Los servicios en la nube brindan a las organizaciones empresariales flexibilidad y nuevas capacidades; sin embargo, introducen nuevos riesgos que deben comprenderse y abordarse antes de contratar un proveedor de servicios en la nube (CSP).
Las organizaciones del Departamento de Defensa (DoD) están encargadas de manejar datos confidenciales que van desde información de identificación personal (PII) hasta información de seguridad nacional.
A medida que se consideran datos más confidenciales para el almacenamiento y manipulación en entornos de nube, las organizaciones deben abordar nuevas amenazas de seguridad antes de implementarlos en un entorno operativo.
Los servicios en la nube tienen varias ventajas distintivas sobre la infraestructura tradicional, lo que permite una rápida implementación a gran escala de recursos informáticos.
Las organizaciones tienen diferentes requisitos, que pueden satisfacerse mediante diferentes tipos de servicios en la nube que generalmente encajan en tres categorías amplias: infraestructura como servicio (IaaS), plataforma como servicio (PaaS) y software como servicio (SaaS).
Las responsabilidades de administración (que se muestran a continuación) varían según el tipo de servicio y si el entorno de nube está alojado de forma privada.
Las implementaciones en la nube pueden ser públicas o privadas.
Las nubes públicas son propiedad de un tercero y están administradas por él, mientras que las nubes privadas generalmente son propiedad y están operadas localmente.
Los problemas de seguridad dependen del tipo de servicio y del lugar donde se implementa el servicio en la nube.
La seguridad debe ser una consideración primordial al elegir un proveedor de servicios en la nube y un tipo de implementación.
Las nubes privadas transfieren una mayor parte de la responsabilidad de la seguridad a la organización.
Con las nubes públicas, las organizaciones comparten responsabilidades de seguridad con el CSP.
Los servicios que utilizan la nube para realizar algunas funciones (por ejemplo, software de respaldo o productos de seguridad personal) tienen la misma responsabilidad compartida y requisitos de administración que otros servicios en la nube SaaS.
Las organizaciones deben asegurarse de que cualquier producto que utilice la nube cumpla con los requisitos federales y del Departamento de Defensa antes de implementarlo en su entorno.
Los proveedores de servicios en la nube y las organizaciones del Departamento de Defensa comparten responsabilidades únicas y superpuestas para garantizar la seguridad de los servicios y los datos confidenciales almacenados en las nubes públicas.
Normalmente, los CSP son responsables de la seguridad física de la infraestructura de la nube, así como de implementar controles lógicos para separar los datos de los clientes.
Los administradores organizacionales suelen ser responsables de la configuración de seguridad a nivel de aplicación, como los controles de acceso obligatorios para la autorización de los datos.
Muchos CSP proporcionan herramientas de configuración de seguridad en la nube y sistemas de monitoreo, pero es responsabilidad de las organizaciones del Departamento de Defensa configurar el servicio de acuerdo con sus requisitos de seguridad.
Los principales riesgos para la infraestructura de la nube son la actividad de adversarios maliciosos y fallas de configuración no intencionales. Los servicios de nube pública utilizan una infraestructura compartida que puede generar vulnerabilidades no intencionadas.
Los servicios de inteligencia extranjeros podrían explotar nubes mal configuradas para permitir la recopilación de información confidencial del Departamento de Defensa.
La ley federal y la política del Departamento de Defensa definen cómo se deben manejar los diferentes tipos de datos confidenciales para evitar la exposición.
Las organizaciones deben considerar cuáles son sus requisitos de seguridad antes de tomar una decisión sobre un servicio en la nube que se ajuste a su modelo de amenaza específico.
El uso de un servicio de nube pública extiende los límites de confianza más allá de la organización.
Se introducen nuevos riesgos al utilizar CSP, como amenazas internas y falta de control sobre las operaciones de seguridad.
Los clientes deben aprovechar los servicios de seguridad en la nube para abordar los requisitos de mitigación.
Si bien algunas amenazas pueden mitigarse por completo mediante el uso de soluciones técnicas (por ejemplo, cifrado), en última instancia, es fundamental comprender y documentar las responsabilidades de seguridad compartidas para generar confianza con el CSP.
Minimizar el riesgo para los servicios en la nube requiere una investigación cuidadosa antes de la adquisición, así como una configuración adecuada y un monitoreo continuo.
Las organizaciones deben determinar su modelo de amenazas, asegurarse de que el servicio en la nube elegido cumpla con los estándares federales y del Departamento de Defensa e implementar la configuración y los controles correctos.
Los administradores deben consultar la guía de configuración de seguridad en la nube específica del servicio publicada por la NSA.
En última instancia, controlar el riesgo es un proceso, no una lista de verificación.
A continuación se enumeran las principales preocupaciones de seguridad en la nube, pero los requisitos específicos variarán.
Los controles de acceso mal configurados en los principales proveedores de almacenamiento en la nube han resultado en la exposición de datos confidenciales a partes no autorizadas.
La exposición de datos tiene un impacto especial para el Departamento de Defensa, ya que erosiona la confianza del público y, en algunos casos, puede dañar la seguridad nacional.
Controlar el acceso es un requisito clave al almacenar datos confidenciales. Almacenamiento en la nube pública.
Los proveedores tienen configuraciones de control de acceso predeterminadas que difieren de los requisitos de seguridad de la información que se almacena.
Los administradores deben configurar permisos de acuerdo con las personas y los sistemas que necesitan acceder a los datos.
Se deben utilizar sistemas automatizados y de registro para confirmar la configuración correcta del control de acceso.
Muchos CSP proporcionan herramientas específicas para gestionar los permisos de acceso y registrar actividades inusuales o no autorizadas.
Aprovechar las actualizaciones de seguridad del software es una parte importante de la ejecución de un entorno de nube seguro.
La responsabilidad de aplicar actualizaciones de software varía según el tipo de servicio en la nube utilizado y quién es responsable de su gestión.
Las actualizaciones de la infraestructura subyacente estarán a cargo del proveedor de servicios en la nube.
Sin embargo, las organizaciones son responsables de aplicar parches de seguridad a los servicios que administran ellas mismas en la nube.
Aplicar parches de seguridad tan pronto como se publiquen es fundamental para evitar filtraciones de datos y pérdida de confianza.
La tenencia múltiple permite compartir recursos de nube comunes entre múltiples clientes de nube colocados.
Dependiendo del tipo de servicio en la nube (IaaS, PaaS, SaaS), los proveedores de servicios en la nube asignarán los recursos de manera diferente. Los CSP, como mínimo, implementarán controles lógicos para separar los datos y las operaciones del usuario; sin embargo, un actor malicioso colocado podría explotar las vulnerabilidades o fallas de configuración no intencionales.
FedRAMP y DoD Cloud SRG definen requisitos para la separación lógica, pero algunas organizaciones pueden requerir una mayor garantía.
Se deben utilizar nubes privadas o nubes públicas dedicadas con separación física para operaciones sensibles, según sea necesario.
La protección de la PII y otros datos confidenciales requiere cifrar los datos en tránsito y cuando se almacenan en reposo.
Las organizaciones deben definir una política sólida sobre qué datos confidenciales deben cifrarse y el proceso para hacerlo.
Las claves criptográficas utilizadas para las operaciones de cifrado deben almacenarse de forma segura y separada de la instancia en la nube de los datos que se almacenan.
Las claves deben ser administradas directamente por el propietario de la misión o por un tercero de confianza.
La gestión de claves y el cifrado basados en la nube se pueden utilizar para algunas nubes acreditadas por el Departamento de Defensa.
FedRAMP y DoD Cloud SRG definen varios requisitos de cifrado que los CSP deben cumplir para ser considerados conformes.
Dependiendo del tipo de datos que se almacenen, las organizaciones pueden cifrar datos confidenciales antes de transmitirlos a un servicio en la nube.
Además, los datos confidenciales deben cifrarse en reposo de acuerdo con los requisitos establecidos por DoD Cloud SRG.
Los proveedores de servicios en la nube están en una posición única para proporcionar información sobre amenazas, así como contramedidas defensivas.
Los clientes deben aprovechar al máximo los servicios de seguridad en la nube y complementarlos con herramientas locales para abordar las brechas, implementar técnicas de seguridad internas o cumplir con los requisitos de datos confidenciales.
La confianza es esencial: los riesgos de confiar en un CSP para implementar correctamente la funcionalidad de seguridad deben sopesarse con los costos de administrar los controles de seguridad internamente.
Los ataques de denegación de servicio (DoS) en la nube impiden que los usuarios accedan a los servicios en la nube al sobrecargar los recursos del proveedor de servicios en la nube.
Los CSP maduros emplearán buenas defensas contra ataques conocidos y responderán rápidamente a los ataques cuando sepan de ellos.
Para evitar impactos catastróficos en la misión, las organizaciones deben determinar si un CSP ha implementado los procesos y herramientas para mitigar los ataques DoS.
Siempre que sea necesario, las organizaciones deben distribuir sistemas redundantes en múltiples regiones geográficas o diversos proveedores de nube para lograr una alta disponibilidad.
De conformidad con las regulaciones federales y del Departamento de Defensa, los proveedores de servicios en la nube solo deben almacenar y manipular datos para los cuales están acreditados.
La fuga de datos ocurre cuando datos confidenciales se introducen involuntariamente en un entorno de nube no acreditado.
Las organizaciones del Departamento de Defensa deben contar con procedimientos claros para detectar y remediar eventos de fuga de datos.
Espero que os haya gustado.
Un saludo