nobeastsofierce - Fotolia
Seis simples políticas de seguridad de la nube que debe conocer
La protección de datos ocupa un lugar central en las TI modernas. Revise esta lista de verificación de seguridad en la nube para asegurarse de que su organización cubre todas sus bases.
Para muchas brechas de seguridad en la nube, el problema no está en los proveedores de nube conocidos, sino en usted, el administrador de operaciones.
El equipo de operaciones de TI a menudo pasa por alto las políticas de seguridad en la nube y las mejores prácticas cuando implementa cargas de trabajo en proveedores de nube pública de primer nivel. El ejemplo más común es la incapacidad de asegurar los buckets de Amazon Simple Storage Service. El costo de reparar una violación, y el daño causado a una marca de alto perfil debido a la violación, superan con creces el tiempo que habría llevado implementar las precauciones adecuadas.
Los actos simples aumentan la protección de los usuarios: Control de acceso basado en roles y entrada basada en claves en lugar de contraseñas. Otras políticas crean un campo de fuerza de operaciones para proteger las cargas de trabajo: Implementación de firewall, anclaje geográfico y monitoreo en profundidad. ¿Y a quién no le gustan las actualizaciones gratuitas?
No existe una fórmula mágica para que el administrador refuerce las defensas fuera del centro de datos corporativo, pero esta lista de verificación de seguridad en la nube admite un enfoque por capas. Como beneficio adicional, la mayoría de los elementos en la lista de verificación son ofertas estándar de los principales proveedores de la nube.
1. Asegure cuentas en la nube y cree grupos
Asegúrese de que la cuenta raíz sea segura. Para facilitar la administración diaria y seguir cumpliendo con las políticas de seguridad en la nube, cree un grupo administrativo y asigne derechos a ese grupo, en lugar de al individuo.
Cree grupos adicionales para una seguridad detallada que se ajuste a su organización. Algunos usuarios necesitan acceso de solo lectura, como para las personas o los servicios que ejecutan informes. Otros usuarios deberían poder realizar algunas tareas de operaciones, como reiniciar máquinas virtuales, pero no deberían poder modificar las máquinas virtuales o sus recursos. Los proveedores de la nube ponen los roles a disposición de los usuarios, y el administrador de la nube debe investigar cuándo y dónde usarlos. No modifique los roles existentes, ya que esta es una receta para el desastre: en lugar de eso, cópielos.
Para deshabilitar una cuenta temporalmente, cree una política de no acceso. Aplique esa política al administrador u otra cuenta, luego simplemente elimínela para volver a habilitar la cuenta como estaba, sin riesgo de cambios involuntarios.
2. Busque actualizaciones de seguridad gratuitas
Todos los principales proveedores de la nube permiten y alientan el uso de la autenticación de dos factores (2FA). No hay razón para no tener 2FA en su lista de verificación de seguridad en la nube para nuevas implementaciones, ya que aumenta la protección contra intentos de inicio de sesión maliciosos.
3. Restrinja el acceso a la infraestructura a través de firewalls
Muchas empresas usan infraestructura externa de escala web cuando adoptan la nube. Pueden proteger rápidamente los servidores privados del acceso externo.
Verifique las políticas de firewall. Si el proveedor de la nube lo pone a disposición, use un software de firewall para restringir el acceso a la infraestructura. Solo abra los puertos cuando haya una razón válida para hacerlo y haga que los puertos cerrados formen parte de sus políticas de seguridad en la nube de forma predeterminada.
4. Ate la nube
Algunas cargas de trabajo basadas en la nube solo atienden a clientes o clientes en una región geográfica. Para estos trabajos, agregue una restricción de acceso a la lista de verificación de seguridad en la nube: Mantenga el acceso solo dentro de esa región o incluso mejor, limitado a direcciones IP específicas. Esta simple decisión del administrador reduce la exposición a hackers oportunistas, gusanos y otras amenazas externas.
5. Reemplace las contraseñas con claves
Las contraseñas son un riesgo: Engorrosas, inseguras y fáciles de olvidar. Todo administrador experimentado conoce ese escenario de la mañana del lunes en que el usuario ha olvidado la contraseña.
Haga que la infraestructura de clave pública (PKI) forme parte de sus políticas de seguridad en la nube. PKI se basa en una clave pública y privada para verificar la identidad de un usuario antes de intercambiar datos. Cambie el entorno de la nube a PKI, y el robo de contraseñas deja de ser un problema. PKI también evita ataques de inicio de sesión de fuerza bruta. Sin la clave privada, nadie obtendrá acceso, salvo una falla catastrófica del código PKI.
Si bien esto puede parecer obvio, incluya una nota en la lista de verificación de seguridad de la nube que indique que la clave privada no debe almacenarse en la computadora o computadora portátil en uso. Investigue proveedores, como YubiKey, que proporcionan una gestión segura de claves. Para algunos programas, el usuario tiene que tocar el dispositivo. La administración de claves en la nube para múltiples usuarios es más fácil con estas herramientas.
Todos los principales proveedores de nube pública ofrecen una PKI. Si prefiere usar sus propias claves, asegúrese de mantenerlas seguras con una contraseña buena y segura. Eso significa que si pierde la llave USB/medio de almacenamiento que sostiene la clave, tiene un cierto nivel de seguridad que le dará tiempo para reemplazar la clave perdida.
6. Active la auditoría y el monitoreo del sistema
Muchos administradores no piensan en monitorear hasta que es demasiado tarde. Los sistemas crean registros en grandes cantidades. Use herramientas que capturan, escanean y procesan estos registros en algo útil para la planificación de la capacidad de la nube, auditorías, resolución de problemas y otras operaciones.
Las herramientas de análisis y monitoreo de registros resumen todas esas advertencias, alertas y mensajes de información en algo útil. Una vez más, muchos proveedores de la nube ofrecen herramientas de auditoría, y hay muchas buenas herramientas que puede probar sin compromiso, como Splunk y sus herramientas visuales.
El administrador puede ver e identificar de inmediato las tendencias y anomalías y tomar medidas para remediarlas de manera rápida y eficiente. Llevándolo al siguiente nivel, un sistema SIEM también ayudará a identificar cualquier problema o amenaza que necesite atención.
En resumen, hay muchas maneras de ayudar a proteger el entorno. Los proveedores han hecho todo lo posible para proporcionar herramientas que lo ayuden a proteger el entorno. ¿Por qué no usarlas?