¿Qué es la seguridad de la infraestructura en la nube?

La seguridad de la infraestructura en la nube hace referencia a las tecnologías, los controles y las políticas diseñados para mejorar la postura de seguridad de la infraestructura en la nube subyacente. Una seguridad de la infraestructura en la nube sólida ayuda a proteger contra amenazas como los eventos de DDoS, la pérdida de datos y los errores de configuración que podrían provocar eventos de seguridad inesperados. La seguridad de la infraestructura en la nube es un componente fundamental de la seguridad en la nube.

El modelo de responsabilidad compartida es un sistema que determina quién es responsable de las medidas de ciberseguridad específicas entre un proveedor de servicios en la nube y usted. Las responsabilidades pueden recaer en usted, en el proveedor de servicios en la nube o ser una responsabilidad compartida entre ambas partes.

Estas son las principales responsabilidades de cada parte en el modelo de responsabilidad compartida.

Responsabilidades del proveedor de servicios en la nube

Un proveedor de servicios en la nube es responsable de proteger la infraestructura física que ejecuta sus servicios en la nube. El hardware, el software, las redes y cualquier instalación adjunta a los servicios son responsabilidad del proveedor de servicios en la nube.

Sus responsabilidades

Sus responsabilidades en el modelo de responsabilidad compartida están determinadas por los servicios en la nube que seleccione. En conjunto, estos servicios determinan la cantidad de trabajo de configuración que debe realizar como parte de sus responsabilidades en materia de seguridad. Usted es responsable de tareas como la administración de los datos, lo que incluye las opciones de cifrado, la clasificación de los activos y el uso de las herramientas de Identity and Access Management (IAM) para aplicar los permisos correspondientes.

Responsabilidades compartidas

Algunos controles se aplican tanto a la capa de la infraestructura del proveedor como a las capas de los clientes, pero en contextos o perspectivas independientes. Cuando se comparte la responsabilidad, el proveedor de servicios en la nube aplica los requisitos de la infraestructura y el cliente proporciona una implementación de controles durante el uso de los servicios en la nube. Algunos ejemplos de esto son la administración de la configuración, el conocimiento y la formación.

La infraestructura en la nube sustenta todos los servicios en la nube, por lo que su seguridad es vital para todas las cargas de trabajo en la nube.

Estas son varias razones por las que la seguridad de la infraestructura en la nube es importante para las empresas.

Ayude a prevenir el acceso no autorizado en entornos en la nube

Los actores de amenazas atacan los entornos en la nube debido a los enormes volúmenes de datos que contienen. Las configuraciones incorrectas, los controles débiles o las vulnerabilidades subyacentes de la infraestructura en la nube pueden introducir puntos de entrada para grupos externos no autorizados. Las medidas de seguridad de la infraestructura en la nube deben identificar y controlar estos puntos de entrada, lo que ayuda a mantener seguros los datos de la empresa y promueve la confidencialidad de los datos.

Reduzca las interrupciones en la continuidad de la empresa

Las ciberamenazas específicas, como los eventos de denegación de servicio distribuida (DDoS), tienen como objetivo reducir la capacidad de una organización para funcionar según lo esperado. Las medidas de seguridad de la infraestructura en la nube, como la segmentación de la red, ayudan a defenderse de forma proactiva contra las amenazas internas y externas y ayudan a que las operaciones empresariales mantengan un tiempo de actividad elevado.

Mantenga la confianza

Cuando una organización se ve envuelta en un evento de ciberseguridad, en particular uno relacionado con los datos de los clientes almacenados en la nube, puede provocar daños a la reputación. La seguridad de la infraestructura en la nube protege mejor los servicios virtualizados que se ejecutan en la nube, lo que ayuda a garantizar que la información confidencial de la empresa permanezca privada.

Las soluciones de seguridad de la infraestructura en la nube suelen ser nativas en la nube en sí mismas.

Estos son los componentes clave de la seguridad de la infraestructura en la nube.

Administración de identidades y accesos

Las organizaciones alojan datos e información confidenciales en la nube y ayudan a garantizar que los usuarios autorizados puedan acceder a estos recursos en la nube. La administración de identidades y accesos (IAM) define qué roles de usuario pueden interactuar con los datos o localizarlos. Además de los sistemas de permisos, IAM puede verificar la propiedad de las cuentas en la nube mediante la autenticación multifactor, lo que ayuda a mantener alejados a los usuarios no autorizados.

Registros y telemetría

Los servicios de registro y telemetría tienen como objetivo documentar acciones y eventos específicos en un sistema en la nube. Al registrar cuidadosamente los eventos de acceso, el movimiento de la información y las acciones de ciberseguridad, las organizaciones logran una mayor visibilidad de su infraestructura en la nube. La telemetría operativa emitida por los sistemas críticos puede crear un registro de información, que se utiliza con frecuencia en las auditorías.

Análisis

Las soluciones de análisis pueden usar la telemetría operativa y los datos de registro existentes para determinar incoherencias, anomalías o eventos inesperados que requieren una investigación más profunda. Los sistemas de análisis, como los de administración de eventos e información de seguridad (SIEM), agregan puntos de datos para alertar sobre posibles eventos de seguridad y hacer un seguimiento y ayudan a garantizar que los sistemas de supervisión de seguridad de la infraestructura en la nube funcionen según lo esperado.

Seguridad de redes y dispositivos

Los empleados acceden a su entorno en la nube y a los recursos en la nube almacenados desde una amplia variedad de ubicaciones y dispositivos. Para fortalecer esta amplia superficie contra posibles amenazas, puede implementar una variedad de soluciones. Estas soluciones incluyen la seguridad de redes y dispositivos para controlar el tráfico entrante y saliente, filtrar el tráfico malintencionado y aislar las cargas de trabajo para garantizar que las redes estén compartimentadas.

Cifrado de datos

La seguridad de los datos es el proceso general de garantizar que todos los datos, tanto en tránsito como en reposo, estén protegidos contra el acceso no autorizado. La seguridad de la infraestructura en la nube puede usar políticas de clasificación de datos para etiquetar los datos en función de su confidencialidad y aplicar diversas prácticas de seguridad para proteger los datos. Puede cifrar los datos en reposo y en tránsito para asegurarse de que solo las partes autorizadas puedan acceder a la información confidencial. La seguridad de los datos también implica desarrollar e implementar estrategias de prevención de pérdida de datos para mejorar la seguridad de la información.

Estas son algunas de las prácticas recomendadas para mejorar su estrategia de seguridad en la nube y ayudar a proteger la infraestructura de computación en la nube subyacente.

Cree capas de red

La creación de capas de red implica organizar los componentes de la carga de trabajo en grupos lógicos en función de su función y sensibilidad, como servidores web conectados a Internet o bases de datos de backend. Al colocar estos componentes en subredes independientes, ayuda a establecer límites claros y a crear oportunidades para ayudar a controlar el flujo del tráfico entre ellos.

Este enfoque por capas respalda una estrategia de defensa en profundidad, en la que cada capa actúa como un punto de control de seguridad. Por ejemplo, solo los recursos de la capa más externa deberían estar expuestos a Internet, mientras que los sistemas más confidenciales, como las bases de datos, permanecen aislados y únicamente se puede acceder a ellos a través de redes internas.

Las nubes privadas virtuales y la infraestructura en la nube privada ayudan a crear redes e infraestructuras aisladas de forma lógica en la nube. La creación de políticas de seguridad coherentes que definan las redes y el uso de la nube ayuda a promover un entorno en la nube seguro.

Controle el flujo de tráfico

El control del flujo de tráfico puede implicar la segmentación del entorno para permitir únicamente la comunicación necesaria entre las cargas de trabajo, los usuarios y los sistemas externos. Este control de tráfico incluye la administración del tráfico entre la red e Internet (tráfico de norte a sur) y entre la red e Internet (tráfico de este a oeste).

Un error común es confiar únicamente en las defensas perimetrales o dar por sentada la confianza dentro de las capas de red. En cambio, las prácticas recomendadas hacen hincapié en un enfoque de privilegios mínimos, en el que se concede el acceso punto a punto, entre los usuarios y los activos en la nube, incluidos los servidores en la nube. Controlar el tráfico entrante y saliente de esta manera ayuda a limitar el impacto del acceso no autorizado y mejora los tiempos de detección y respuesta durante los eventos de seguridad.

Implemente protección basada en la inspección

La implementación de protección basada en la inspección significa examinar el tráfico a medida que se mueve entre las capas de red a un nivel detallado. Por ejemplo, analizar el contenido real, los metadatos y el comportamiento de los datos en tránsito. La protección basada en la inspección le permite detectar anomalías o posibles accesos no autorizados en función de la inteligencia de amenazas en tiempo real. Puede crear reglas basadas en el contexto de la aplicación, la identidad del usuario o las amenazas conocidas y hacer que sean más rigurosas en cargas de trabajo prácticamente confidenciales.

Automatice la protección de la red

La automatización de la protección de la red mediante prácticas de DevOps, como la infraestructura como código (IaC) y las canalizaciones de CI/CD, ayuda a las organizaciones a implementar configuraciones de red más seguras, coherentes y repetibles. En caso de que se produzca un cambio, las canalizaciones automatizadas inician los flujos de trabajo de prueba e implementación. Los cambios se implementan primero en un entorno de ensayo para su validación, donde puede comprobar que funcionan según lo previsto antes de publicarlos.

Marco de AWS Well-Architected

El Marco de AWS Well-Architected ofrece un conjunto de prácticas recomendadas y prácticas de diseño de la seguridad en la nube para ayudar a proteger las cargas de trabajo de AWS. El pilar de seguridad de este marco ofrece una guía prescriptiva sobre cómo proteger mejor sus sistemas, datos e información con una seguridad en la nube sólida y en capas y medidas de seguridad proactivas.

Al revisar las directrices de Well-Architected con frecuencia, las organizaciones pueden mejorar su postura de seguridad en la nube, lo que ayuda a garantizar que las estrategias de seguridad de la infraestructura en la nube sigan siendo eficaces.

La seguridad en la nube es una de las principales prioridades de AWS, y el diseño de nuestra infraestructura global respalda la continuidad de las operaciones. Mantenemos la confianza con los clientes y socios al proporcionarles las herramientas y los servicios necesarios para ayudar a proteger las aplicaciones, los datos y las cargas de trabajo a escala. La infraestructura de AWS abarca varias regiones geográficas y zonas de disponibilidad, cada una diseñada con capas de controles físicos y lógicos. Estas medidas de protección se basan en modelos de amenazas continuos y pruebas rigurosas a lo largo del ciclo de vida.

AWS ofrece una gama de servicios de seguridad de la infraestructura en la nube para ayudar a proteger la seguridad de la infraestructura de su organización en AWS.

• Amazon GuardDuty ayuda a proteger sus cuentas de usuario, cargas de trabajo y datos de AWS con una detección inteligente de amenazas.
• AWS Identity and Access Management (IAM) administra y escala de forma segura el acceso a las cargas de trabajo y al personal con el fin de impulsar la agilidad e innovación en AWS.
• Amazon Inspector detecta de manera automática cargas de trabajo, como las instancias de Amazon Elastic Compute Cloud (Amazon EC2), imágenes en contenedores y funciones de AWS Lambda, además de repositorios de código, y los analiza para encontrar vulnerabilidades de software y exposición involuntaria de red.
• Amazon Macie detecta información confidencial con machine learning y coincidencia de patrones, brinda visibilidad sobre los riesgos de seguridad y habilita medidas de protección automatizadas contra esos riesgos.
• AWS Security Hub prioriza los problemas de seguridad críticos y lo ayuda a responder a escala para proteger su entorno. Detecta problemas críticos al correlacionar y enriquecer las señales para convertirlas en información procesable, lo que permite una respuesta optimizada. AWS Security Hub incluye la administración de la postura de seguridad en la nube (CSPM) para comprender su postura de seguridad actual.

Cree una cuenta gratuita hoy mismo para comenzar a utilizar la seguridad de la infraestructura en la nube en AWS.