Llegamos a ustedes gracias a:



Reportajes y análisis

AWS, Google Cloud y Azure: Cómo se comparan sus características de seguridad

[23/06/2021] La seguridad en la nube pública se basa en el concepto de responsabilidad compartida: Los mayores proveedores de servicios en la nube ofrecen un entorno seguro a gran escala, pero es el cliente quien debe proteger todo lo que pone en la nube. Esta separación de funciones puede ser complicada para las empresas cuando se mueven a una sola nube, pero se vuelve aún más complicada en un entorno de múltiples nubes.

El reto para los CISO es determinar cómo los tres grandes proveedores de servicios en la nube -Amazon AWS, Microsoft Azure y Google Cloud- difieren en la forma de proporcionar una plataforma en la nube segura y resistente. ¿Cuál proporciona las mejores herramientas nativas para ayudar a proteger sus activos en la nube? ¿Cómo puede hacer?

[Reciba lo último de CIO Perú suscribiéndose a nuestro newsletter semanal]

Los expertos coinciden en que todos los hiperescaladores realizan un excelente trabajo de protección de la propia nube. Al fin y al cabo, ofrecer un entorno seguro es fundamental para su modelo de negocio. A diferencia de las empresas con presupuesto limitado, los proveedores de servicios en la nube parecen tener recursos ilimitados. Tienen la experiencia técnica y, como señala Doug Cahill, analista senior de Enterprise Strategy Group (ESG), "dada su presencia masiva en todo el mundo, todas las zonas de disponibilidad, los puntos de presencia, la fibra oscura en todo el planeta, ven un volumen increíble de actividades maliciosas todos los días, lo que les pone en condiciones de poder fortificar sus defensas basándose en ese nivel de visibilidad".

Aunque las tres grandes tienden a mantener sus procesos y procedimientos internos en secreto, todas hacen un excelente trabajo protegiendo la seguridad física de sus centros de datos, defendiéndose de los ataques internos y asegurando la capa de virtualización sobre la que se ejecutan las aplicaciones y las plataformas de desarrollo, afirma Richard Mogull, analista y director general de Securosis.

Cada una de las tres grandes empresas está exponiendo más servicios a través de las API, y tratando de reducir cualquier confusión o fricción asociada al modelo de responsabilidad compartida. "Los ganchos están ahí en cada una de estas plataformas", señala Mogull. El reto para las organizaciones es entender dónde está el límite y desplegar la seguridad a escala en múltiples nubes.

Sin embargo, hay diferencias entre las tres grandes, según Mogull, que se corresponden aproximadamente con su cuota de mercado relativa.  AWS es la mayor, con un 31% de cuota de mercado. Azure, que ha estado trabajando duro para ponerse al día, es el segundo, con un 20%.  El recién llegado Google ocupa un lejano tercer lugar, con un 7%, según un análisis de los ingresos de los servicios en la nube en el 2020 realizado por la empresa de análisis Canalys.

Amazon Web Services (AWS)

AWS es el más antiguo y maduro de los proveedores de servicios en la nube. "La mayor ventaja de AWS es que, como proveedor dominante, hay muchos conocimientos y herramientas por ahí. Es más fácil obtener respuestas, encontrar ayuda y encontrar herramientas compatibles. Esto se suma a la madurez y el alcance general de la plataforma", afirma Mogull.

El modelo de seguridad compartida de Amazon establece que la empresa es responsable de la seguridad de la infraestructura subyacente de la nube, y el suscriptor es responsable de asegurar las cargas de trabajo desplegadas en la nube. En concreto, los clientes son responsables de:

  • Proteger los datos de los clientes
  • Protección de plataformas, aplicaciones y sistemas operativos
  • Implantación de la gestión de identidades y accesos (IAM)
  • Configuración de firewalls
  • Cifrar los datos del lado del cliente, los sistemas de archivos del lado del servidor y el tráfico de red

AWS pone a disposición de los clientes una amplia gama de servicios

  • Monitorización de la actividad de la API
  • Inteligencia básica sobre amenazas
  • Firewall de aplicaciones web (WAF)
  • Protección contra la fuga de datos
  • Evaluación de la vulnerabilidad
  • Activadores de eventos de seguridad para la automatización

AWS también hace un buen trabajo al predeterminar las configuraciones seguras.

Mogull añade: "Dos de las mejores características de seguridad de AWS son su excelente implementación de grupos de seguridad (firewall) y el IAM granular". Sin embargo, la seguridad de AWS se basa en aislar los servicios entre sí, a menos que el acceso se habilite explícitamente. Esto funciona bien desde el punto de vista de la seguridad, pero la contrapartida es que hace que la gestión a escala empresarial sea más difícil de lo que tiene que ser, y dificulta la gestión de IAM a escala, indica Mogull. "A pesar de esas limitaciones, AWS suele ser el mejor lugar para empezar, donde se encuentra con menos problemas de seguridad".

Microsoft Azure

Microsoft Azure se basa en un modelo similar de responsabilidad compartida. Por ejemplo, en un escenario de infraestructura como servicio (IaaS), el cliente es responsable de la clasificación y la responsabilidad de los datos, la protección de los clientes y los puntos finales, la gestión de la identidad y el acceso, y los controles a nivel de aplicación y de red. Mogull señala que Azure es un poco "más áspero en términos de madurez" que AWS, específicamente en las áreas de consistencia, documentación y el hecho de que muchos servicios tienen configuraciones menos seguras por defecto.

Azure tiene algunas ventajas. Azure Active Directory puede vincularse a Active Directory de la empresa para proporcionar una única fuente de verdad para la gestión de autorizaciones y permisos, lo que significa que todo puede gestionarse desde un único directorio. La contrapartida es que la gestión es más fácil y coherente, pero los entornos están menos aislados y menos protegidos entre sí que con AWS. Otra contrapartida: la gestión de identidades y accesos de Azure es muy jerárquica desde el principio y más fácil de gestionar que la de AWS, pero ésta puede ser más granular, sostiene Mogull.

Azure tiene otras dos características que son importantes para los usuarios empresariales: Los registros de actividad cubren la actividad de la consola y la API para toda la organización por defecto en todas las regiones. Además, la consola de gestión Azure Security Center cubre toda la empresa y puede configurarse para que los equipos locales puedan gestionar sus propias alertas.

Google Cloud

Google Cloud "se basa en la ingeniería a largo plazo y las operaciones globales de Google, que son increíblemente impresionantes", afirma Mogull. Google ofrece sólidas herramientas de seguridad integradas, entre ellas

  • Prevención de pérdida de datos en la nube
  • Gestión de claves
  • Inventario de activos
  • Cifrado
  • Firewall
  • Máquinas virtuales blindadas.

El Centro de Comando de Seguridad de Google proporciona visibilidad y control centralizados, permite a los clientes descubrir configuraciones erróneas y vulnerabilidades, supervisa el cumplimiento y detecta amenazas. Google ofrece una supervisión y un análisis de registros de primera categoría a través de su adquisición de Stackdriver (ahora ampliada y renombrada como Google Cloud Operations). También ofrece controles de identidad y acceso a través de su plataforma BeyondCorp Enterprise Zero Trust.

Sin embargo, la cuota de mercado del 7% de Google es un problema porque hay menos expertos en seguridad con una profunda experiencia en Google Cloud, lo que se traduce en una comunidad menos sólida y menos herramientas, indica Mogull. Añade que Google Cloud ofrece una fuerte centralización y una configuración segura por defecto, que son consideraciones importantes. En general, Google Cloud "no está tan maduro como AWS" y no tiene la misma amplitud de funciones de seguridad.

La formación y las habilidades internas son clave

Los hiperescaladores proporcionan a las empresas las mejores prácticas, directrices, controles nativos, herramientas, visibilidad de los registros de flujo, e incluso pueden alertar a una organización de que ha habido una mala configuración, pero "el suscriptor es responsable de actuar según las mejores prácticas, de responder a las alertas, de emplear los controles adecuados para proteger todos los activos que pone en la nube", señala Cahill.

Esto significa que tendrá responsabilidades continuas, como "gestionar cuidadosamente los controles de acceso, supervisar el entorno de la nube en busca de amenazas a la seguridad, realizar pruebas de penetración periódicas, y formar a fondo a sus empleados en las mejores prácticas de seguridad en la nube", añade la doctora Michelle Moore, directora académica del Programa de Máster en Operaciones y Liderazgo en Ciberseguridad de la Universidad de San Diego.

Mogull está de acuerdo en que es importante crear una experiencia interna en cada nube pública. Él sostiene que hay tres errores críticos que cometen las empresas al implantar la seguridad en la nube:

  • Pensar que la seguridad en la nube es igual a la que se hace actualmente en el centro de datos o en la nube privada. "Cada plataforma es fundamentalmente diferente. En la superficie las cosas parecen familiares, pero bajo el capó no lo son". Las organizaciones deben construir un profundo conocimiento de la plataforma tecnológica para tener éxito en la nube. "No hay ninguna posibilidad de éxito si no se tienen los conocimientos necesarios", anota Mogull.
  • Pasar a un mundo multicloud antes de que la organización esté preparada. Si una empresa quiere entrar en tres nubes, necesita desarrollar la experiencia interna en los tres entornos de nube. Mogull recomienda que las empresas se tomen las cosas con calma y adquieran experiencia en una nube antes de saltar a la siguiente.
  • No centrarse en la gobernanza. La mayoría de las infracciones relacionadas con la nube tienen que ver con la pérdida o el robo de credenciales, lo que en última instancia es una falla de gobernanza.

Cahill está de acuerdo. "Está subcontratando su centro de datos a un tercero. Hay un nivel de abstracción. Está interactuando con APIs de servicios". Añade que los mayores errores que cometen las organizaciones son configurar mal los servicios en la nube, configurar mal los almacenes de objetos (cubos S3 abiertos) y dejar las credenciales o las claves de las API en repositorios públicos. Con demasiada frecuencia, las consolas en la nube están protegidas por contraseñas débiles en lugar de una autenticación multifactor.

Cahill ofrece estas recomendaciones para proteger los datos de la empresa en la nube:

  • Conozca el modelo de responsabilidad compartida de la seguridad en la nube; entienda dónde están los límites.
  • Concéntrese en endurecer las configuraciones de la nube.
  • Implantar el acceso con menos privilegios para las identidades humanas y no humanas en la nube.
  • Implantar la automatización para que la seguridad siga el ritmo de DevOps; automatizar la integración de la seguridad en el ciclo de vida de las aplicaciones.
  • Asegúrese de que la implementación de la seguridad es repetible en todos los equipos. Las grandes organizaciones tienen varios equipos de proyecto que implementan sus propios controles de seguridad.
  • Adopte un enfoque descendente para lograr la coherencia de las políticas de seguridad en todos los equipos de proyecto.