Com garantir la seguretat de la infraestructura i les aplicacions Cloud?

La seguretat en entorn Cloud

A mesura que les organitzacions traslladen bona part de la seva infraestructura al núvol, els seus plantejaments i polítiques de seguretat tradicionals poden seguir sent vàlides per a algunes instàncies, però s'han d'adaptar a les arquitectures distribuïdes i híbrides. Per tant, cal tenir un enfocament diferent per abordar la seguretat en aquest nou entorn.

Assegurar la infraestructura Cloud

Comencem per la seguretat de la infraestructura al núvol. En aquest sentit, hem de tenir en compte una combinació de polítiques, millors pràctiques i tecnologies per garantir que els recursos al núvol (inclosos els entorns informàtics, les aplicacions i les bases de dades) estiguin segurs davant les amenaces (tant internes com externes) del núvol.

Aquesta seguretat de la infraestructura al núvol no s'ha de confondre amb els serveis de seguretat al núvol que ofereixen diversos serveis de seguretat a través d'un model de negoci de software com a servei.

De fet, la seguretat al núvol consisteix en diferents controls, procediments i tecnologies per protegir els sistemes i dades crítics de qualsevol organització contra les amenaces de ciberseguretat i els riscos derivats dels entorns al núvol.

Segons el tipus de computació al núvol que utilitzem, podem adoptar un tipus de seguretat al núvol o una altra:

• Serveis de núvol públic operats per un proveïdor de núvol públic. Aquí s'hi inclouen el software com a servei (SaaS), la infraestructura com a servei (IaaS) i la plataforma com a servei (PaaS).
• Serveis de núvol privat operats per un proveïdor de núvol públic. Aquests serveis proporcionen un entorn informàtic dedicat a un client, operat per un tercer.
• Serveis de núvol privat operats per personal intern. És a dir, una evolució del centre de dades tradicional, en què el personal intern opera un entorn virtual que controla.
• Serveis de núvol híbrid. Aquí es combinen configuracions de computació en núvol privat i públic, allotjant càrregues de treball i dades en funció de l'optimització de factors com el cost, la seguretat, les operacions i l'accés. En l'operació hi participarà el personal intern i, opcionalment, el proveïdor del núvol públic.

Securitzar les aplicacions en entorn Cloud

Si abordem la necessària necessitat d'assegurar les aplicacions de software basades en el núvol, hem de parlar també de polítiques, eines, tecnologies i regles a escala d'aplicació per mantenir la visibilitat de tots els actius, protegir les aplicacions basades en el núvol dels ciberatacs i restringir l'accés només als usuaris autoritzats.

La seguretat de les aplicacions al núvol és essencial per a les organitzacions que utilitzen aplicacions web que s'executen en un entorn multinúvol allotjat per un proveïdor de núvol de tercers. Aquests serveis o aplicacions al núvol augmenten significativament la superfície d'atac per naturalesa, ja que proporcionen molts nous punts d'accés perquè els atacants entrin a la xarxa.

Bones pràctiques per assegurar les aplicacions Cloud

En qualsevol cas, i com sempre en seguretat, hi ha una sèrie de recomanacions de bon ús de la tecnologia per evitar comprometre la seguretat, tant de la infraestructura com de les aplicacions al núvol. Algunes són:

• Aprofitar l'autenticació multifactor (AMF), atès que és un dels mecanismes més eficaços per limitar el risc que el compte es vegi compromès.
• Enginyeria social. Els errors humans són una de les causes més comunes de les violacions de dades. Cal formar els empleats i implantar eines, com filtres d'URL, antimalware i tallafocs intel·ligents.
• Automatització. Les empreses han d'automatitzar tant com sigui possible la supervisió de les aplicacions al núvol, la resposta als incidents i la configuració. Els fluxos de treball manuals són propensos als errors i una causa comuna de descuit o filtració de dades.
• Privilegis mínims. Els comptes d'usuari i les aplicacions han d'estar configurats per accedir únicament als actius necessaris per a la seva funció empresarial, aplicant el principi de mínim privilegi en totes les plataformes al núvol.
• Seguretat de les dades. Especialment en les aplicacions, bona part de l'enfocament de seguretat ha de garantir la integritat i inviolabilitat de les dades. Si pot utilitzar sistemes d'encriptació, millor.
• Auditories i tests. Finalment, és recomanable fer auditories constants, així com proves per garantir que tot funciona correctament i que els sistemes i polítiques de seguretat són capaços de donar resposta a un possible incident de seguretat.