16 de novembre de 2022
Com garantir la seguretat de la infraestructura i les aplicacions Cloud?
A mesura que les empreses són conscients de tots els avantatges que té la informàtica al núvol, cada vegada s'estén i es popularitza més el seu ús. Una cosa que també obre nous escenaris pel que fa a la seguretat, ja que el nombre de vectors d'atac augmenta dràsticament i es diversifica.
La seguretat en entorn Cloud
A mesura que les organitzacions traslladen una major part de la seva infraestructura al núvol, els seus plantejaments i polítiques de seguretat tradicionals poden continuar sent vàlides per a algunes instàncies, però s'han d'adaptar a les arquitectures distribuïdes i híbrides. Per tant, és necessari tenir un enfocament diferent per abordar la seguretat en aquest nou entorn.
Assegurar la infraestructura Cloud
Comencem per la seguretat de la infraestructura al núvol. Per abordar això, hem de tenir en compte una combinació de polítiques, millors pràctiques i tecnologies per garantir que els recursos al núvol (inclosos els entorns informàtics, les aplicacions i les bases de dades) estiguin segurs davant les amenaces (tant internes com externes) del núvol.
Aquesta seguretat de la infraestructura al núvol no s'ha de confondre amb els serveis de seguretat al núvol que ofereixen diversos serveis de seguretat a través d'un model de negoci de programari com a servei.
De fet, la seguretat al núvol consisteix en diferents controls, procediments i tecnologies per protegir els sistemes i dades crítiques de qualsevol organització contra les amenaces de ciberseguretat i els riscos derivats dels entorns al núvol.
Segons el tipus de computació en el núvol que fem servir, podem adoptar un tipus de seguretat en el núvol o una altra:
- Serveis de núvol públic, operats per un proveïdor de núvol públic. Aquí s'inclouen el programari com a servei (SaaS), la infraestructura com a servei (IaaS) i la plataforma com a servei (PaaS).
- Serveis de núvol privat, operats per un proveïdor de núvol públic. Aquests serveis proporcionen un entorn informàtic dedicat a un client, operat per un tercer.
- Serveis de núvol privat, operats per personal intern. És a dir, una evolució del centre de dades tradicional, on el personal intern opera un entorn virtual que controla.
- Serveis de núvol híbrid. Aquí es combinen configuracions de computació en núvol privat i públic, allotjant càrregues de treball i dades en funció de l'optimització de factors com el cost, la seguretat, les operacions i l'accés. En l'operació participarà el personal intern i, opcionalment, el proveïdor del núvol públic.
Assegurar les aplicacions en entorn Cloud
Si abordem la necessària necessitat d'assegurar les aplicacions de programari basades en el núvol, hem de parlar també de polítiques, eines, tecnologies i regles a nivell d'aplicació per mantenir la visibilitat de tots els actius, protegir les aplicacions basades en el núvol dels ciberatacs i restringir l'accés només als usuaris autoritzats.
La seguretat de les aplicacions al núvol és essencial per a les organitzacions que utilitzen aplicacions web que s'executen en un entorn multi-núvol allotjat per un proveïdor de núvol de tercers. Aquests serveis o aplicacions al núvol augmenten significativament la superfície d'atac per naturalesa, proporcionant molts nous punts d'accés perquè els atacants entrin a la xarxa.
Bones pràctiques per assegurar les aplicacions Cloud
En qualsevol cas, i com sempre en seguretat, hi ha una sèrie de recomanacions de bon ús de la tecnologia per evitar comprometre la seguretat, tant de la infraestructura com de les aplicacions al núvol. Algunes d'elles són:
- Aprofitar l'autenticació multifactor (AMF) per ser un dels mecanismes més eficaços per limitar el risc que el compte es vegi compromès.
- Enginyeria social. Els errors humans són una de les causes més comunes de les violacions de dades. Cal formar els empleats i implantar eines com filtres de URL, antimalware i tallafocs intel·ligents.
- Automatització. Les empreses han d'automatitzar la supervisió de les aplicacions al núvol, la resposta als incidents i la configuració en la mesura del possible. Els fluxos de treball manuals són propensos als errors i una causa comuna de descuit o filtració de dades.
- Privilegis mínims. Els comptes d'usuari i les aplicacions han d'estar configurats per accedir únicament als actius necessaris per a la seva funció empresarial, aplicant el principi de mínim privilegi en totes les plataformes al núvol.
- Seguretat de les dades. Especialment en les aplicacions, gran part de l'enfocament de seguretat ha de garantir la integritat i inviolabilitat de les dades. Si pot utilitzar sistemes de xifrat, millor.
- Auditories i tests. Finalment, és recomanable fer auditories constants, així com proves per garantir que tot funciona correctament i que els sistemes i polítiques de seguretat són capaços de donar resposta a un possible incident de seguretat.
Share
Potser et pot interessar
El creixement de la divisió de sector públic de SEIDOR
La divisió de sector públic de SEIDOR es troba en ple creixement, liderada, des de fa dos anys, per Joan Ramon Barrera s'ha enfocat totalment a donar resposta a les necessitats tecnològiques de les diferents organitzacions públiques i acompanyar-les en el seu procés de digitalització.
El mercat de la Ciberseguretat creixerà a Espanya un 7,7% el 2022
L'adherència de les companyies a la nova era de transformació digital, juntament amb la seva urgència per assolir escalabilitat, ha augmentat la necessitat d'incorporar noves arquitectures TI en l'estratègia empresarial, sobretot en matèria de ciberseguretat.
Hem recollit 52 quilos de brossa a la platja de Pinedo, a València
A SEIDOR estem compromesos amb la gestió ambiental, per això, l'any 2014 ens vam adherir al Pacte Mundial de les Nacions Unides. Una iniciativa que ens està ajudant a fomentar activitats i iniciatives dirigides a millorar la nostra forma de relacionar-nos i aportar valor a la societat desenvolupant la nostra activitat de forma sostenible.