Nueva investigación: Estudio del costo global del ransomware. Vea qué le están costando las infracciones.
Obtener el informe
Blog
/
Ciberresiliencia

Seguridad en la nube: convertir suposiciones falsas en garantías con Illumio

Illumio Editorial
,
January 11, 2022
23 min. lectura

En nuestro Entrada anterior del blog, expliqué a un alto nivel por qué fue un error ignorar los riesgos de una seguridad inadecuada en la nube. Y presenté dos suposiciones falsas que muchas organizaciones hacen al adoptar servicios en la nube para dar soporte a sus negocios.

En esta publicación, examinaremos tres suposiciones más y cómo puede aprovechar fácilmente el poder de Illumio CloudSecure para una mejor visibilidad y control nativos de la nube.

Asunto #3: Los servicios en la nube están aislados de Internet.

Para ayudar a los clientes a aprovechar al máximo sus inversiones, los proveedores de nube les proporcionan recursos de infraestructura de infraestructura como servicio (IaaS) y plataforma como servicio (PaaS). Estos pueden incluir máquinas virtuales, contenedores, funciones sin servidor y bases de datos administradas en la nube.

Pero estos servicios en la nube puede estar abierto a Internet, a menudo de forma predeterminada. Entonces, pueden ser puntos de entrada para una posible brecha. Limitar su acceso es responsabilidad del cliente, no del proveedor de la nube. Recuerde, la nube no es el “privilegio mínimo” por defecto. En cambio, opera sobre “exceso de privilegio”. Esto significa que debe determinar qué recursos pueden comunicarse entre sí y bloquear todo lo demás.

Sin visibilidad sobre qué aplicaciones están en la nube y qué se comunica con ellas, podría estar alojando recursos críticos en la nube sin los controles adecuados. Esto es especialmente peligroso si tiene cargas de trabajo y funciones de proceso en la nube pública que están expuestas a los recursos internos del centro de datos.

Para asegurar una buena seguridad en la nube, debe comprender las rutas de comunicación entre sus cargas de trabajo en la nube y en las instalaciones. Al igual que lo hace con el data center, necesita saber exactamente qué está conectado a Internet. Luego, debe asegurarse de que estas conexiones no se conviertan en rutas para que los hackers o el malware ingresen a su red.

Asunto #4: No hay límites para escalar los servicios en la nube.

Desde el punto de vista de la seguridad, las nubes públicas como AWS y Microsoft Azure limitan la cantidad de segmentos que se pueden crear para administrar la seguridad. Esto le impide lograr un control detallado de sus aplicaciones y datos en la nube.

La respuesta de los proveedores de nube a la segmentación es el segmento de red virtual, en el caso de Amazon, Virtual Private Cloud (VPC) y, en el caso de Microsoft, Azure Virtual Network (VNet). Para estos entornos, los grupos de seguridad crean el perímetro dentro y fuera del segmento.

Pero el número de grupos de seguridad que pueden existir en un segmento de red virtual es limitado. Si necesita más que el límite, debe usar varios hosts en un segmento. Pero para escalar de manera eficiente, cada segmento debe tener un solo host.

Múltiples hosts en un segmento generan más complejidad de administración y un mayor riesgo de seguridad. Si un host es violado, no querrás que hable con (y posiblemente infecte) otro host. Para escalar, necesitará ayuda adicional más allá de lo que ofrecen sus proveedores de nube para segmentar el acceso. De lo contrario, se enfrentará a los mismos problemas que las organizaciones han encontrado con la segmentación tradicional de centros de datos: poca visibilidad, administración de políticas complejas y la necesidad de “recablear” manualmente las configuraciones de red y los firewalls.

Suposición #5: Una vez que asegura una carga de trabajo, su trabajo está hecho.

Cuando la gente piensa en seguridad de carga de trabajo, muchos asumen erróneamente que sus cargas de trabajo permanecen en un solo lugar. Pero en la nube, sus cargas de trabajo pueden moverse a través de múltiples nubes públicas, cada una de las cuales tiene su propio modelo de políticas. Cuando eso ocurre, es poco probable que los segmentos de seguridad compartan los mismos controles de seguridad. E incluso si lo hacen, su equipo de seguridad debe monitorear constantemente este movimiento para garantizar que las cargas de trabajo estén protegidas por la política adecuada.

Todos los recursos de cómputo, recursos sin servidor y objetos en la nube son dinámicos. A medida que estos recursos y objetos en la nube se mueven, sus IP también cambian. Pueden cambiar el lugar donde residen dentro de una nube pública. También pueden moverse a través de múltiples proveedores de nube. Incluso pueden “morir”, solo para volver a la vida con una nueva dirección IP.

Como resultado, ya no puede escribir políticas utilizando un enfoque tradicional. En su lugar, examine sus cargas de trabajo en la nube para comprender cómo los componentes de la aplicación se hablan entre sí. Una vez que tenga una visión clara del comportamiento de su aplicación, podrá escribir las políticas de aplicación adecuadas.

La clave es que todas las aplicaciones en la nube, independientemente de dónde vivan o qué recursos asociados utilicen, deben protegerse con la misma diligencia que cualquier aplicación que se ejecute en un servidor en un data center tradicional.

La seguridad es un habilitador clave del negocio para la nube

A medida que las organizaciones grandes y pequeñas se mueven o consideran mover más cargas de trabajo a la nube, ¿qué las motiva? La velocidad, flexibilidad y escala que ofrece la nube. Sin embargo, la seguridad, el “niño huérfano”, a menudo no forma parte de las discusiones sobre el traslado a la nube. ¿Por qué? Porque la seguridad se considera un “complicador del negocio”, no un acelerador de negocios.

Pero la planificación de la seguridad debe ser parte de cualquier esfuerzo de migración a la nube, no una idea tardía. CloudSecure monitorea y protege continuamente aplicaciones nativas de la nube, máquinas virtuales y contenedores, así como infraestructura sin servidor, PaaS e IaaS. Por lo tanto, puede abrazar la nube con confianza.

Obtenga más información sobre cómo crear una seguridad más sólida para sus entornos híbridos y multinube:

Temas relacionados

No se han encontrado artículos.

Artículos relacionados

¿Cómo se asegura un entorno de nube híbrida?
Ciberresiliencia

¿Cómo se asegura un entorno de nube híbrida?

Erika Bagby, gerente sénior de marketing de productos en Illumio, analiza la seguridad para entornos de nube híbrida.

Leer más
Lo que significa la Orden Ejecutiva de Ciberseguridad del presidente Biden para las agencias federales
Ciberresiliencia

Lo que significa la Orden Ejecutiva de Ciberseguridad del presidente Biden para las agencias federales

La orden ejecutiva de ciberseguridad del presidente Biden tiene como objetivo aumentar la resiliencia y reducir el riesgo para las agencias gubernamentales.

Leer más
6 Recomendaciones de expertos sobre confianza cero para agencias gubernamentales
Ciberresiliencia

6 Recomendaciones de expertos sobre confianza cero para agencias gubernamentales

Obtenga las 6 recomendaciones clave del reciente seminario web de GovExec sobre la implementación de Zero Trust y la segmentación de aplicaciones.

Leer más
No se han encontrado artículos.

Assume Breach.
Minimize Impact.
Increase Resilience.

Ready to learn more about Zero Trust Segmentation?

Más información