Los principales supuestos falsos de seguridad en la nube que crean riesgos innecesarios

Han pasado 15 años desde que Amazon Web Services lanzó la primera plataforma de infraestructura en la nube. Con solo apretar un switch, podría encender un centro de datos sin tener que comprar ningún hardware o enterrar capital. Pero inicialmente muchas empresas miraban la nube con recelo. Deseosos de perder el control, se aferran a ejecutar sus propios data centers. Pensaron que la nube era riesgosa. Y lo fue.

En esta entrada de blog, la primera de dos, exploraremos suposiciones falsas sobre la seguridad en la nube que hacen que la nube sea más riesgosa de lo necesario.

La nube: demasiado convincente para ignorarla

A pesar de los riesgos, con el tiempo, el valor de la nube demostró ser demasiado convincente para ignorarlo. Hoy en día, casi todas las empresas utilizan la nube en un grado u otro. Y muchas organizaciones confían en la nube para alojar operaciones críticas, algo impensable hace una década.

Si bien la nube ha proporcionado beneficios de gran alcance, sus riesgos y desafíos persisten. Implicando la aplicación integral, Seguridad Zero Trust en la nube es tan importante como lo es para cualquier otra parte de su infraestructura digital.

¿El mayor problema? Las organizaciones a menudo no comprenden completamente las formas en que su infraestructura de nube las expone. ciberataques y ransomware.

Asunto #1: Tu proveedor de nube es responsable de la seguridad de tus aplicaciones.

Si no es su proveedor de nube, entonces quién es responsable de seguridad en la nube?

La verdad es que la seguridad es una responsabilidad compartida.

Ya sea que esté trabajando con Amazon, Microsoft, Google o cualquier otro proveedor de la nube, si observa la letra pequeña, verá que su responsabilidad de seguridad se limita a proteger solo la estructura de la red, eso es todo lo que compone su entorno de alojamiento.

La seguridad de las aplicaciones sigue siendo su responsabilidad. Tan pronto como implemente una instancia de aplicación con un sistema operativo en la parte superior de la red en la nube, protegerla es su trabajo, no el de ellos.

Además, el soporte de seguridad en la nube de los proveedores utiliza un modelo de “mejor esfuerzo”, no acuerdos de nivel de servicio (SLA). Esto significa que solo necesitan prometer hacer todo lo posible para protegerlo de las amenazas nacidas en la red, como los ataques de denegación de servicio distribuido (DDoS). Pero si uno logra pasar, bueno, hicieron todo lo posible. En cuanto a la protección de sus cargas de trabajo, eso siempre está a su disposición.

Además, aunque los proveedores de nube parchearán sistemas como servidores Linux que alojan aplicaciones, eso no aborda las posibles vulnerabilidades de las aplicaciones. Sin visibilidad en la capa de aplicación, no puede saber si una aplicación se ha implementado o configurado correctamente.

Asunto #2: La seguridad en la nube es fácil de administrar.

Los beneficios de la nube (velocidad, agilidad y elasticidad) realmente hacen que seguridad en la nube más dificil. Esto se debe a que la nube permite a prácticamente cualquier persona de su organización activar una nueva aplicación o recurso con solo unos pocos clics del ratón.

Haciendo las cosas aún más difíciles, pocas organizaciones administran de manera centralizada servicios en la nube dentro de sus equipos de TI y seguridad. En su lugar, varias unidades de negocio y grupos pueden configurar de forma independiente nuevas cuentas en la nube.

Es decir, cualquier usuario o desarrollador con derechos de acceso puede crear aplicaciones que tengan puertos abiertos a Internet, donde cualquier cosa puede comunicarse con cualquier cosa. Y todo esto puede suceder sin TI o seguridad, incluso sabiendo que estas aplicaciones existen, y mucho menos asegurarlas.

Además, las grandes empresas suelen tener cientos de cuentas en la nube en AWS, Microsoft Azure, Google Cloud y otras plataformas en la nube. Cada una de estas cuentas puede tener muchas nubes privadas virtuales con sus propios grupos de seguridad.

Todo esto dificulta cada vez más la administración de esos grupos y la comprensión de su exposición a la seguridad. Ayudaría contar con herramientas para visualizar el tráfico de aplicaciones hacia y desde entornos de nube, pero por lo general, los proveedores de nube no las ofrecen.

La nube llegó para quedarse y también lo están sus riesgos de seguridad

A medida que las organizaciones grandes y pequeñas consideran trasladar cargas de trabajo a la nube, con demasiada frecuencia dejan la seguridad fuera de la discusión. ¿Por qué? Debido a que algunos equipos pueden ver la seguridad como un inhibidor que ralentiza el negocio, no como un habilitador que puede acelerar el negocio.

Esto crea un difícil dilema para los CIO, ejecutivos de seguridad y otros líderes tecnológicos. Si no puede soportar iniciativas y aplicaciones que impulsan el negocio, no está ayudando a que el negocio crezca. Pero si no está administrando los riesgos potenciales de seguridad que presenta la nube, está exponiendo el negocio a amenazas graves.

Estén atentos para la próxima publicación del blog en la que desempaquetaré más supuestos de seguridad en la nube eso puede estar poniendo en riesgo su negocio.

Mientras tanto, aprenda cómo Illumio puede ayudarle a construir una seguridad digital más sólida para su entornos de nube múltiple e híbrida. O haga que uno de nuestros expertos le explique cómo Illumio puede fortalecer sus defensas digitales contra ransomware y ciberataques.