CN

Considere los riesgos de seguridad de la nube agnóstica frente a los de la nube de nube. Infraestructura nativa de la nube

A medida que las organizaciones de todo el mundo adoptan y migran cada vez más a la nube, una de las muchas decisiones que tendrán que tomar es si quieren ser agnósticas o nativas de la nube.

Se prevé que el gasto en nube pública se acerque a los 500.000 millones de dólares en 2022 y a los 600.000 millones en 2023, según Gartner.

Es más, para 2025, el 51% del gasto en TI tradicional, incluido el software de aplicaciones, el software de infraestructura, los servicios de procesos empresariales y la infraestructura de sistemas, se trasladará a la nube pública.

As organizations around the world increasingly adopt and migrate to cloud, one of the many decisions they will need to make is whether to be cloud agnostic or cloud native. Para tomar una decisión es fundamental conocer los riesgos de seguridad de cada modelo de nube.

Por ejemplo, consideremos el caso de un sitio web heredado con una arquitectura de tres niveles compuesta por un servidor web, un servidor de aplicaciones y un servidor de bases de datos. Para migrar de forma sencilla a un modelo agnóstico de nube, la arquitectura podría dividirse en contenedores de servidor web, servidor de aplicaciones y base de datos. Por el contrario, para migrar utilizando un modelo nativo en la nube, se utilizarían servicios en la nube para roles web, de aplicaciones y de bases de datos (por ejemplo, AWS S3, AWS Lambda y AWS RDS). En este ejemplo hipotético, podemos ver que las diferencias de seguridad empiezan a tomar forma.

 

Responsabilidades de seguridad agnósticas a la nube

La seguridad agnóstica de la nube puede desglosarse en las distintas capas y dar lugar a unos pocos conceptos. La seguridad de las aplicaciones es el concepto de asegurar el código de la aplicación. Los propietarios de las aplicaciones son responsables de garantizar la finalización en áreas como el SAST y la revisión del código (las políticas pueden requerir que los desarrolladores realicen esta función).

Bajando por la pila, lo siguiente es la seguridad del software de los contenedores. Esto abarca el middleware, y otro software, la seguridad que se instala en los contenedores, (por ejemplo, Apache Tomcat). Esto también es responsabilidad del propietario de la aplicación. 

Siguiendo hacia abajo en la pila, a continuación están los requisitos para endurecer todos los contenedores e imágenes en uso. Por ejemplo, el problema del espacio de nombres del usuario raíz debería mitigarse mediante la asignación de usuarios. Esta responsabilidad se sitúa en algún punto entre el propietario de la aplicación y el administrador de la orquestación de contenedores.

Aún más abajo está el requisito de endurecimiento de la plataforma de contenedores. Este paso implica restringir y desactivar el acceso a las superficies de ataque expuestas. La responsabilidad recae generalmente en el administrador de la orquestación de contenedores.

Por último, en la parte inferior de la pila se encuentra la infraestructura, donde se asienta la plataforma de orquestación. La seguridad de esta infraestructura es responsabilidad del proveedor de servicios en nube (modelo de nube pública) o del administrador de virtualización (modelo de nube privada).

 

 

< entidad-drupal data-align="left" data-embed-button="media_entity_embed" data-entity-embed-display="view_mode:media.full" data-entity-type="media" data-entity-uuid="ffc70d81-8bc0-42e9-b646-2faec089e354" data-langcode="en"> < /drupal-entity>

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

< entidad-drupal data-align="left" data-embed-button="media_entity_embed" data-entity-embed-display="view_mode:media.full" data-entity-type="media" data-entity-uuid="ffc70d81-8bc0-42e9-b646-2faec089e354" data-langcode="en"> < /drupal-entity>

 

 

 

 

 

 

 

 

 

 

 

 

Responsabilidades de seguridad en la nube

La seguridad de las aplicaciones nativas de la nube es la misma que en el modelo agnóstico de la nube.

Bajando por esta pila se llega a la configuración y el endurecimiento de la plataforma en nube. Este proceso garantiza que se mitiguen los errores de configuración, como el acceso totalmente abierto y público. Esto es responsabilidad del administrador de la plataforma en nube.

El siguiente paso es la seguridad de las infraestructuras. Esto es responsabilidad del proveedor de servicios en nube (los clientes no suelen tener acceso ni visibilidad de esta infraestructura).

 

Considerar la complejidad de la seguridad

No es ningún secreto que la complejidad aumenta el riesgo de seguridad, y esto es también es cierto con los modelos de nube. La infraestructura agnóstica de la nube sin duda añade complejidad con múltiples capas y sobrecarga añadida. Al considerar una infraestructura agnóstica de la nube, los responsables de TI deben preguntarse: ¿Dispone mi organización de los conocimientos y la capacidad necesarios para gestionar de forma eficaz y segura las aplicaciones, los contenedores y la plataforma?

Una deficiencia en cualquiera de estas áreas requerirá recursos expertos para subsanar las carencias. Estos recursos pueden incluir el desarrollo del personal interno, socios externos y contratistas para aumentar la escasez de personal temporal y permanente.  

La infraestructura nativa de la nube presenta sus propios retos de seguridad. Los responsables de TI deben preguntarse ¿Dispone mi organización de los conocimientos y la capacidad necesarios para gestionar de forma eficaz y segura tanto las aplicaciones como la plataforma en la nube? 

Una vez más, una deficiencia requiere recursos para subsanar las deficiencias. Sin embargo, las capacidades de la plataforma en nube son fáciles de poner en marcha o externalizar si se comparan con las capacidades de la infraestructura de contenedores.

Una evaluación de riesgos puede ayudar a las organizaciones a tomar la decisión de pasar de la nube agnóstica a la nube nativa. Una vez tomada la decisión y migrada la aplicación, la modelización de amenazas puede identificar y comunicar cualquier amenaza, vulnerabilidad y laguna.

Tanto las infraestructuras nativas de la nube como las agnósticas tienen sus propios riesgos y ventajas. Los responsables de la toma de decisiones de TI deben comprender los riesgos de seguridad antes de elegir qué infraestructura utilizar y, en última instancia, preguntarse: ¿La complejidad de la nube agnóstica compensa el riesgo de dependencia del proveedor con la nube nativa?

Independientemente de la arquitectura elegida, la organización obtendrá importantes ventajas con respecto a una arquitectura heredada.

 

Join the Conversation: Find Solve on Twitter and LinkedIn, or follow along via RSS.

Stay on top of what's next in technology

Learn about tech trends, innovations and how technologists are working today.

Subscribe
dw

Por qué la ciberseguridad sigue dominando la atención de los directivos

About the Authors

Jeffrey Tehovnik

Product Engineer - Government Solutions

Jeffrey Tehovnik

The role of Product Engineer for Government Solutions is a natural fit for Jeff Tehovnik with his diverse and complimentary skillsets in Development, Cloud Network Infrastructure, and Security. Jeff has been working in IT since 1998 and graduated from Virginia Commonwealth University (BS-IS 2012, MS-CISS 2014) and the SANS Technology Institute (PGC Ethical Hacking & Penetration Testing). Jeff also enjoys research and educating on Technical Information Security Topics including Network Security Monitoring and Advanced Persistent Threats. In addition to recently passing the CCSP exam, Jeff holds the CISSP, GCIH, GPEN, GWAPT, GXPN and VMware NSX: Micro-Segmentation certificates.  When he’s not delving into the cloud, Jeff enjoys Reading, Fishing, and Vacationing at the beach with his wife and kids.  He is also an avid Hockey Fan.  

Read more about Jeffrey Tehovnik