Com garantir la seguretat de la infraestructura i les aplicacions Cloud?

La seguretat en entorn Cloud

A mesura que les organitzacions traslladen una major part de la seva infraestructura al núvol, els seus plantejaments i polítiques de seguretat tradicionals poden continuar sent vàlides per a algunes instàncies, però s'han d'adaptar a les arquitectures distribuïdes i híbrides. Per tant, és necessari tenir un enfocament diferent per abordar la seguretat en aquest nou entorn.

Assegurar la infraestructura Cloud

Comencem per la seguretat de la infraestructura al núvol. Per abordar això, hem de tenir en compte una combinació de polítiques, millors pràctiques i tecnologies per garantir que els recursos al núvol (inclosos els entorns informàtics, les aplicacions i les bases de dades) estiguin segurs davant les amenaces (tant internes com externes) del núvol.

Aquesta seguretat de la infraestructura al núvol no s'ha de confondre amb els serveis de seguretat al núvol que ofereixen diversos serveis de seguretat a través d'un model de negoci de programari com a servei.

De fet, la seguretat al núvol consisteix en diferents controls, procediments i tecnologies per protegir els sistemes i dades crítiques de qualsevol organització contra les amenaces de ciberseguretat i els riscos derivats dels entorns al núvol.

Segons el tipus de computació en el núvol que fem servir, podem adoptar un tipus de seguretat en el núvol o una altra:

• Serveis de núvol públic, operats per un proveïdor de núvol públic. Aquí s'inclouen el programari com a servei (SaaS), la infraestructura com a servei (IaaS) i la plataforma com a servei (PaaS).
• Serveis de núvol privat, operats per un proveïdor de núvol públic. Aquests serveis proporcionen un entorn informàtic dedicat a un client, operat per un tercer.
• Serveis de núvol privat, operats per personal intern. És a dir, una evolució del centre de dades tradicional, on el personal intern opera un entorn virtual que controla.
• Serveis de núvol híbrid. Aquí es combinen configuracions de computació en núvol privat i públic, allotjant càrregues de treball i dades en funció de l'optimització de factors com el cost, la seguretat, les operacions i l'accés. En l'operació participarà el personal intern i, opcionalment, el proveïdor del núvol públic.

Assegurar les aplicacions en entorn Cloud

Si abordem la necessària necessitat d'assegurar les aplicacions de programari basades en el núvol, hem de parlar també de polítiques, eines, tecnologies i regles a nivell d'aplicació per mantenir la visibilitat de tots els actius, protegir les aplicacions basades en el núvol dels ciberatacs i restringir l'accés només als usuaris autoritzats.

La seguretat de les aplicacions al núvol és essencial per a les organitzacions que utilitzen aplicacions web que s'executen en un entorn multi-núvol allotjat per un proveïdor de núvol de tercers. Aquests serveis o aplicacions al núvol augmenten significativament la superfície d'atac per naturalesa, proporcionant molts nous punts d'accés perquè els atacants entrin a la xarxa.

Bones pràctiques per assegurar les aplicacions Cloud

En qualsevol cas, i com sempre en seguretat, hi ha una sèrie de recomanacions de bon ús de la tecnologia per evitar comprometre la seguretat, tant de la infraestructura com de les aplicacions al núvol. Algunes d'elles són:

• Aprofitar l'autenticació multifactor (AMF) per ser un dels mecanismes més eficaços per limitar el risc que el compte es vegi compromès.
• Enginyeria social. Els errors humans són una de les causes més comunes de les violacions de dades. Cal formar els empleats i implantar eines com filtres de URL, antimalware i tallafocs intel·ligents.
• Automatització. Les empreses han d'automatitzar la supervisió de les aplicacions al núvol, la resposta als incidents i la configuració en la mesura del possible. Els fluxos de treball manuals són propensos als errors i una causa comuna de descuit o filtració de dades.
• Privilegis mínims. Els comptes d'usuari i les aplicacions han d'estar configurats per accedir únicament als actius necessaris per a la seva funció empresarial, aplicant el principi de mínim privilegi en totes les plataformes al núvol.
• Seguretat de les dades. Especialment en les aplicacions, gran part de l'enfocament de seguretat ha de garantir la integritat i inviolabilitat de les dades. Si pot utilitzar sistemes de xifrat, millor.
• Auditories i tests. Finalment, és recomanable fer auditories constants, així com proves per garantir que tot funciona correctament i que els sistemes i polítiques de seguretat són capaços de donar resposta a un possible incident de seguretat.