¿Cómo funciona la Ciberseguridad en la Nube?

Este fenómeno trae grandes desafíos en materias de seguridad. Tanto el cloud computing como la ciberseguridad, se han convertido en los puntos que encabezan las listas de prioridades de las empresas con un alto componente tecnológico. Así lo evidenció el Informe “Construyendo confianza en un cielo nublado”, de McAfee, del que podemos resaltar:

• Los servicios en la nube son utilizados por más del 90% de las organizaciones de todo el mundo.
• 49% de los profesionales encuestados afirmó que no habían ralentizado su adopción de la nube a causa de la falta de personal especializado en ciberseguridad.
• Los profesionales que confían en nubes públicas superan en proporción de 2 a 1 a aquellos que desconfían de ellas.
• Un 52% de los encuestados aseguran haber rastreado un malware o infección en una aplicación SaaS.

Datos como estos nos permiten concluir que las empresas confían cada vez más en los servicios en la nube, pero que la seguridad es un factor al cual deben prestar especial atención.

¿Qué están haciendo las empresas líderes de servicios en la nube en materia de ciberseguridad?

Los principales proveedores de servicios en la nube como Amazon Web Services o Google Cloud, sobre los cuales operan gran parte de los servicios en la nube ofrecidos en el mercado, han abordado de manera proactiva sus controles de seguridad realizando verificaciones independientes de los políticas de seguridad, privacidad y cumplimiento, poniendo estos informes a disposición del público.

Las tendencias en ciberseguridad

Durante la Cumbre de Gestión de Riesgos y Seguridad de Gartner 2017, el analista de esta empresa de consultoria, Earl Perkins, presentó las que serían las tendencias de la ciberseguridad en la Nube para este año.

Entre estas, habló de los crecientes volúmenes de información que tendrán que manejar los expertos en seguridad cibernética, advirtiendo que los cambios en la materia requerirán nuevos tipos de habilidades en ciencia de datos y análisis, haciendo de la inteligencia de seguridad artificial algo imprescindible.

Además, Perkins considera fundamental invertir en estrategias de detección y respuesta, parte del presupuesto gastado en prevención de riesgos y ataques. No todo se puede prevenir, pero sí es posible saber cómo responder.

Impedir todos los ataques es imposible y, según el experto, es en el terreno de la detección, respuesta y solución donde debe hacer foco la ciberseguridad moderna.

Por lo demás, tendremos que esperar a que tanto la nube como la ciberseguridad sigan evolucionando al ritmo que lo han hecho, porque la adopción del cloud computing es una realidad en la que todas las empresas del mundo habrán de sumergirse.

Contar con una certificación ISO es uno de los parámetros más importantes a la hora de elegir un proveedor de servicios en la nube. Dicha certificación garantiza altos estándares en la seguridad de la información, uno de los activos más valiosos para las empresas que prestan servicios DBaaS (Data Base as a Service, o Base de Datos como Servicio), al igual que aquellas cuyo modelo es el SaaS (Software as a Service).

Al respecto, las normas ISO 27001, 27017 y 27018 constituyen algunos de los principales estándares para resguardar la ciberseguridad y garantizar la integridad de la información alojada en la nube, servicio ofrecido por empresas como Amazon Web Services (AWS), Google Cloud o Microsoft Azure.

Normas ISO para la seguridad en la nube

1. ISO 27001

A grandes rasgos, la norma ISO 27001 es un estándar generado por la Organización Internacional de Normalización (ISO, por sus siglas en inglés) que describe la manera correcta de gestionar la seguridad de la información al interior de una empresa.

Se trata de la principal norma de seguridad -a nivel global- para el manejo de la información. Su eje central es el Sistema de Gestión de la Seguridad de la Información (SGSI), el cual debe realizarse a través de un "un proceso sistemático, documentado y conocido por toda la organización", tal como lo establece el propio organismo.

Entendiendo que es prácticamente imposible garantizar la total seguridad de la información, la norma ISO 27001 apunta a que las organizaciones conozcan los riesgos asociados al manejo de información, asumiéndolos, minimizándolos y gestionándolos por medio de un proceso documentado, sistemático, estructurado, eficiente, repetible y adaptable a los eventuales cambios que pudieran presentar los riesgos, el entorno y la tecnología.

Para obtener una certificación ISO 27001, la empresa debe cumplir con ciertos pasos:

Etapa previa. Aquí, las empresas deben implementar 14 pasos básicos para iniciar su proceso hacia la certificación. Entre los principales, están la utilización de una metodología de gestión de proyectos, contar con el apoyo de toda la dirección en el proceso de implementación, definir el alcance del sistema de seguridad, determinar una política de evaluación de riesgos, implementación de controles y medidas correctivas.

Auditoría de revisión. Personal externo revisará que lo anterior se cumpla para dar curso al proceso de certificación.

Auditoría principal. Aquí, un grupo de auditores verificará que las medidas anteriores cumplan con sus objetivos. De estar todo en orden, la empresa puede ser certificada.

Revisiones periódicas. Una vez aprobada la certificación, el organismo monitoreará dicha empresa durante 3 años para garantizar que cumpla con los esfuerzos de protección de datos.

2. ISO 27017

La norma ISO 27017 es un estándar de seguridad que proporciona controles tanto para clientes como para proveedores de servicios en la nube.

Su importancia radica en la precisión con la que establece las relaciones entre clientes y proveedores de servicios en la nube, determinando qué puede exigir el cliente y qué información debe proporcionarle el proveedor.

El cumplimiento de esta guía permite fortalecer la ciberseguridad y la gestión del servicio referente a arquitectura, medidas de seguridad, funcionalidades disponibles, tecnología de cifrado y localización geográfica de los datos.

Esta norma contempla 37 controles en la nube -basados en la ISO 27002-, junto a 7 adicionales que permiten fortalecer la seguridad de los servicios cloud.

3. ISO 27018

Finalmente, la norma ISO 27018 constituye un compendio de buenas prácticas -referentes a controles de protección de datos- para servicios cloud, enfocada específicamente en los proveedores.

Su objetivo central es delimitar las normas, procedimientos y controles que los proveedores -en su calidad de "procesadores de datos"- deben aplicar. Además, garantiza el cumplimiento de la normativa legal en cuanto al manejo de datos personales.

Proveedores de servicios cloud que cumplen con las normas ISO

Puesto que los estándares anteriormente abordados apuntan a fortalecer la ciberseguridad en la nube, los principales proveedores del mercado deben ceñirse a ellos.

Por un lado, Amazon Web Services (AWS) transparenta el cumplimiento de todas las normativas anteriores, además de cumplir con leyes y regulaciones específicas de determinados países.

Por otro, Google Cloud también pone a disposición de los usuarios el listado de normativas, certificaciones y regulaciones con que cumple para garantizar la ciberseguridad de los datos de sus clientes. Desde luego, el servicio se cumple con los estándares anteriormente revisados.

Cabe destacar también a Microsoft Azure, servicio que se ha apalancado en la basta experiencia que tiene Microsoft ofreciendo software empresarial para construir una infraestructura en la nube segura y confiable, que cuenta con todas las certificaciones mencionadas anteriormente.

Contar con estas certificaciones le ha permitido a AWS, Google Cloud y a Microsoft Azure, posicionarse como los mejores proveedores de servicios en la nube. Gracias a los controles implementados, tanto el modelo DBaaS como el SaaS se han vuelto más seguros, confiables, transparentes y efectivos.

Mientras que quienes cuentan con un servidor local propio son en la mayoría de los casos los más afectados, aquellos que utilizan sistemas de cómputo en la nube, tales como Google Cloud , Amazon Web Services (AWS) o Microsoft Azure, no están exentos de tales amenazas.

A continuación, revisaremos algunas de las mejores prácticas para prevenir y mitigar este tipo de ataques en configuraciones de cloud computing, pero primero, a lo básico.

¿En qué consiste un ataque DDoS?

Un ataque DDoS (Distributed Denial of Service) es un intento de agotar los recursos disponibles para una red, aplicación o servicio para que sus usuarios legítimos no puedan accederla.

Hace algunos años, e impulsado en gran parte por el aumento del “hacktivismo”, se ha visto un renacimiento en los ataques DDoS que ha llevado a la innovación en las áreas de herramientas, objetivos y técnicas utilizadas para ejecutarlos.

En la actualidad, la definición de "ataque DDoS" continúa complicandose. Los hackers utilizan una combinación de ataques de gran volumen, junto con infiltraciones más sutiles y difíciles de detectar que apuntan a las aplicaciones, así como a la infraestructura de seguridad de red existente, como firewalls e IPS (sistemas de protección contra intrusiones).

¿Cómo evitamos estos ataques al trabajar con servidores en la nube?

Desarrollando soluciones escalables: Una infraestructura escalable es fundamental para un sistema bien estructurado, sin embargo, también es una técnica de gran efectividad a la hora de evitar ataques DDoS. Escalar para cumplir con los volúmenes de tráfico adicionales, ya sean válidos o de un ataque DDoS, aumentará la capacidad de tus servidores para seguir funcionando.

Minimizando el área de superficie de ataque: En este caso es clave desacoplar las partes de tu infraestructura de red. Por ejemplo, al ejecutar sitios web públicos, separa la aplicación de la base de datos y, si es posible, los medios y su contenido estático también. Las aplicaciones desacopladas limitan el acceso a Internet a los componentes críticos del sistema, protegiéndose de un ataque.

¿Cómo mitigamos un ataque?

Aislando el tráfico interno de la red exterior: Implementando instancias sin IP públicas a menos que sea necesario. Por ejemplo, configurando una puerta de enlace NAT o un bastión SSH para limitar el número de instancias que están expuestas a Internet. Una vez disponible, implementamos el equilibrio interno de carga para que las instancias internas de tus clientes accedan a los servicios implementados internamente evitando así exposición al mundo externo.

Equilibrando la carga con la ayuda de Proxys: AWS y Google Cloud poseen herramientas de balance de carga HTTP(S) o balance de carga SSL proxy, con lo cual la infraestructura de sus servidores cloud es capaz de mitigar y absorber muchos ataques de Capa 4 y siguientes, tales como inundación SYN, inundación de fragmento de IP, etc. Al contar con una herramienta de balance de carga HTTP(S) en múltiples regiones, logran dispersar cualquier posible ataque a través de las instancias de sus servidores alrededor del globo.

En conclusión, si bien los ataques DDoS continúan siendo una amenaza permanente para las infraestructuras cloud, existen muchas maneras de estar preparados y enfrentarlos de manera exitosa para mantener tus sitios web o aplicaciones siempre disponibles en caso de recibir un intento de saturar nuestra red. Siempre es necesario tener estos datos en mente para mantener una red saludable y estable.