Cloud Security: estratègia integral imprescindible per a la protecció de dades al núvol

El concepte de Cloud Security

El concepte de Cloud Security fa referència a la combinació de tecnologies, metodologies, processos i polítiques per protegir infraestructures, sistemes i dades al núvol, i que es pot personalitzar en funció dels requeriments específics de l'organització.

A Espanya, segons l'informe anual d'InfoBlox, el 47% de les empreses espanyoles van experimentar un incident de seguretat al núvol el 2022. Això no només afecta l'operativa, sinó que a més pot comportar serioses implicacions legals i financeres. Statista, per exemple, va reportar l'any passat multes de fins a 1.200 milions de dòlars a grans gegants com Meta, Whatsapp o Google.

Més enllà de preservar el compliment, una correcta estratègia de Cloud Security ajuda a mantenir la continuïtat del negoci. Segons una recent enquesta d'EMA, consultora especialitzada en gestió de dades, el cost mitjà per temps d'inactivitat no planificada és de 12.900 dòlars per minut, si bé l'estudi posa de manifest que el cost varia segons la mida de l'empresa.

Principals desafiaments

El concepte de Cloud Security no inventa res nou, però suposa un canvi important en la manera de concebre la defensa davant d'atacs a dades, aplicacions i càrregues de treball. A continuació, es mostren alguns dels reptes més importants.

• Exposició de dades confidencials. Segons una recent enquesta d'IPM, l'exposició de les dades és la major preocupació sobre Cloud Security entre els directius de TI espanyols. I és que, per la naturalesa del núvol, qualsevol persona, des de qualsevol punt, amb els recursos adequats, pot accedir a qualsevol informació. Un vector de risc comú són els buckets d'emmagatzematge, que amb freqüència estan exposats a causa de problemes de configuració incorrecta.
• Pèrdua de visibilitat sobre la infraestructura. Com a norma general, les xarxes corporatives cloud ofereixen accés a dades i serveis per a centenars o milers de dispositius dispersos, connectats a diferents xarxes al llarg de diferents geografies. Aquesta complexitat pot causar que es perdi visibilitat sobre els diferents elements de la infraestructura. Sense els processos correctes i les eines de gestió de seguretat adequades, els responsables tècnics poden perdre de vista qui està utilitzant els serveis de núvol, des d'on i per a què.
• Responsabilitat compartida. Definir i normalitzar com s'utilitzen, com s'emmagatzemen i qui està autoritzat a accedir a les dades compartides és també un repte clau. Per exemple, si un empleat mou involuntàriament les dades que no ha de moure a un servei al núvol sense autorització, l'empresa podria incórrer en un incompliment del contracte amb el proveïdor que podria donar lloc a accions legals.
• Amenaces internes. L'exemple esmentat en el punt anterior posa de manifest que empleats, contractistes i socis poden ser un dels majors riscos de seguretat en el núvol. De fet, la majoria dels incidents interns es deuen a la falta de formació o a la negligència. El núvol incrementa encara més els riscos, ja que l'organització entrega el control de les seves dades al proveïdor de núvol i introdueix una nova capa d'amenaça interna, la dels empleats del proveïdor.
• Errors de configuració. La configuració errònia dels serveis al núvol pot fer que les dades s'exposin públicament, que puguin manipular-se o fins i tot eliminar-se. La manca de revisió en la seguretat predeterminada, errors en la configuració de la gestió d'accés... són problemes amb els quals lidiar diàriament. Menció a part mereix la seguretat de les APIs, que són part fonamental de les aplicacions web, SaaS i mòbils modernes, ja que suposen un nexe entre diferents infraestructures (locals o de núvol). Però una API cloud insegura és una porta d'entrada a accessos no autoritzats.
• Violacions de compliment. Des de l'entrada en vigor del RGPD, garantir el compliment normatiu en matèria de protecció de dades s'ha convertit en un aspecte clau de la ciberseguretat, i per tant per al Cloud Security. L'empresa ha de conèixer on són les seves dades, qui té accés a elles, com es processen i com es protegeixen. Per al núvol, existeixen regulacions addicionals que obliguen també al proveïdor.

Marcs d'acció del Cloud Security

Tot i que, com dèiem abans, el concepte de Cloud Security no inventa res de nou, sí que suposa la millor combinació per aconseguir una sòlida base de protecció: entre elles, les següents:

• Intel·ligència d'amenaces. Solucions com els sistemes de detecció i prevenció d'intrusions (IDS/IPS) són la base de qualsevol estratègia de Cloud Security. Aquestes eines d'intel·ligència d'amenaces permeten identificar amenaces presents i futures. Òbviament, la centralització de la informació, l'accés a fonts externes i la monitorització contínua seran requisits bàsics per mitigar els atacs i respondre.
• Control d'identitats i accessos. Els sistemes de gestió d'identitats i accessos (IAM) són essencials per a la seguretat dels entorns cloud, combinant autenticació multifactorial amb polítiques ad hoc per controlar qui té accés a les dades i aplicacions, a què pot accedir i què poden fer amb les dades. Normalment, el proveïdor integrarà el seu sistema amb l'IAM del client, o bé utilitzarà el seu propi entorn, però en qualsevol cas és fonamental, perquè també afecta el compliment normatiu.
• Xifrat. Les infraestructures cloud requereixen un moviment continu de dades ja sigui entre el centre de dades del client i la plataforma del proveïdor de núvol, o bé entre diferents proveïdors. El moviment és continu i multidimensional (a o des del núvol, entre núvols, etc.). Davant d'aquesta situació, el xifrat de dades és una capa de seguretat al núvol essencial -de fet, sempre ho ha estat-, ja que permet mantenir les dades protegides en tot moment, tant quan estan en trànsit com quan es troben en repòs.
• Seguretat física. Com és fàcil suposar, aquest apartat és igualment essencial, encara que les dades estiguin al núvol… o precisament per això. L'objectiu en aquest cas és evitar accessos no autoritzats o atacs contra actius de maquinari, des dels endpoints dels usuaris fins als sistemes del proveïdor de núvol. Aquí prenen especial rellevància aquelles xarxes que incorporen dades de sensors, però també elements específics com portes, fonts d'alimentació ininterrompuda, circuits de TV, alarmes, etc.
• Pentesting/VPD. Les proves de penetració (pentesting) i els programes de divulgació de vulnerabilitats (VDP) són una pràctica cada vegada més habitual per mantenir i millorar la seguretat al núvol “atacant” des de dins la infraestructura cloud per identificar debilitats o potencials vies d'explotació. En funció dels resultats, l'organització podrà prendre les mesures i establir els controls adequats per mitigar els riscos.
• Segmentació de càrregues de treball. Consisteix a dividir la infraestructura del núvol en diferents segments de seguretat. En aïllar les diferents càrregues de treball (fins i tot a nivell d'usuari), es poden aplicar polítiques de seguretat flexibles que permetran guanyar en agilitat i proactivitat per prevenir possibles atacs o bretxes de dades.

Beneficis d'implementar una estratègia Cloud Security

Un cop implementada l'estratègia de Cloud Security, l'organització podrà tenir una visió integral dels seus actius al núvol i el seu estat de protecció, però aquest no és l'únic benefici. Aquí en teniu alguns més:

• Centralització. Inherent al concepte de Cloud Security es troba el concepte de centralització. Igual que el propi Cloud Computing passa per centralitzar aplicacions i dades, el Cloud Security suposa centralitzar la seguretat en plataformes centralitzades amb controls avançats, alarmes, connexió a fonts externes, etc. Això millora les opcions de recuperació davant desastres i, per tant, la continuïtat del seu negoci.
• Reducció de costos. Un reputat proveïdor de serveis de núvol oferirà maquinari i programari incorporat dedicat a assegurar les seves aplicacions i dades les 24 hores del dia. Això elimina la necessitat d'una inversió financera significativa en la seva pròpia configuració.
• Menor càrrega administrativa. Com ja hem comentat, la seguretat de les dades al núvol està basada en un model de responsabilitat compartida entre el proveïdor i l'usuari, la qual cosa constitueix un avantatge per a aquest últim perquè redueix la quantitat de temps i recursos necessaris per gestionar aquest apartat.

La importància de comptar amb un partner de confiança

Una part bàsica de qualsevol estratègia de Cloud Security és identificar un proveïdor de serveis de núvol adequat, i després la implementació d'una estratègia que combini les eines, els processos, les polítiques i les pràctiques apropiades i necessàries.

Comptar, a més amb un partner especialitzat, amb coneixements sobre cloud i seguretat que l'empresa no ha de tenir necessàriament, i que permeti gestionar de manera correcta i justa la responsabilitat compartida.

Si la teva estratègia passa pel núvol, i et preocupa la seguretat i privacitat de les dades de la teva empresa, contacta'ns i t'assessorarem sobre com implementar la millor estratègia de Cloud Security per a la teva organització.