Llegamos a ustedes gracias a:



Reportajes y análisis

Ciberseguridad en la nube pública

[06/10/2021] Una de las mayores consideraciones que enfrentan las empresas al seleccionar proveedores de servicios de nube pública es el nivel de ciberseguridad que ofrecen; es decir, las características y capacidades que implementan con el fin de resguardar sus propias redes y servicios, y para mantener los datos de sus clientes protegidos de robos y otros ataques.

[Reciba lo último de CIO Perú suscribiéndose a nuestro newsletter semanal]

Los tres principales proveedores de nube -Amazon Web Services (AWS), Google Cloud Platform (GCP) y Microsoft Azure- se toman la seguridad en serio por razones obvias. Una violación de la seguridad que se haga muy pública y termine siendo atribuida a sus servicios podría asustar a un número incalculable de posibles clientes, costar millones de dólares en pérdidas y posiblemente conducir a sanciones por incumplimiento de regulaciones.

A continuación, lo que ofrecen los tres grandes proveedores de nube en cuatro áreas clave de la ciberseguridad.

Seguridad de la red y la infraestructura

Amazon Web Services: AWS proporciona varias capacidades y servicios de seguridad diseñados para incrementar la privacidad y controlar el acceso a la red. Estos incluyen firewalls de red que permiten a los clientes crear redes privadas y controlar el acceso a instancias o aplicaciones. Las empresas pueden controlar el cifrado en tránsito en los servicios de AWS.

También se incluyen opciones de conectividad que permiten conexiones privadas o dedicadas; tecnologías distribuidas de mitigación de la denegación de servicio que se pueden aplicar como parte de las estrategias de distribución de aplicaciones y contenido; y cifrado automático de todo el tráfico en las redes regionales y globales de AWS entre instalaciones protegidas por AWS.

Google Cloud Platform: La compañía ha diseñado e implementado hardware específicamente para la seguridad, como Titan, un chip de seguridad personalizado que GCP usa para establecer una raíz de confianza de hardware en sus servidores y dispositivos periféricos. Google crea su propio hardware de red para mejorar la seguridad. Todo esto se suma a los diseños de sus centros de datos, que incluyen múltiples capas de protección física y lógica.

En el lado de la red, GCP ha diseñado y continúa evolucionando la infraestructura de red global que soporta sus servicios en la nube para resistir ataques como la denegación de servicio distribuida (DDoS, por sus siglas en inglés) y proteger sus servicios y clientes. En el 2017, la infraestructura absorbió un DDoS de 2,5 Tbps, el ataque de mayor ancho de banda reportado hasta la fecha.

Además de las capacidades integradas de su infraestructura de red global, GCP ofrece capacidades de seguridad de red que los clientes, si lo desean, pueden implementar. Estos incluyen el balanceo de carga en la nube y Cloud Armor, un servicio de seguridad de red que proporciona defensas contra DDoS y ataques a aplicaciones.

Google emplea varias medidas de seguridad para ayudar a garantizar la autenticidad, integridad y privacidad de los datos en tránsito. Cifra y autentica los datos en tránsito en una o más capas de red cuando los datos se mueven fuera de los límites físicos que Google no controla.

Microsoft Azure: Microsoft Azure se ejecuta en centros de datos gestionados y operados por Microsoft. Según la compañía, estos centros de datos geográficamente dispersos cumplen con los principales estándares de la industria en cuanto a seguridad y confiabilidad. Los centros de datos son administrados, monitoreados y administrados por personal de operaciones de Microsoft con años de experiencia.

Microsoft también realiza la verificación de los antecedentes del personal de operaciones y limita el acceso a las aplicaciones, sistemas e infraestructura de red en proporción al nivel de verificación de los antecedentes.

Azure Firewall es un servicio de seguridad de red gestionado y de nube que protege los recursos de la red virtual de Azure. Es un firewall de inspección de estado como servicio, con alta disponibilidad incorporada y escalabilidad sin restricciones. Azure Firewall puede descifrar el tráfico saliente, realizar las comprobaciones de seguridad necesarias y volver a cifrar el tráfico antes de reenviarlo a su destino. Los administradores pueden permitir o denegar el acceso de los usuarios a categorías de páginas web como juegos de apuestas, redes sociales u otros.

Control de identidad y acceso

Amazon Web Services: AWS ofrece capacidades para definir, reforzar y administrar políticas de acceso de usuarios en los servicios de AWS. Estos incluyen AWS Identity and Access Management (IAM), que permite a las empresas definir cuentas de usuario individuales con permisos en todos los recursos de AWS; y AWS Multi-Factor Authentication para cuentas privilegiadas, que incluye opciones para autenticadores basados en software y hardware. AWS IAM se puede utilizar para otorgar a los empleados y aplicaciones acceso federado a AWS Management Console y a las API de servicio de AWS, utilizando sistemas de identidad existentes como Microsoft Active Directory u otros productos de sus asociados.

AWS también ofrece AWS Directory Service, que permite a las organizaciones integrarse y federarse con directorios corporativos para reducir la sobrecarga administrativa y mejorar la experiencia del usuario final, y AWS Single Sign-On (SSO), que permite a las organizaciones gestionar el acceso y los permisos de usuario para todas sus cuentas en AWS.

Google Cloud Platform: Cloud Identity and Access Management de Google ofrecen varias formas de administrar identidades y roles en Google Cloud. Por un lado, Cloud IAM permite a los administradores autorizar quién puede tomar medidas sobre recursos específicos, lo que brinda control y visibilidad totales para administrar los recursos de GCP de manera centralizada. Además, para empresas con estructuras organizativas complejas, cientos de grupos de trabajo y muchos proyectos, Cloud IAM proporciona una vista unificada de la política de seguridad en toda la organización, con auditorías integradas para facilitar los procesos de cumplimiento regulatorio.

También está disponible Cloud Identity, una oferta de identidad como servicio (IDaaS, por sus siglas en inglés) que administra de forma centralizada usuarios y grupos. Las empresas pueden configurar Cloud Identity para federar identidades entre Google y otros proveedores de identidad. GCP también proporciona llaves de seguridad Titan, que proporcionan pruebas criptográficas de que los usuarios están interactuando con servicios legítimos (es decir, servicios con los que registraron su clave de seguridad) y que están en posesión de su clave de seguridad.

Finalmente, Cloud Resource Manager proporciona contenedores de recursos como organizaciones, carpetas y proyectos que permiten a las organizaciones agrupar y organizar jerárquicamente los recursos de GCP.

Microsoft Azure: Azure Active Directory (Azure AD) es un servicio de identidad empresarial que proporciona inicio de sesión único, autenticación de múltiples factores y acceso condicional a los servicios de Azure, así como a redes corporativas, recursos on premises y miles de aplicaciones SaaS. Azure AD permite a las organizaciones proteger las identidades con un acceso adaptable seguro, simplificar el acceso, optimizar el control con la administración de identidad unificada y garantizar el cumplimiento con un gobierno de identidad simplificado. Microsoft afirma que puede ayudar a proteger a los usuarios del 99,9% de los ataques de ciberseguridad.

Protección y cifrado de datos

Amazon Web Services: AWS ofrece la capacidad de agregar una capa de seguridad a los datos en reposo en la nube. Proporciona funciones de cifrado de escala adaptable que incluye capacidades de cifrado de datos en reposo en la mayoría de los servicios de AWS, incluidos Amazon EBS, Amazon S3, Amazon RDS, Amazon Redshift, Amazon ElastiCache, AWS Lambda y Amazon SageMaker.

También están disponibles opciones de administración de claves flexibles, incluido AWS Key Management Service, que permite a las empresas elegir si AWS administra las claves de cifrado o mantiene un control completo sobre sus propias claves; almacenamiento dedicado de claves criptográficas basado en hardware mediante AWS CloudHSM; y colas de mensajes cifrados para la transmisión de datos confidenciales mediante cifrado del lado del servidor (SSE, por sus siglas en inglés) para Amazon SQS.

Google Cloud Platform: Google ofrece Confidential Computing, lo que llama una tecnología de "avance que cifra los datos en uso -es decir, mientras se procesan los datos. Los ambientes informáticos confidenciales mantienen los datos cifrados en la memoria y en otros lugares fuera de la unidad central de procesamiento.

El primer producto del portafolio de Confidential Computing son las máquinas virtuales Confidential VM. Google ya utiliza una variedad de técnicas de aislamiento y sandboxing como parte de su infraestructura en la nube para ayudar a que su arquitectura de múltiples usuarios sea segura, y las Confidential VM llevan esto al siguiente nivel al ofrecer cifrado de memoria para que los usuarios puedan aislar aún más las cargas de trabajo en la nube.

Otro producto, Cloud External Key Manager (Cloud EKM), permite a las organizaciones usar claves administradas dentro de un socio externo de administración de claves compatible para proteger los datos dentro de Google Cloud Platform. Las empresas pueden mantener la procedencia de las claves sobre las claves de terceros, con control sobre la creación, ubicación y distribución de claves. También tienen control total sobre quién accede a sus claves.

Microsoft Azure: Azure Key Vault ayuda a proteger las claves criptográficas y los secretos que utilizan las aplicaciones y los servicios en la nube. Azure Key Vault está diseñado para agilizar el proceso de administración de claves, y permitir a las empresas mantener el control de las claves que acceden y cifran los datos. Los desarrolladores pueden crear claves para desarrollo y pruebas en minutos y luego migrarlas a claves de producción. Los administradores de seguridad pueden otorgar y revocar permisos a las claves según sea necesario.

Microsoft Information Protection y Microsoft Information Governance ayudan a proteger y controlar los datos dentro de Microsoft 365. Microsoft Information Protection extiende la prevención de pérdida de datos en todas las aplicaciones y servicios de Microsoft 365, así como en Windows 10 y Edge. Azure Purview ayuda a las organizaciones a comprender dónde se encuentran sus datos estructurados para que puedan protegerlos y controlarlos mejor.

Seguridad de las aplicaciones

Amazon Web Services: AWS Shield es un servicio de protección DDoS administrado que protege las aplicaciones que se ejecutan en la nube de Amazon. AWS Shield proporciona detección siempre activa y mitigaciones automáticas en línea diseñadas para minimizar el tiempo de inactividad y latencia de las aplicaciones. Existen dos niveles de AWS Shield: Standard y Advanced.

Todos los clientes de AWS tienen derecho a las protecciones automáticas de AWS Shield Standard que, según la compañía, defiende contra los ataques DDoS de capa de red y de transporte más comunes que tienen como objetivo a las páginas web o aplicaciones. Cuando se usa Shield Standard con Amazon CloudFront y Amazon Route 53, los clientes reciben una protección integral contra todos los ataques de infraestructura conocidos.

Para niveles más altos de protección contra ataques dirigidos a aplicaciones que se ejecutan en recursos de Amazon EC2, Elastic Load Balancing, Amazon CloudFront, AWS Global Accelerator y Amazon Route 53, las empresas pueden optar por AWS Shield Advanced. Además de las protecciones de la capa de red y la capa de transporte que vienen con Shield Standard, Shield Advanced proporciona detección y mitigación adicionales contra ataques DDoS grandes y sofisticados, visibilidad casi en tiempo real de los ataques e integración con AWS WAF, el firewall de aplicaciones web del proveedor de la nube.

Google Cloud Platform: Google Cloud Web App and API Protection (WAAP) proporciona una protección integral contra amenazas para aplicaciones web y APIs. Cloud WAAP se basa en la misma tecnología que utiliza Google para proteger sus servicios públicos contra vulnerabilidades de aplicaciones web, ataques DDoS, actividad de bots malintencionados y amenazas dirigidas a las API.

Cloud WAAP representa un cambio, se pasa de la protección de las aplicaciones en silos a una protección unificada y está diseñado para brindar una mejor prevención de amenazas, mayor eficiencia operativa, además de ofrecer visibilidad y telemetría consolidadas. También proporciona protección en ambientes de nube y on premises, afirma Google.

Cloud WAAP combina tres productos para brindar una protección integral contra las amenazas y los fraudes. Uno es Google Cloud Armor, que forma parte de la infraestructura global del balanceo de carga de GCP, y proporciona firewalls para aplicaciones web y capacidades para evitar ataques DDoS. Otro de los productos es Apigee API Management, que proporciona capacidades de gestión del ciclo de vida de las API con un gran enfoque en la seguridad. El tercero es reCaptcha Enterprise, que brinda protección contra actividades fraudulentas, spam y abusos, como el llenado de credenciales, la creación automatizada de cuentas y las vulnerabilidades de bots automatizados.

Otro producto de GCP, Cloud Security Scanner, busca vulnerabilidades e información sobre las vulnerabilidades de las aplicaciones web y permite a las empresas tomar medidas antes de que un criminal pueda explotarlas.

Microsoft Azure: Microsoft Cloud App Security es un agente de seguridad para aplicaciones en la nube que combina la visibilidad multifunción, control sobre el viaje de los datos, monitoreo de la actividad del usuario y analítica sofisticada, lo que permite a los clientes identificar y combatir las ciberamenazas en todos sus dispositivos de Microsoft y servicios de terceros en la nube. Diseñado para los profesionales de la seguridad de la información, Cloud App Security se integra de forma nativa con las herramientas de seguridad e identidad que incluyen Azure Active Directory, Microsoft Intune, Microsoft Information Protection, y soporta varios modos de implementación, incluida la recopilación de registros, conectores de API y proxy reverso.

Puede ver también: