Llegamos a ustedes gracias a:



Noticias

Google Cloud lanza servicios para reforzar la seguridad de código abierto

Y simplificar las implementaciones de confianza cero

[19/05/2022] Google Cloud está desplegando nuevos servicios de seguridad diseñados para hacer frente a los desafíos empresariales, incluyendo la seguridad del software de código abierto y la aceleración de la adopción de arquitecturas de confianza cero.

En su cumbre anual de seguridad en la nube de Google, la compañía dijo que está desarrollando su esfuerzo de seguridad invisible, que promete incorporar la seguridad a las herramientas y servicios que las empresas y otros clientes utilizan más.

Un ejemplo es un nuevo servicio llamado Assured Open Source Software (Assured OSS), cuyo objetivo es facilitar a las organizaciones la gestión segura de sus dependencias de código abierto.

"Hoy en día, parchear las vulnerabilidades de seguridad en el software de código abierto suele ser como un juego de azar: si se soluciona una, aparecen dos más", escribió Sunil Potti, vicepresidente y director general de Google Cloud Security, en un blog sobre los nuevos servicios. "Esto ayuda a explicar la investigación realizada por Sonatype Software que muestra que hay un aumento del 650% año tras año en los ciberataques dirigidos a los proveedores de software de código abierto (OSS)".

A través de Assured OSS, los usuarios empresariales de software de código abierto podrán incorporar los mismos paquetes de OSS que utiliza Google en sus propios entornos, según Google.

Los paquetes que Google ha seleccionado se escanean, analizan y comprueban regularmente en busca de vulnerabilidades, y se distribuyen desde Artifact Registry que está asegurado y protegido por Google, declaró Potti. Actualmente hay más de 500 paquetes disponibles en GitHub.

"La escala del esfuerzo continuo de Google para encontrar vulnerabilidades del OSS sería un reto para cualquier organización", declaró Potti. "Hacemos un fuzz continuo de 550 de los proyectos de código abierto más utilizados y, hasta enero del 2022, ese proceso ha encontrado más de 36 mil vulnerabilidades".

Se espera que el servicio Assured OSS se ofrezca en el tercer trimestre del 2022.

En el frente de la confianza cero, Google está presentando BeyondCorp Enterprise Essentials, que está diseñado para ayudar a los clientes empresariales a empezar a desplegar entornos de confianza cero. La nueva solución aporta controles de acceso conscientes del contexto para aplicaciones SaaS o cualquier otra aplicación conectada a través de Security Assertions Markup Language (SAML), que es un protocolo basado en XML que admite la autenticación y autorización en tiempo real en entornos de servicios web federados. También incluye funciones de protección de datos y amenazas, como la prevención de la pérdida de datos, la protección contra el malware y el phishing, y el filtrado de URL, integradas en el navegador Chrome, según Potti.

Se trata de una forma sencilla y eficaz de proteger a los empleados, especialmente a los que tienen una planilla amplia o a los que utilizan un modelo de "traiga su propio dispositivo"", afirmó Potti. "Los administradores también pueden utilizar los paneles de control de Chrome para obtener visibilidad de la actividad insegura de los usuarios en los dispositivos no gestionados".

BeyondCorp Enterprise incluye un conector de aplicaciones y clientes que puede simplificar las conexiones a las aplicaciones que se ejecutan en otras nubes como Azure o AWS sin la necesidad de abrir firewalls o configurar conexiones VPN de sitio a sitio, declaró Potti. El conector de cliente permite el acceso de confianza cero a aplicaciones que no son http, de cliente grueso, alojadas en las instalaciones o en otras nubes, afirmó Potti.

La empresa también ha presentado otras herramientas y servicios de seguridad nuevos:

  • Security Foundation está diseñada para ayudar a las empresas a adoptar más fácilmente las capacidades de seguridad de Google Cloud, sostuvo Potti. Permite a los clientes acceder a la orientación de Google sobre la configuración de la protección de datos, la seguridad de la red, la supervisión de la seguridad y otras funciones.
  • Las nuevas capacidades de detección personalizada para la plataforma de gestión de riesgos de Google, Security Command Center, permiten a los clientes añadir sus propias reglas de detección y realizar comprobaciones de configuración basadas en necesidades específicas.