Llegamos a ustedes gracias a:



Reportajes y análisis

AWS, Google Cloud y Azure: Cómo se comparan sus características de seguridad

[10/08/2022] Los CISO que tratan de determinar cuál de los tres principales proveedores de servicios en la nube (CSP, por sus siglas en inglés) ofrece la mejor seguridad, deben dividir la pregunta en dos partes: ¿Cuál es el que mejor protege su propia infraestructura, y cuál es el que mejor le ayuda a proteger sus datos y aplicaciones?

La seguridad en la nube pública se basa en el modelo de responsabilidad compartida, la noción de que es posible crear una línea dura que separe el papel del proveedor de servicios en la nube (asegurar la plataforma) con el papel del cliente (proteger sus activos en la nube). Suena bien en teoría, pero en la práctica el modelo de responsabilidad compartida puede ser complicado cuando los CISOs tratan con un proveedor de la nube, pero exponencialmente más difícil en un mundo multi-nube.

[Reciba lo último de CIO Perú suscribiéndose a nuestro newsletter semanal]

Como dice el veterano experto en seguridad Andy Ellis, "parece muy claro y sencillo, y como todas las analogías claras y sencillas, no se sostiene ante la inspección". Señala que es difícil para las organizaciones analizar las interconexiones entre la plataforma en la nube y las aplicaciones que se ejecutan sobre ella. "La realidad es que la forma en que un cliente configura un servicio en la nube es fundamental para la seguridad de las aplicaciones. La lista de formas en que un cliente puede acabar con un disparo en el pie es notablemente grande".

Sin embargo, ese sólido muro que separa la responsabilidad del CSP y el papel del cliente está empezando a desmoronarse. Para diferenciarse, los proveedores de servicios en la nube reconocen las deficiencias del modelo de responsabilidad compartida y tratan de desarrollar una relación de asociación con los clientes, señala Melinda Marks, analista senior de Enterprise Strategy Group (ESG).

Entonces, ¿cómo puede un CISO determinar en qué se diferencian los tres grandes proveedores de servicios en la nube -Amazon AWS, Microsoft Azure y Google Cloud- en la forma en que abordan estos problemas y proporcionan una plataforma en la nube segura y resistente?

Antes de profundizar en los detalles de cada proveedor, he aquí tres puntos de partida básicos de Richard Mogull, analista y director general de Securosis.

  • Aunque las tres grandes empresas tienden a mantener sus procesos y procedimientos internos en secreto, todas ellas hacen un excelente trabajo protegiendo la seguridad física de sus centros de datos, defendiéndose de los ataques internos, y asegurando la capa de virtualización sobre la que se ejecutan las aplicaciones y las plataformas de desarrollo.
  • La nube es esencialmente un nuevo tipo de centro de datos y cada CSP es fundamentalmente diferente a nivel técnico. "No hay una solución rápida. Los detalles de la implementación real van a ser diferentes en cada uno de esos proveedores". Lo mejor que pueden hacer las organizaciones es invertir en la formación de los empleados para que adquieran experiencia en el funcionamiento de estos entornos de nube.
  • Más allá de los detalles específicos de la plataforma de cada proveedor, Mogull sostiene que la cuota de mercado se correlaciona con tener el conjunto más amplio de herramientas de terceros, la base de conocimientos más profunda y la comunidad más grande. AWS tiene un 33% de cuota de mercado, Azure es el segundo, con un 21%, y Google ocupa un lejano tercer lugar, con un 8%, según un análisis de los ingresos por servicios en la nube del primer trimestre de 2022 realizado por la empresa de análisis Canalys.

Google Cloud: Cambiando la responsabilidad compartida por el destino compartido

Google ha dado el mayor golpe de efecto a la hora de redefinir el modelo de responsabilidad compartida. De hecho, Google ha acuñado un nuevo término, al que llama "destino compartido".

Según el CISO de Google, Phil Venables, "el modelo de responsabilidad compartida creaba 'incertidumbre' en cuanto a quién se encarga de ciertos aspectos de la detección de amenazas, las mejores prácticas de configuración, y las alertas de violaciones de seguridad y actividades anómalas". El destino compartido representa "el siguiente paso evolutivo para crear una asociación más estrecha entre los proveedores de servicios en la nube y sus clientes, para que todos puedan afrontar mejor los retos de seguridad actuales y crecientes sin dejar de cumplir la promesa de la transformación digital".

Las características del destino compartido incluyen configuraciones predeterminadas diseñadas para garantizar los fundamentos de la seguridad, planos para ayudar a los clientes a configurar más fácilmente los productos y servicios, y jerarquías de políticas seguras para que la intención de las políticas se habilite automáticamente en toda la infraestructura. Además, Google cuenta con un programa que conecta a los clientes de la nube con aseguradoras que ofrecen seguros especializados para las cargas de trabajo de Google Cloud, lo que proporciona un componente único de gestión de riesgos.

Al comparar las tres grandes empresas, Google se encuentra en una posición interesante. Mogull señala que Google Cloud está "construida sobre la ingeniería a largo plazo y las operaciones globales de Google, que son increíblemente impresionantes".

Sin embargo, la cuota de mercado del 8% de Google es un problema porque hay menos expertos en seguridad con una profunda experiencia en Google Cloud, lo que se traduce en una comunidad menos sólida y menos herramientas, sostiene Mogull. En general, Google Cloud "no está tan maduro como AWS", y no tiene la misma amplitud de funciones de seguridad, afirma.

Google está abordando ese problema con el reciente anuncio de algo que llama "seguridad invisible". La idea es que Google siga ampliando su oferta de seguridad nativa de la nube para que las organizaciones puedan reducir su dependencia de herramientas de terceros.

Un ejemplo es el Google Cloud IDS, un sistema de detección de intrusiones gestionado que las empresas pueden desplegar en unos pocos clics para protegerse contra el malware, el spyware, los ataques de comando y control, y otras amenazas basadas en la red.

Microsoft Azure aborda la seguridad multicloud

Microsoft ha puesto en marcha un esfuerzo para abordar el reto de la seguridad de los entornos multicloud con el lanzamiento de Microsoft Defender for Cloud, que ofrece gestión de la postura de seguridad en la nube (CSPM) y protección de la carga de trabajo en la nube (CWP) en Azure, AWS y Google Cloud.

El objetivo es encontrar puntos débiles en las configuraciones de la nube, ayudar a fortalecer la postura de seguridad general, y proteger las cargas de trabajo contra las amenazas en evolución en los entornos multi-nube e híbridos. Microsoft Defender for Cloud cubre máquinas virtuales, contenedores, bases de datos, almacenamiento y servicios de aplicaciones.

Sin embargo, el modelo de responsabilidad compartida sigue vigente en la nube de Azure. Las organizaciones son responsables de proteger la seguridad de sus datos e identidades, recursos locales, puntos finales, cuentas y gestión de acceso.

Mogull sostiene que Azure es un poco "más áspero en términos de madurez" que AWS, específicamente en las áreas de consistencia, documentación y el hecho de que muchos servicios por defecto a las configuraciones menos seguras. Azure tiene algunas ventajas. Azure Active Directory puede vincularse a Active Directory de la empresa para proporcionar una única fuente de verdad para la gestión de autorizaciones y permisos, lo que significa que todo puede gestionarse desde un único directorio. La gestión de identidades y accesos de Azure es muy jerárquica desde el principio y más fácil de gestionar que la de AWS, indica Mogull.

En cuanto al impulso del mercado, Mogull afirma que "Microsoft está entrando con fuerza" porque sabe aprovechar sus relaciones existentes con los clientes empresariales. Sin embargo, advierte que las empresas deben tener en cuenta que la seguridad no está integrada en el ADN de Microsoft como lo está en los proveedores de seguridad puros.

Amazon Web Services (AWS) ofrece un amplio conjunto de herramientas de seguridad

Al ser el proveedor más antiguo y dominante, AWS tiene una ventaja en cuanto a conocimientos y herramientas. "Es más fácil obtener respuestas, encontrar ayuda y encontrar herramientas compatibles. Esto se suma a la madurez y el alcance general de la plataforma", afirma Mogull.

AWS cuenta con un enorme mercado de proveedores externos y tiene una gran variedad de ofertas complementarias, así como servicios de asesoramiento, consultoría, formación y certificación. Marks señala que AWS "ha pensado mucho en las funciones que tiene". Cita Inspector, un servicio que escanea continuamente las instancias de Amazon EC2 y las imágenes de contenedores en busca de vulnerabilidades de software y exposiciones de red no intencionadas.

Amazon GuardDuty es un servicio de detección de amenazas que supervisa continuamente las cuentas y las cargas de trabajo de AWS en busca de actividad maliciosa, y ofrece resultados de seguridad detallados para la visibilidad y la corrección.

Estos y otros servicios complementarios se engloban en el AWS Security Hub, que recoge los datos de seguridad de los servicios de AWS y de terceros, y ofrece una visión consolidada del estado de seguridad de los clientes.

Mogull añade: "Dos de las mejores características de seguridad de AWS son su excelente implementación de grupos de seguridad (firewall) y el IAM granular". Sin embargo, la seguridad de AWS se basa en aislar los servicios entre sí, a menos que el acceso se habilite explícitamente. Esto funciona bien desde el punto de vista de la seguridad, pero la contrapartida es que hace que la gestión a escala empresarial sea más difícil de lo que tiene que ser, y dificulta la gestión de IAM a escala, anota Mogull. "A pesar de esas limitaciones, AWS suele ser el mejor lugar para empezar, donde se encuentra con menos problemas de seguridad".

Puede ver también: