Principales suposiciones falsas de seguridad en la nube que crean riesgos innecesarios

Pasaron 15 años desde que Amazon Sitio web Services lanzó la primera plataforma de infraestructura en la nube. Con solo presionar un interruptor, podría encender un centro de datos sin tener que comprar hardware o enterrar capital. Pero inicialmente muchas compañías miraron la nube con sospecha. Recelosos de perder el control, se aferraron a gestionar sus propios centros de datos. Pensaron que la nube era arriesgada. Y lo fue.

In this blog post — the first of two — we’ll explore false assumptions about cloud security that make the cloud riskier than it needs to be.

La nube: demasiado convincente para ignorarla

A pesar de los riesgos, con el tiempo, el valor de la nube resultó demasiado convincente para ignorarlo. Hoy en día, casi todas las compañías emplean la nube en un grado u otro. Y muchas organizaciones confían en la nube para alojar operaciones críticas, algo impensable hace una década.

While the cloud has provided far-reaching benefits, its risks and challenges remain. Enforcing comprehensive, Zero Trust security in the cloud is just as important as it is for any other part of your digital infrastructure.

The biggest problem? Organizations often do not fully understand the ways their cloud infrastructure exposes them to cyberattacks and ransomware.

Supuesto #1: Su proveedor de nube es responsable de la seguridad de sus aplicaciones.

If not your cloud provider, then who is responsible for cloud security?

La verdad es que la seguridad es una responsabilidad compartida.

Ya sea que esté trabajando con Amazon, Microsoft, Google o cualquier otro proveedor de nube, si observa la letra pequeña, verá que su responsabilidad de seguridad se limita a proteger solo la estructura de la red, eso es todo lo que compone su entorno de alojamiento.

La seguridad de las aplicaciones sigue siendo su responsabilidad. Tan pronto como implemente una instancia de aplicación con un sistema operativo sobre la red en la nube, protegerla es su trabajo, no el de ellos.

Además, el soporte de seguridad en la nube de los proveedores emplea un modelo de "mejor esfuerzo", no acuerdos de nivel de servicio (SLA). Esto significa que solo necesitan prometer hacer todo lo posible para protegerlo de las amenazas nacidas en la red, como los ataques de denegación de servicio distribuido (DDoS). Pero si uno pasa, bueno, hicieron todo lo posible. En cuanto a la protección de sus cargas de trabajo, eso siempre depende de usted.

Además, si bien los proveedores de la nube parchearán sistemas como los servidores Linux que alojan aplicaciones, eso no aborda las posibles vulnerabilidades de sus aplicaciones. Sin visibilidad en la capa de aplicación, no puede saber si una aplicación se implementó o configurado correctamente.

Supuesto #2: La seguridad en la nube es fácil de gestionar.

The cloud’s benefits — speed, agility and elasticity — actually make cloud security more difficult. That’s because the cloud lets virtually anyone in your organization spin up a new application or resource with just a few clicks of their mouse.

Making things even more difficult, few organizations centrally manage cloud services within their IT and security teams. Instead, various business units and groups can independently set up new cloud accounts.

En otras palabras, cualquier usuario o desarrollador con derechos de acceso puede crear aplicaciones que tengan puertos abiertos a Internet, donde cualquier cosa puede comunicar con cualquier cosa. Y todo esto puede suceder sin que TI o seguridad sepan que existen estas aplicaciones, y mucho menos que las protejan.

Además, las grandes compañías suelen tener cientos de cuentas en la nube en AWS, Microsoft Azure, Google Cloud y otras plataformas en la nube. Cada una de estas cuentas puede tener muchas nubes privadas virtuales con sus propios grupos de seguridad.

Todo esto hace que gestionar esos grupos y comprender su exposición a la seguridad sea cada vez más difícil. Sería útil tener herramientas para visualizar el tráfico de aplicaciones hacia y desde entornos de nube, pero por lo general, los proveedores de nube no las ofrecen.

La nube llegó para quedar y también sus riesgos de seguridad

A medida que las organizaciones grandes y pequeñas consideran trasladar cargas de trabajo a la nube, con demasiada frecuencia dejan la seguridad fuera de la discusión. ¿Por qué? Porque algunos equipos pueden ver la seguridad como un inhibidor que ralentiza el negocio, no como un facilitador que puede acelerar el negocio.

Esto crea un difícil dilema para los CIO, los ejecutivos de seguridad y otros líderes tecnológicos. Si no puede respaldar iniciativas y aplicaciones que impulsan el negocio, no está ayudando a que el negocio crezca. Pero si no está gestionando los riesgos potenciales de seguridad que presenta la nube, está exponiendo a la compañía a amenazas graves.

Stay tuned for the next blog post in which I'll unpack additional cloud security assumptions that may be putting your business at risk.

In the meantime, learn how Illumio can help you build stronger digital security for your multi-cloud and hybrid cloud environments. Or have one of our experts explain how Illumio can strengthen your digital defenses against ransomware and cyberattacks.