Mejores prácticas para la seguridad de la nube híbrida

Mejores prácticas para la seguridad de la nube híbrida

Tener el software y los archivos en un sistema hibrido de nube donde se combina nubes públicas y privadas además de sistemas on-premise puede traer grandes beneficios a nuestro negocio, desde mejorar la entrega del servicio, el ahorro de costos, hasta mejorar el entorno laboral. Sin embargo también representa riesgos de seguridad que pueden ser evitados con una buena gestión. En este artículo te decimos algunas de las mejores prácticas para mejorar la seguridad en la gestión de la nube híbrida.

La computación en la nube híbrida combina los beneficios de la computación en la nube pública y privada: la información crítica puede residir en entornos de nube privada segura on-premise mientras que los datos y las aplicaciones sensibles pueden ejecutarse en centros de datos en la nube de múltiples servidores fuera de las instalaciones. Esta distribución de las cargas de trabajo de TI se basa en la relación entre el costo, el rendimiento y la confiabilidad de un servicio. La computación en la nube híbrida ofrece la oportunidad de lograr una compensación óptima, pero también enfrenta importantes desafíos de seguridad.

En este artículo, analizaremos algunos desafíos de seguridad clave que enfrenta la nube híbrida, así como las mejores prácticas de seguridad probadas en la industria para proteger los centros de datos de nube híbrida:

Protección de datos en la nube híbrida

Una de las principales preocupaciones que impiden la migración a la nube es la seguridad de los datos. Si bien los centros de datos en la nube privada pueden estar ubicados físicamente en las instalaciones, aún siguen el modelo de la computación en la nube: se accede a los datos almacenados en la nube privada a través de la infraestructura de la red de TI privada, que es potencialmente vulnerable a infracciones, fugas de datos, personal no autorizado y ataques del medio.

La computación en nube híbrida permite a las organizaciones aprovechar los modelos de nube pública y privada. Los beneficios incluyen la reducción del riesgo de amenazas a la seguridad; sin embargo, se requieren medidas adicionales de seguridad, ya que la arquitectura de TI generalmente se convierte en una combinación compleja de implementaciones de nube pública y privada. Para garantizar la seguridad de los datos en la nube privada, te recomendamos prestar atención a las siguientes prácticas:

» Cifrado de datos en reposo y en transición
» Utiliza capacidades sólidas de gestión de identidades y accesos (IAM)
» Utiliza protocolos criptográficos (SSL/TSL) para la transmisión segura de datos a través de la red
» Utiliza protocolos de red SSH para la comunicación de datos entre conexiones de red no seguras
» Comunica los riesgos inherentes a la seguridad de los datos a sus clientes y usuarios finales

Evaluación y seguimiento de riesgos

Los riesgos que enfrentan las redes en la nube evolucionan rápidamente a medida que los ciberdelincuentes encuentran nuevas formas de poner en peligro los puntos finales de la red y los canales de comunicación vulnerables. Para comprender el comportamiento de la red en la nube en un momento dado, necesitas un perfil de riesgo preciso. Esta información es fundamental para realizar de forma proactiva las actividades necesarias de mitigación de riesgos. Por lo tanto, es importante seguir estas mejores prácticas:

» Evalúa y cuantifica el riesgo que enfrentan las iniciativas de migración a la nube privada
» Desarrolla un perfil de riesgo e identifica los recursos necesarios para abordar los desafíos de seguridad dentro del presupuesto disponible
» Mantén todo el software y los puntos finales de la red actualizados con parches de seguridad
» Supervisa el comportamiento del tráfico de la red para detectar actividades sospechosas
» Utiliza tecnologías avanzadas de monitoreo de red basadas en IA que correlacionen el comportamiento de la red con las actividades de riesgo potenciales que enfrenta la nube

Visibilidad y control de la nube híbrida

La computación en la nube ofrece visibilidad y control limitados sobre la infraestructura de TI, ya que es administrada y operada por un proveedor externo. En la administración del sistema on-premise sería diferente, ya que, la infraestructura está dedicada para ser utilizada por una sola organización cliente y usuarios autenticados. El centro de datos a menudo está virtualizado o definido por software, y estos clientes pueden maximizar el control sobre sus recursos. Sin embargo, la visibilidad y el control detallados para combatir los problemas de seguridad de la nube híbrida requieren experiencia interna, soluciones de tecnología avanzada y suficientes recursos informáticos para adaptarse a los crecientes volúmenes de información y aplicaciones sensibles a fallas de seguridad que se ejecutan dentro de las implementaciones internas de la nube privada. En este contexto, las siguientes mejores prácticas son útiles:

» Planifica tus futuros requisitos informáticos y de datos
Una estrategia de migración a la nube viable debe tener en cuenta el crecimiento empresarial y las expectativas de escalabilidad de la nube privada, que suelen ser más caras que las alternativas a la nube pública.

» Ten cuidado con las prácticas de shadow IT
Las empresas no tienen control y tienen una visibilidad limitada sobre las soluciones de shadow IT que pueden estar accediendo a información empresarial confidencial a través de su infraestructura de nube híbrida.

» Considera las soluciones SIEM
Las soluciones de nube pública y las aplicaciones SaaS ofrecen visibilidad y control limitado a sus usuarios. Es posible que se requieran soluciones de gestión de eventos e información de seguridad avanzada (SIEM) para comprender cómo las soluciones de nube pública interactúan con sus datos confidenciales.

» Comprenda el cumplimiento
Es posible que se requieran medidas de cumplimiento adicionales según el tipo de datos y el modelo de implementación en la nube. Un modelo de nube híbrida puede presentar desafíos y oportunidades adicionales para el cumplimiento de la seguridad que deben identificarse y abordarse.

» Aprovecha los acuerdos de nivel de servicio (SLA) con los proveedores de la nube
Al iniciar un servicio en la nube, el uso de SLA aclara la visibilidad y los niveles de control permitidos a sus clientes. Las cláusulas deben revisarse con un abogado para garantizar que se respeten las medidas de cumplimiento necesarias a medida que los datos se mueven por la infraestructura de la nube híbrida.

» Verifica la seguridad y propiedad de los datos.

» Evita bloques del proveedor.
Puede ser que el servicio en la nube ofrezca suficiente visibilidad y control en los sistemas en la nube, pero el crecimiento a escala puede que ya no justifique las inversiones. Sin embargo, es posible que no sea factible migrar datos y aplicaciones a otro proveedor (bloqueo del proveedor) debido a problemas de integración de tecnología o de alto costo, por lo que sus datos y aplicaciones se bloquean con un solo proveedor de nube.

Error humano en la nube

Gartner y WSJ informaron recientemente que el error humano es responsable de hasta el 95% de las brechas en la nube. Estos errores van desde problemas de configuración básica y acceso no autorizado hasta fallas importantes en el diseño arquitectónico.

Aunque los grandes proveedores de la nube garantizan ciertas protecciones de seguridad, tratan la seguridad de la nube como una responsabilidad compartida. Estos proveedores alivian una carga operativa significativa de sus clientes al invertir en tecnologías de seguridad de vanguardia. Sin embargo, el cliente tiene el control total de la administración de configuraciones, actualizaciones de seguridad, el sistema operativo, los datos y las aplicaciones. Por lo tanto, es importante comprender las siguientes mejores prácticas para eliminar las amenazas a la seguridad relacionadas con un error humano:

» Comprender el modelo de responsabilidad de seguridad compartida por proveedor
Conocer las responsabilidades y tomar medidas proactivas para cumplir cada parte.

» Cifra los datos confidenciales
El cifrado debe abarcar datos del lado del cliente, sistemas de archivos del lado del servidor y tráfico de red.

» Administra y actualiza regularmente
Administra las configuraciones de seguridad y las actualizaciones del SO y el software que se ejecutan en soluciones de infraestructura como servicio (IaaS). Para los servicios abstractos en los que solo accede y almacena los datos, use las medidas de seguridad adecuadas, como el cifrado, IAM y la clasificación de datos.

» Capacita a los usuarios finales
Capacita y asegúrate de que su fuerza laboral y los usuarios finales comprendan cómo tratar con seguridad los datos y los activos en la nube.

» Acceso limitado
Utiliza el principio de privilegio mínimo al establecer el control de acceso para los usuarios.

» Personal correcto
Emplea expertos internos para administrar los distintos ajustes de configuración de su entorno de nube híbrida.

BMC Helix Discovery es una solución de descubrimiento y mapeo de dependencias para obtener visibilidad sobre el hardware, el software y las dependencias de los servicios a través de varios entornos de nube. Para encontrar más información ponte en contacto con el equipo de Insitech, nuestro equipo de expertos te guiaran parar encontrar la solución adecuada a las necesidades de tu negocio.

Consulta la información original en inglés.

Tipos de plataformas low-code

En el siguiente blog analizamos diferentes desafíos que atraviesan las empresas y los tipos de herramientas low-code que pueden ayudarte.

Transformación digital con ayuda de Low-Code

La transformación digital implica muchos desafíos, pero con ayuda de Low-code podemos superar estos problemas y abrir el camino para el cambio

5 consejos para elegir la suite de Gestión de Procesos de Negocio (BPM)

El enfoque de suite de gestión de procesos empresariales ayuda en el ciclo de vida de mejora de procesos como analizamos en este blog.

Plataforma de código abierto low-code, qué es y cuáles son sus ventajas

En el siguiente blog exploramos la definición de las plataformas de código abierto low-code, sus ventajas y desventajas

Plataformas no-code frente a los problemas de TI

Ingresa en nuestro blog para aprender cómo las plataformas no-code ayudan a resolver los problemas en los departamentos de TI

Características de los sistemas de low-code qué los hace mejores

En el siguiente blog hablamos sobre el impacto de los sistemas low-code en el desarrollo de aplicaciones y sus ventajas en los negocios

6 puntos clave para elegir la plataforma RAD adecuada

El siguiente blog analizamos el desarrollo de aplicaciones RAD y las características que debe tener para tu negocio.

No-code: qué es y cómo aplicarlo en el desarrollo sin código

Con la llegada de la programación no-code, diseñar las soluciones que tu empresa necesita es más fácil, descubre cómo lograrlo en este post

Los 6 principales desafíos en adquisiciones que enfrentan las empresas

En este blog analizamos los principales problemas en el área de adquisiciones que enfrentan las empresas de todos los tamaños

7 beneficios de implementar el desarrollo ciudadano

Con el desarrollo ciudadano tu empresa puede eliminar los cuellos de botella y reducir la carga de trabajo de TI. Descubre más en este blog