Principales suposiciones falsas de seguridad en la nube que crean riesgos innecesarios

Pasaron 15 años desde que Amazon Sitio web Services lanzó la primera plataforma de infraestructura en la nube. Con solo presionar un interruptor, podría encender un centro de datos sin tener que comprar hardware o enterrar capital. Pero inicialmente muchas compañías miraron la nube con sospecha. Recelosos de perder el control, se aferraron a gestionar sus propios centros de datos. Pensaron que la nube era arriesgada. Y lo fue.

En esta publicación de blog, la primera de dos, exploraremos suposiciones falsas sobre la seguridad en la nube que hacen que la nube sea más riesgosa de lo necesario.

La nube: demasiado convincente para ignorarla

A pesar de los riesgos, con el tiempo, el valor de la nube resultó demasiado convincente para ignorarlo. Hoy en día, casi todas las compañías emplean la nube en un grado u otro. Y muchas organizaciones confían en la nube para alojar operaciones críticas, algo impensable hace una década.

Si bien la nube brindó beneficios de gran alcance, sus riesgos y desafíos persisten. Aplicar una seguridad integral de confianza cero en la nube es tan importante como lo es para cualquier otra parte de su infraestructura digital.

¿El mayor problema? Las organizaciones a menudo no comprenden completamente las formas en que su infraestructura en la nube las expone a ataques cibernéticos y ransomware.

Supuesto #1: Su proveedor de nube es responsable de la seguridad de sus aplicaciones.

Si no es su proveedor de nube, ¿quién es responsable de la seguridad en la nube?

La verdad es que la seguridad es una responsabilidad compartida.

Ya sea que esté trabajando con Amazon, Microsoft, Google o cualquier otro proveedor de nube, si observa la letra pequeña, verá que su responsabilidad de seguridad se limita a proteger solo la estructura de la red, eso es todo lo que compone su entorno de alojamiento.

La seguridad de las aplicaciones sigue siendo su responsabilidad. Tan pronto como implemente una instancia de aplicación con un sistema operativo sobre la red en la nube, protegerla es su trabajo, no el de ellos.

Además, el soporte de seguridad en la nube de los proveedores emplea un modelo de "mejor esfuerzo", no acuerdos de nivel de servicio (SLA). Esto significa que solo necesitan prometer hacer todo lo posible para protegerlo de las amenazas nacidas en la red, como los ataques de denegación de servicio distribuido (DDoS). Pero si uno pasa, bueno, hicieron todo lo posible. En cuanto a la protección de sus cargas de trabajo, eso siempre depende de usted.

Además, si bien los proveedores de la nube parchearán sistemas como los servidores Linux que alojan aplicaciones, eso no aborda las posibles vulnerabilidades de sus aplicaciones. Sin visibilidad en la capa de aplicación, no puede saber si una aplicación se implementó o configurado correctamente.

Supuesto #2: La seguridad en la nube es fácil de gestionar.

Los beneficios de la nube (velocidad, agilidad y elasticidad) en realidad dificultan la seguridad en la nube . Esto se debe a que la nube permite que prácticamente cualquier persona de su organización ponga en marcha una nueva aplicación o recurso con solo unos pocos clics del mouse.

Para complicar aún más las cosas, pocas organizaciones gestionan de forma centralizada los servicios en la nube dentro de sus equipos de TI y seguridad. En cambio, varias unidades de negocio y grupos pueden configurar nuevas cuentas en la nube de forma independiente.

En otras palabras, cualquier usuario o desarrollador con derechos de acceso puede crear aplicaciones que tengan puertos abiertos a Internet, donde cualquier cosa puede comunicar con cualquier cosa. Y todo esto puede suceder sin que TI o seguridad sepan que existen estas aplicaciones, y mucho menos que las protejan.

Además, las grandes compañías suelen tener cientos de cuentas en la nube en AWS, Microsoft Azure, Google Cloud y otras plataformas en la nube. Cada una de estas cuentas puede tener muchas nubes privadas virtuales con sus propios grupos de seguridad.

Todo esto hace que gestionar esos grupos y comprender su exposición a la seguridad sea cada vez más difícil. Sería útil tener herramientas para visualizar el tráfico de aplicaciones hacia y desde entornos de nube, pero por lo general, los proveedores de nube no las ofrecen.

La nube llegó para quedar y también sus riesgos de seguridad

A medida que las organizaciones grandes y pequeñas consideran trasladar cargas de trabajo a la nube, con demasiada frecuencia dejan la seguridad fuera de la discusión. ¿Por qué? Porque algunos equipos pueden ver la seguridad como un inhibidor que ralentiza el negocio, no como un facilitador que puede acelerar el negocio.

Esto crea un difícil dilema para los CIO, los ejecutivos de seguridad y otros líderes tecnológicos. Si no puede respaldar iniciativas y aplicaciones que impulsan el negocio, no está ayudando a que el negocio crezca. Pero si no está gestionando los riesgos potenciales de seguridad que presenta la nube, está exponiendo a la compañía a amenazas graves.

Estén atentos a la próxima publicación de blog en la que analizaré suposiciones adicionales de seguridad en la nube que pueden estar poniendo en riesgo su negocio.

Mientras tanto, descubra cómo Illumio puede ayudarlo a crear una seguridad digital más estable para sus entornos de nube híbrida y multinube. O pídale a uno de nuestros expertos que le explique cómo Illumio puede fortalecer sus defensas digitales contra el ransomware y los ataques cibernéticos.