Introducing Illumio Insights — breakthrough AI-powered observability, detection, and containment.
Read more

Experienced a Breach?

|
Contact Us
|
+1 855 426 3983
Blog
/
Cyber Resilience

Seguridad en la nube: convertir suposiciones falsas en garantías con Illumio

Illumio Editorial
Illumio Editorial
11de enero de 2022
23 min. leer

En nuestra publicación de blog anterior, expliqué a un alto nivel por qué fue un error ignorar los riesgos de una seguridad inadecuada en la nube. Y presenté dos suposiciones falsas que muchas organizaciones hacen al adoptar servicios en la nube para respaldar sus negocios.

En esta publicación, examinaremos tres suposiciones más y cómo puede aprovechar fácilmente el poder de Illumio CloudSecure para una mejor visibilidad y control nativos de la nube.

Supuesto #3: Los servicios en la nube están aislados de Internet.

Para ayudar a los clientes a aprovechar al máximo sus inversiones, los proveedores de la nube les proporcionan recursos de infraestructura como servicio (IaaS) y plataforma como servicio (PaaS). Estos pueden incluir máquinas virtuales, contenedores, funciones sin servidor y bases de datos en la nube gestionadas.

Pero estos servicios en la nube pueden estar abiertos a Internet, a menudo de forma predeterminada. Por lo tanto, pueden ser puntos de entrada para una posible infracción. Limitar su acceso es responsabilidad del cliente, no del proveedor de la nube. Recuerde, la nube no es "privilegio mínimo" de forma predeterminada. En cambio, opera con un "exceso de privilegios". Esto significa que debe determinar qué recursos pueden comunicar entre sí y bloquear todo lo demás.

Sin visibilidad de qué aplicaciones están en la nube y qué se comunica con ellas, podría estar alojando recursos críticos en la nube sin los controles adecuados. Esto es especialmente peligroso si tiene cargas de trabajo y funciones de proceso en la nube pública que están expuestas a los recursos internos del centro de datos.

Para garantizar una buena seguridad en la nube, debe comprender las rutas de comunicación entre las cargas de trabajo locales y en la nube. Al igual que con el centro de datos, necesita saber exactamente qué está conectado a Internet. Luego, debe cerciorar de que estas conexiones no se conviertan en rutas para que los piratas informáticos o el malware ingresen a su red.

Supuesto #4: No hay límites para escalar los servicios en la nube.

Desde el punto de vista de la seguridad, las nubes públicas como AWS y Microsoft Azure limitan la cantidad de segmentos que se pueden crear para gestionar la seguridad. Esto le impide lograr un control detallado de sus aplicaciones y datos en la nube.

La respuesta de los proveedores de la nube a la segmentación es el segmento de red virtual: en el caso de Amazon, la nube privada virtual (VPC) y, en el caso de Microsoft, la red virtual de Azure (VNet). Para estos entornos, los grupos de seguridad crean el perímetro dentro y fuera del segmento.

Pero el número de grupos de seguridad que pueden existir en un segmento de red virtual es limitado. Si necesita más del límite, debe usar varios hosts en un segmento. Pero para escalar de manera eficiente, cada segmento debe tener un solo host.

Varios hosts en un segmento generan más complejidad de administración y un mayor riesgo de seguridad. Si se viola un host, no desea que hable (y posiblemente infecte) a otro host. Para escalar, necesitará ayuda adicional más allá de lo que ofrecen sus proveedores de nube para segmentar el acceso. De lo contrario, se enfrentará a los mismos problemas que las organizaciones encontraron con la segmentación tradicional del centro de datos: poca visibilidad, gestión de políticas complejas y la necesidad de "recablear" manualmente las configuraciones de red y los firewalls.

Suposición #5: Una vez que cercioras una carga de trabajo, tu trabajo está hecho.

Cuando las personas piensan en la seguridad de la carga de trabajo, muchos asumen erróneamente que sus cargas de trabajo permanecen en un solo lugar. Pero en la nube, sus cargas de trabajo pueden mover a través de múltiples nubes públicas, cada una con su propio modelo de política. Cuando eso ocurre, es poco probable que los segmentos de seguridad compartan los mismos controles de seguridad. E incluso si lo hacen, su equipo de seguridad debe monitorear constantemente este movimiento para garantizar que las cargas de trabajo estén protegidas por la política adecuada.

Todos los recursos informáticos, los recursos sin servidor y los objetos en la nube son dinámicos. A medida que estos recursos y objetos en la nube se mueven, sus IP también cambian. Pueden cambiar el lugar donde residen dentro de una nube pública. También pueden mover a través de múltiples proveedores de nube. Incluso pueden "morir", solo para volver a la vida con una nueva dirección IP.

Como resultado, ya no puede escribir políticas con un enfoque tradicional. En su lugar, examine las cargas de trabajo en la nube para comprender cómo se comunican entre sí los componentes de la aplicación. Una vez que tenga una visión clara del comportamiento de su aplicación, puede escribir las políticas de cumplimiento adecuadas.

La conclusión clave es que todas las aplicaciones en la nube, independientemente de dónde vivan o qué recursos asociados empleen, deben proteger con la misma diligencia que cualquier aplicación que se ejecute en un servidor en un centro de datos tradicional.

La seguridad es un habilitador comercial clave para la nube

A medida que las organizaciones grandes y pequeñas mueven o consideran mover más cargas de trabajo a la nube, ¿qué las motiva? La velocidad, flexibilidad y escala que ofrece la nube. Sin embargo, la seguridad, el "niño huérfano", a menudo no forma parte de las discusiones sobre el traslado a la nube. ¿Por qué? Porque la seguridad se considera un "complicador de negocios", no un acelerador de negocios.

Pero la planeación de la seguridad debe ser parte de cualquier esfuerzo de migración a la nube, no una ocurrencia tardía. CloudSecure monitorear y protege continuamente las aplicaciones, las máquinas virtuales y los contenedores nativos de la nube, así como la infraestructura sin servidor, PaaS e IaaS. Por lo tanto, puede adoptar la nube con confianza.

Obtenga más información sobre cómo crear una seguridad más estable para sus entornos híbridos y de múltiples nubes: 

Temas relacionados

No items found.

Artículos relacionados

Cómo Illumio ayuda a las agencias federales a proteger los mainframes
Cyber Resilience

Cómo Illumio ayuda a las agencias federales a proteger los mainframes

Descubra cómo Illumio ayuda a las agencias federales a cumplir con los mandatos de Zero Trust y BOD al proteger los sistemas heredados de misión crítica a escala.

Read more
Fuera de la vista, fuera de la mente: los peligros de ignorar la visibilidad de la nube
Cyber Resilience

Fuera de la vista, fuera de la mente: los peligros de ignorar la visibilidad de la nube

Comprenda por qué los enfoques de visibilidad tradicionales ya no funcionan y cómo obtener una visibilidad completa de sus entornos híbridos y multinube.

Read more
Cómo proteger contra la nueva vulnerabilidad de seguridad del puerto TCP 135
Cyber Resilience

Cómo proteger contra la nueva vulnerabilidad de seguridad del puerto TCP 135

Una forma de explotar el puerto TCP 135 para ejecutar comandos remotos introdujo una vulnerabilidad del puerto 445, lo que hace necesario proteger el puerto 135 para garantizar la seguridad TCP.

Read more
No items found.

Asumir incumplimiento.
Minimizar el impacto.
Aumentar la resiliencia.

¿Listo para obtener más información sobre la segmentación de confianza cero?

Learn more