Nueva investigación: Estudio del costo global del ransomware. Vea qué le están costando las infracciones.
Obtener el informe
Blog
/
Segmentación de confianza cero

Cómo una estrategia de confianza cero basada en la microsegmentación resuelve los riesgos de la nube

Christer Swartz
,
Director de Mercadotecnia de Soluciones
January 8, 2025
23 min. lectura

La era del data center ha terminado. Estamos en la era de la nube, sin signos de desaceleración en el breve plazo.

Las organizaciones están entregando la tarea de mantener la infraestructura de alojamiento subyacente a los proveedores de la nube. Esto les da más tiempo para concentrarse en sus aplicaciones y datos, optimizando sus operaciones de implementación continua.

Pero a medida que aumentan las ofertas y los beneficios en la nube, también aumentan las nuevas oportunidades para los ciberdelincuentes.

En esta publicación de blog, exploraremos los principales riesgos de seguridad en la nube, cómo afectan a sus entornos de nube y por qué un enfoque de confianza cero, impulsado por la microsegmentación, puede ayudarlo a prepararse para contener las inevitables violaciones de la nube.

4 desafíos de seguridad en la nube que lo dejan vulnerable

El nube ofrece flexibilidad y escalabilidad inigualables. Pero también trae nuevos riesgos de seguridad que las organizaciones no pueden ignorar. Estos son los principales problemas de seguridad en la nube que mantienen a su organización en riesgo.

1. Los proveedores de la nube protegen la infraestructura pero no sus datos

Con demasiada frecuencia, esto es una suposición, hasta que se produce una violación.

Proveedores de la nube aplicará un enfoque de máximo esfuerzo para asegurar su infraestructura de hospedaje. Por ejemplo, abordarán prioridades como la ingeniería del tráfico de red y la prevención ataques distribuidos de denegación de servicio (DDoS) a través de su infraestructura de hospedaje.

Pero la tarea de asegurar las aplicaciones y los datos implementados en esa infraestructura es responsabilidad del cliente.

En realidad, este es un apretón de manos desigual. La mayor parte de la responsabilidad de la seguridad en la nube recae en los clientes a pesar de las importantes características de seguridad que los proveedores de la nube implementan en su plataforma. Asumir lo contrario es un camino rápido hacia una brecha.

2. Nunca tiene el control total de sus entornos en la nube

Uno de los beneficios de la nube es que es fácil crear instancias de computación y automatizar completamente los recursos y todas las dependencias entre ellos. Esto significa que DevOps puede incluir detalles de operaciones en su solución de orquestación, lo que elimina los procesos manuales.

Pero no todos los recursos están bajo su control total:

  • Los recursos totalmente controlados incluyen máquinas virtuales (VM) en la nube de propiedad corporativa o almacenamiento en la nube.
  • Pero si hay alguna dependencia en el acceso de terceros, como asociados de negocios, contratistas o acceso remoto a esos recursos, solo están parcialmente bajo su control.

El entorno de nube híbrida promedio tiene una gran combinación de recursos con diferentes niveles de control, desde la nube hasta el data center y los dispositivos de acceso remoto, todo dentro de la misma arquitectura general.

A diagram showing a network of interconnected nodes representing various entities and systems.
Puede controlar completamente algunos recursos pero no todos ellos.

Puede utilizar las mejores prácticas para proteger sus propios recursos corporativos en la nube. Pero, ¿puede confiar en sus socios o contratistas para asegurar adecuadamente los recursos que utilizan para acceder a los suyos?

3. El error humano básico es uno de los principales riesgos de la nube

Hay que asumir que no todos los propietarios de recursos en la nube están aplicando las mejores prácticas de seguridad, a pesar de lo que puedan afirmar o incluso creer.

Y es probable que el punto de partida de sus problemas de seguridad en la nube sea un error humano básico. Esto significa que sus propios equipos pueden cometer errores similares.

De hecho, más de la mitad de todas las brechas de seguridad que se originan en la nube se deben error humano. Todo lo que se necesita es un simple error: elegir contraseñas débiles, no rotar regularmente las claves SSH o no parchear cargas de trabajo en la nube en riesgo.

Esto requiere una solución de seguridad que acerque el límite de confianza lo más posible a cada carga de trabajo sin afectar las prioridades de DevOps.

4. Puede asegurar lo que no puede ver

Los entornos de nube cambian todo el tiempo. Y muchas organizaciones utilizan múltiples proveedores de nube para crear una estrategia híbrida de múltiples nubes. Esto presenta desafíos de visibilidad únicos para los equipos de seguridad.

Las aplicaciones, las cargas de trabajo y las dependencias cambian constantemente en múltiples proveedores de nube. Esta complejidad dificulta la comprensión completa de los flujos de tráfico y las relaciones de recursos en tiempo real. Sin esta visibilidad crítica, los tomadores de decisiones de seguridad se ven obligados a confiar en conjeturas al configurar las protecciones. Esto deja brechas potenciales de las cuales los atacantes se aprovecharán.

El derecho herramienta de visibilidad debería abordar esta brecha al proporcionar visibilidad profunda y en tiempo real de todas las dependencias de tráfico y aplicaciones en todo su entorno de nube a cualquier escala. Busque soluciones que puedan visualizar estas relaciones tanto a nivel macro como micro, lo que le ayude a identificar anomalías y amenazas potenciales antes de que puedan causar daño.

Zero Trust: el mejor enfoque para la seguridad moderna en la nube

A Arquitectura de seguridad Zero Trust permite esto, y es absolutamente necesario. La nube se ha convertido en el patio de recreo de los ciberdelincuentes. Estos son algunos de los ejemplos recientes de amenazas originadas en la nube:

  • Kobalos utiliza un host comprometido como servidor de comando y control (C2) para robar datos confidenciales de las cargas de trabajo en la nube.
  • Aloqueado utiliza un host comprometido para el cryptojacking en máquinas virtuales en la nube. Se extrae criptomonedas de forma gratuita, lo que aumenta los costos de la nube de otra persona.
  • IPStorm utiliza sesiones abiertas peer-to-peer (P2P) entre hosts en la nube para entregar y ejecutar código malicioso.
  • Drovorub exfiltrar datos de hosts en la nube mediante puertos abiertos.

Estos ejemplos comparten una cosa en común: una vez que aterrizan en una carga de trabajo en la nube comprometida, se propagan rápidamente a otras cargas de trabajo. Esto les permite comprometer una gran cantidad de hosts rápidamente, a menudo antes de que una herramienta de caza de amenazas pueda siquiera detectarlos.

Esta es la razón por la que las soluciones de búsqueda de amenazas a menudo tienen dificultades para evitar que el malware se propague. Si bien sobresalen en la detección de amenazas, para cuando se identifica una amenaza, a menudo ya se ha extendido. En ese momento, detener la propagación se convierte en una prioridad más alta que descubrir la intención de la amenaza.

La conclusión es que las amenazas deben ser bloqueadas para que no se propaguen antes son detectados.

La microsegmentación es la base de cualquier estrategia Zero Trust

Cualquier arquitectura Zero Trust debe comenzar con la aplicación del vector común utilizado por todas las amenazas para propagarse: el segmento.

Los segmentos se pueden crear grandes o pequeños:

  • Macrosegmentos asegurar una colección de recursos críticos llamada superficie de protección.
  • Microsegmentos empuja el límite de confianza directamente a cada carga de trabajo de la nube a cualquier escala.

Microsegmentación es el objetivo deseado. Refuerza cada carga de trabajo directamente en el origen, incluso si varias se implementan en el mismo segmento subyacente de la nube.

La microsegmentación necesita ser capaz de escalar a números potencialmente grandes. Esto significa que debe desacoplarse de los límites de escalamiento de segmentación establecidos por las soluciones tradicionales basadas en red. Los segmentos de red existen para abordar las prioridades de la red, pero existen segmentos de carga de trabajo para abordar las prioridades de carga de trabajo. Una solución no se mapeó bien con la otra.

Illumino CloudSecure: microsegmentación consistente en la multinúbe híbrida

Si bien los proveedores de nube ofrecen herramientas para proteger sus propias cargas de trabajo, esas herramientas generalmente no funcionan en múltiples nubes, data centers o endpoints. Y el uso de herramientas de seguridad separadas para cada entorno crea silos. Esto hace que sea más difícil ver los puntos ciegos de seguridad y conectar los puntos durante una brecha de seguridad, lo que ralentiza su respuesta a la violación.

Como parte del Plataforma de Segmentación de Confianza Cero (ZTS) Illumino, Illumino CloudSecure ofrece una microsegmentación consistente para cargas de trabajo en la nube, alineándose sin problemas con las cargas de trabajo implementadas en centros de datos y endpoints, todo dentro de una sola plataforma. La plataforma de Illumio le permite ver y controlar todo el tráfico de red en cualquier entorno a cualquier escala.

Network traffic flow between endpoints, two data centers, and two cloud environments.
Illumio permite una vista global de todo el tráfico, lo que hace cumplir todo de extremo a extremo.

Seguridad en la nube le ayuda a ver y hacer cumplir las cargas de trabajo en la nube con una arquitectura sin agente. Descubre todo el tráfico de red y las dependencias de aplicaciones directamente desde la nube. Utiliza el mismo modelo de políticas en toda la red, implementando la aplicación a través de herramientas de seguridad nativas de la nube como Azure Network Security Groups (NSG) y AWS Security Groups.

A detailed architectural diagram showcasing the dependencies and interactions between various AWS and Azure cloud components.
Illumio CloudSecure visualiza las dependencias de las aplicaciones en toda la nube.

Por ejemplo, si el DNS se deja abierto entre cargas de trabajo, Illumio seguirá monitoreando ese tráfico DNS para verificar el comportamiento normal. Normalmente, el tráfico DNS es inferior a 500 bytes por consulta. Pero si Illumio detecta 10 gigabytes de datos que se mueven a través de una sesión DNS, es probable que sea una bandera roja de que algo sospechoso se esconde en el tráfico DNS. Illumio bloqueará este tráfico de inmediato, sin esperar una herramienta de caza de amenazas para encontrarlo y analizarlo primero.

El resultado es una arquitectura Zero Trust en la que puede ver y proteger claramente todos los segmentos en una solución transparente, ya sea que el entorno utilice un enfoque basado en agentes o sin agente.

Contenga las brechas en la nube sin la complejidad

La seguridad en la nube ya no puede ser una idea tardía.

Si bien la nube ofrece una flexibilidad y escalabilidad inigualables, también abre nuevas oportunidades para los ciberdelincuentes. Para mantenerse seguras, las organizaciones necesitan un enfoque de confianza cero basado en la microsegmentación para contener las brechas antes de que se propaguen.

Al crear microsegmentación con Illumio CloudSecure, puede obtener la visibilidad y el control que necesita para proteger las cargas de trabajo a escala en cualquier entorno.

Esté preparado para la próxima violación inevitable de la nube. Descargar El Manual de Resiliencia en la Nube.

Temas relacionados

Seguridad en la nube
CloudSecure

Artículos relacionados

Qué hace que el agente de Illumio sea más confiable que los agentes en línea
Segmentación de confianza cero

Qué hace que el agente de Illumio sea más confiable que los agentes en línea

Al enfocarse en objetivos de reducción de riesgos y adoptar un enfoque de no intervención para los paquetes, Illumio le permite pensar en la seguridad sin preocuparse por un agente confiable.

Leer más
Cómo la confianza cero permite a las organizaciones abordar cada paso en la cadena de cibermuerte
Segmentación de confianza cero

Cómo la confianza cero permite a las organizaciones abordar cada paso en la cadena de cibermuerte

En esta entrada de blog nos fijamos en la Cyber Kill Chain, cómo los modelos de seguridad que asumen confianza solo ayudan a mitigar los Pasos 1 a 6 en la cadena.

Leer más
Guía del CISO para la Conferencia RSA 2022
Segmentación de confianza cero

Guía del CISO para la Conferencia RSA 2022

Los eventos en vivo están de vuelta, lo que significa que la Conferencia RSA de este año va a ser la Conferencia RSA más grande y emocionante en unos pocos años.

Leer más
¿100% Nube? Aún necesita segmentación de confianza cero
Segmentación de confianza cero

¿100% Nube? Aún necesita segmentación de confianza cero

Descubra por qué estar 100% en la nube no niega la necesidad de contención de brechas con la Segmentación de Confianza Cero y cómo Illumio puede ayudar.

Leer más
Por qué la seguridad tradicional en la nube está fallando y 5 estrategias para solucionarlo
Ciberresiliencia

Por qué la seguridad tradicional en la nube está fallando y 5 estrategias para solucionarlo

Descubra por qué las herramientas de seguridad tradicionales no pueden proporcionar la seguridad flexible y consistente que se necesita en la nube y cinco estrategias para construir una seguridad moderna en la nube.

Leer más
Por qué la seguridad en la nube comienza con visibilidad completa
Productos Illumio

Por qué la seguridad en la nube comienza con visibilidad completa

Descubra por qué la visibilidad en la nube es importante ahora, por qué los enfoques de visibilidad tradicionales están fallando y cómo ZTS con Illumio CloudSecure puede ayudar.

Leer más

Assume Breach.
Minimize Impact.
Increase Resilience.

Ready to learn more about Zero Trust Segmentation?

Más información