracle.com/a/ocom/docs/oracle-cloud-infrastructure-security-architecture.pdf
(5) PROTEGIENDO LA BASE DE DATOS ORACLEhttps://download.oracle.com/database/oracle-database-security-primer.pdf

Twitter
LinkedIn
Evolución, innovación y transformación
31 Service Expertise avalados por Oracle 
Nuestra propuesta de valor
Posts 100% Oracle
Sigue nuestro día a día