Si le preguntara qué productos de seguridad tenía para administrar el riesgo dentro de su organización de TI hace 10 años, probablemente enumeraría media docena de herramientas diferentes y confianza mencionar que la mayor parte de su infraestructura estaba cubierta por un conjunto de productos clave como antivirus, DLP, firewalls, etc. Pero en un mundo con IaaS, PaaS y SaaS, mantener un solo set se vuelve mucho más difícil. Muchos servicios alojados en la nube tienen una funcionalidad superpuesta y, por lo tanto, pueden compartir requisitos de seguridad específicos, la mayoría típicamente limitará el control de los componentes subyacentes hasta cierto punto en un esfuerzo por reducir la sobrecarga general de administración. (Esto es, en efecto, el beneficio de pagar un servicio en lugar de alojar sus propias instancias, después de todo, es parte de la flexibilidad obtenida de las diferentes ofertas de servicios disponibles en el mercado hoy en día). Como resultado, muchas requerirán un método completamente diferente para evaluar la seguridad y el cumplimiento. Si está comenzando con los servicios en la nube o está diversificando su oferta de servicios, es importante tener en cuenta los requisitos de seguridad / cumplimiento para cada tipo de servicio agregado a su cartera. Para aquellos que conocen estas abreviaturas, echemos un vistazo a las tres ofertas de servicios más comunes y sus requisitos de seguridad.
IaaS (Infraestructura como servicio)
IaaS (Infraestructura como servicio) es, en efecto, donde un proveedor de la nube aloja los componentes de infraestructura tradicionalmente presentes en un data center local que incluye servidores (sistemas operativos), hardware de almacenamiento y redes, así como la capa de virtualización o hipervisor. Desde una perspectiva de seguridad, esta oferta es probablemente la más cercana a la infraestructura de TI interna tradicional (de hecho, muchas compañías moverán efectivamente las cargas útiles de servidores existentes a IaaS, ya sea parcial o completamente, dando como resultado una solución híbrida) y requerirá en gran medida de las mismas herramientas de seguridad como resultado. Sin embargo, las herramientas que reconocen / conocen el estado de la infraestructura alojada pueden ofrecer beneficios significativos ya que las instancias de servidor IaaS pueden "ir y venir" dinámicamente (aprovechando la facilidad de hacerlo en un entorno alojado). Esto significa que las licencias y el registro de datos deben ser lo suficientemente flexibles como para registrar el estado de cumplimiento de una máquina virtual temporalmente "activa" que se pone en línea solo unas pocas horas antes de ser eliminada sin que, por ejemplo, le cueste los costos de licencia continuos.
PaaS (Plataforma como servicio)
PaaS (Plataforma como servicio) se basa efectivamente en el modelo IaaS porque, además de los servicios de infraestructura subyacentes discutidos anteriormente, el proveedor de servicios alojará y administrará los sistemas operativos tradicionales, middleware, etc. para sus usuarios. PaaS simplifica el manejo de cargas por sus configuraciones pre-definidas. Esto a su vez puede limitar la flexibilidad disponible para que los administradores creen el entorno que desean, incluidas algunas opciones de seguridad que podrían ser apropiadas para sus objetivos particulares de seguridad y cumplimiento. PaaS también cambia el modelo de seguridad de cierta forma, ya que las herramientas de seguridad pueden integrarse en el servicio. Para las empresas con una combinación de PaaS e infraestructura tradicional, esto puede crear un desafío para garantizar que la cobertura cumpla con los mismos estándares en todos los dispositivos. Los equipos de cumplimiento, en particular, deben asegurarse de que todas las opciones de seguridad requeridas (particularmente en torno a las opciones de autenticación) estén disponibles y configuradas de manera consistente. Las herramientas de cumplimiento que lo ayudan en ambos entornos le brindarán una ventaja significativa a la hora de evaluar todo su patrimonio para asegurarse que no haya brechas.
SaaS (software como servicio)
Finalmente, los proveedores de SaaS (software como servicio) alojarán y administrarán infraestructuras de TI completas, incluidas las aplicaciones. Un usuario de SaaS en efecto no instala nada; simplemente inician sesión y utilizan la instancia de la aplicación del proveedor, que se ejecuta en la infraestructura del proveedor. Por lo general, esto restringe el nivel de personalización, pero reduce significativamente el "área de superficie de configuración" para las aplicaciones, ya que el proveedor de SaaS es responsable de la configuración inicial de la aplicación. Con SaaS, generalmente hay mucho menos visibilidad de las opciones de seguridad, pero esto no significa que deba darse por sentado. Sigue siendo clave garantizar que las evaluaciones de cumplimiento y seguridad no asuman simplemente que la seguridad "funciona". Se debe tener cuidado tanto durante la selección inicial del servicio (asegurándose de que tenga controles de seguridad que puedan ayudarlo a evaluar su postura de seguridad) como de que haya suficiente información disponible para volver a evaluar la seguridad con el tiempo.
Iaas, PaaS o SaaS? Desafíos clave a considerar
Asegurarse de que sus herramientas de seguridad y cumplimiento cubran estas áreas es clave. Quedaron atrás los días de asegurarse de tener únicamente un "antivirus en todas las máquinas". En cambio, cada categoría de servicio puede requerir diferentes enfoques para tener en cuenta sus propias fortalezas y debilidades particulares. Para el cumplimiento, en particular, esto puede requerir una gran cantidad de "tareas" adicionales antes de tomar la decision de compra para garantizar que los equipos puedan demostrar el cumplimiento de los conjuntos de herramientas a estándares particulares, especialmente si su herramienta de seguridad actual no puede o no proporciona la funcionalidad de evaluación para los servicios administrados por su proveedor de nube. Un último desafío que queda es el obtener informes consistentes para la evaluación, y uno que los proveedores actuales aún trabajan por resolver por completo. Hoy por hoy, muchos equipos tienen que crear sus propias soluciones para reunir diferentes fuentes de datos para ofrecer una visión general de alto nivel o informes detallados consistentes; esa es la clave para hacer que los datos sean más accesibles en toda la empresa. Pero tengo la esperanza de que los futuros proveedores aprovechen las API disponibles en estas plataformas para ofrecer información de informes que satisfaga esta necesidad. Como ya se señaló, hay muchos desafíos nuevos en el área de cumplimiento y seguridad para proporcionar protección y garantizar la coherencia entre estos entornos variados. Aun así, el potencial de estos servicios para tener "seguridad predeterminada" significa que incluso con estos desafíos, es muy tentador seguir de cerca nuevos servicios, ya que pueden impulsar su seguridad a estándares cada vez más altos. ¡No olvide que una herramienta puede no ser adecuada para todos mientras la industria sigue creciendo rápidamente! Este blog se publicó originalmente en inglés aquí: Secure Configuration in Cloud – IaaS, PaaS and SaaS Explained
Mastering Security Configuration Management
Master Security Configuration Management with Tripwire's guide on best practices. This resource explores SCM's role in modern cybersecurity, reducing the attack surface, and achieving compliance with regulations. Gain practical insights for using SCM effectively in various environments.
