spinner

Cómo securizar tu nube sin desesperarte en el intento

Los principales proveedores de cloud proporcionan servicios que permiten generar negocio con poca inversión inicial y a gran escala. Como consecuencia cada vez más organizaciones confían en “la nube” y van migrando paulatinamente su contenido. En este artículo enfatizamos la importancia de securizar nuestra infraestructura en la nube y exponemos lo más destacado de nuestra presentación “Cómo defender tu nube sin no morir en el intento” en la última edición de Codemotion.

Seguridad en la nube

Posicionamiento de proveedores Cloud. Fuente Synergy Research Group

La nube simplifica el acceso a servidores hardware, plataformas o servicios a través de Internet. El mundo cloud ya no es un desconocido y domina cada vez más en el panorama de las tecnologías de la información, de hecho, en 2019 el gasto en servicios de infraestructura en la nube superó los 107 000 millones de dólares, donde AWS sigue siendo el principal proveedor de nube pública.

El uso de la nube se ha expandido debido a las principales ventajas que proporciona, entre las que destacan la escalabilidad y flexibilidad para soportar crecimientos exponenciales sin necesidad de cambiar la arquitectura; alta velocidad y disponibilidad; mejora en la accesibilidad y su facilidad de gestión; disminución de costes, pago por uso, lo que permite reducir el presupuesto en materia de tecnologías.

Sin embargo, pese a todas estas ventajas, nos volvemos totalmente dependientes del proveedor que escojamos y se desconoce cómo es internamente su infraestructura. Además, se pueden dar problemas derivados del uso de recursos compartidos, como por ejemplo, incidentes de seguridad provocados por el acceso a los recursos físicos del proveedor desde los hipervisores de virtualización; la pérdida o exposición de credenciales pueden dar lugar a acceso y gestión de la cuenta; aumenta el riesgo en la confidencialidad de los datos. Por todo ello, hay que ser conscientes de las limitaciones del proveedor y ser proactivo para securizar nuestra infraestructura. Cabe destacar que el cliente de la nube es el responsable de proteger sus aplicaciones y datos.

En las noticias aparecen incidentes de seguridad de este tipo con bastante frecuencia, algunos de los cuales vienen recogidos en este repositorio. Por ejemplo, en cuanto a filtración de datos, la empresa israelí Attunity sufrió un exposición de datos en la que se vieron afectadas empresas como Netflix o Ford, por el mero hecho de dejar públicos buckets S3 de AWS. En este otro caso, en Twilio, llegaron a inyectar código en el SDK de sus clientes.

incidente seguridad

Incidente de seguridad en Twilio. Fuente The Register

Precisamente para evitar este tipo de problemas, existe una gran cantidad de herramientas que permiten analizar y securizar nuestras cuentas en la nube. Por un lado, en el mercado encontramos los términos SECaaS (Security as a Service), que hace referencia a los servicios en la nube en el que una compañía externa maneja y administra la seguridad, y CASB (Cloud Access Security Broker) que surgen como una necesidad para atender riesgos de seguridad y son un punto de control situado entre los usuarios y proveedores de servicio. Por otro lado, existen un sinfín de herramientas open source que permiten añadir medidas de seguridad en función de nuestras necesidades. Como podemos apreciar en la extensa recopilación en este repositorio, existen herramientas de hardening, auditoría, forense, respuesta ante incidentes, desarrollo seguro, entre otros.

Además, existen organizaciones sin ánimo de lucro como CSA (Cloud Security Alliance) o CIS (Center for Internet Security). CSA promueve el uso de mejores prácticas para garantizar la seguridad en la nube y ayudar a las organizaciones en la toma de decisiones y en la adopción de estrategias que incluyan cloud computing. La misión del CIS es desarrollar y promover las mejores prácticas para la defensa cibertica. Asimismo,el CIS tiene un papel muy importante en cuanto a políticas y controles de seguridad se refiere, que proporciona unos benchmarks globalmente reconocidos para medir la seguridad de nuestros sistemas y poder protegerlos frente a ataques. Entre ellos, existe un apartado referente a proveedores cloud donde se explican los controles, la forma de auditarlos y cómo remediarlos en caso de no cumplirlos.

Seguridad cloud

CIS Benchmark para proveedores cloud. Fuente CIS

Los proveedores, adicionalmente, facilitan guías con las prácticas recomendadas para el uso y configuración de los servicios y añaden cada vez más servicios para securizar nuestras cuentas. En el caso de AWS, las principales categorías de seguridad son: gestión de identidad y acceso (IAM), detección de amenazas, protección de infraestructuras y datos y respuesta ante incidentes.

Seguridad cloud

Servicios de seguridad, identidad y conformidad de AWS. Fuente AWS

Con el fin de demostrar el potencial de la automatización y concienciar sobre su utilidad, expusimos en Codemotion varios casos prácticos de remediación mediante AWS Config, AWS CloudWatch y AWS Inspector, que se pueden desplegar usando AWS CloudFormation. Los escenarios de los casos prácticos fueron mostrados a través de unas demos, recogidas en este repositorio, que incluyen deshabilitar la exposición de puertos SSH a todo Internet, revocar permisos de escritura y lectura de buckets públicos, habilitar el MFA (Multi-factor Authentication) y actualizar sistemas operativos en base a CVEs encontrados. En resumen, en estos casos prácticos podemos apreciar que existen diferentes opciones para securizar la nube en función de nuestras necesidades.

Seguridad cloud

Ejemplo de remediación automática utilizando AWS Config.

Recapitulando, la nube se está convirtiendo en el estándar, pero para sacarle el máximo partido la seguridad es fundamental. En nuestra experiencia las principales recomendaciones para proteger nuestras cuentas y que condensan todo lo contado son: la automatización de procesos en medida de lo posible, fomentar las políticas de recursos restrictivas dando sólo los privilegios necesarios, promover el uso de herramientas de monitorización y gestión, el cifrado de datos sensibles y la prohibición de la inclusión de las credenciales en código.

Fuente de la imagen principal: Freepik

Las opiniones vertidas por el autor son enteramente suyas y no siempre representan la opinión de BBVA Next Technologies.

¿Quieres saber que más cosas hacemos en BBVA Next Technologies?