La nube pública ciertamente ha facilitado en gran medida la vida de los negocios, aunque, como hemos visto aquí varias veces ya que es un tema recurrente, también crea una serie de puntos débiles y ciegos que traen consigo serios desafíos de seguridad.
La colección de servicios y aplicaciones en la nube continúa aumentando exponencialmente, haciendo que la lógica de acceso, los conjuntos de permisos, los recursos, las capacidades y los riesgos sean mucho más difíciles de administrar.
¿Cómo definimos el acceso?
La autorización ya no es una característica potestativa, sino que es un imperativo. Los permisos y el acceso para las identidades de los usuarios deben estar bien definidas y verificadas, y los usuarios con exceso de privilegios también deben estar identificados y sus privilegios, catalogados.
Al planificar una infraestructura en cloud, debemos tener en cuenta todo esto junto con lo que nos ofrece nuestro proveedor en la nube. Aplicar un modelo al principio con privilegios mínimos y definir permisos para cada entidad debería ser la tónica general.
Esto permitirá concentrarse en actualizar el acceso y las definiciones de permisos cada vez que se introduzca una nueva posición o aplicación en la nube para nuestra empresa. Sólo después de haber establecido esta estrategia, podremos adaptarnos a este mundo en constante cambio a la vez que reducimos el riesgo de errores de configuración que puedan ponernos en más de un aprieto.
Tienes que conocer tu propia infraestructura
El primero de los pasos, que viene a ser un resumen de lo que he señalado arriba, es saber qué usuarios pueden acceder a qué y por qué pueden. En un entorno en la nube, es aún más importante definir privilegios sólidos. Cada entidad, máquina o espacio de almacenamiento debe tener su propio proósito específico, y la comunicación entre los servicios debe ser de acuerdo a las necesidades y el uso. Una vez que hayamos establecido estos límites para cada recurso, será mucho más sencillo monitorizar la actividad extraña y acceder a los cambios. Podremos concentrarnos en actividades consecuentes, en lugar de apagar incendios.
Aplicar un principio de privilegio mínimo
Delegar permisos de acceso a roles, con cada acceso de autorización sólo a los recursos que necesitamos. Indentifica usuarios con demasiados permisos tal y como se hace en un entorno local. Cuando se reducen el número de entidades con acceso a información confidencial, es más fácil monitorizarlas e identificar comportamientos inusuales o nuevos en nuestra red en la nube. Recordemos que nunca se sabe dónde empezará una violación, ya sea por credenciales robadas de un admin o una vulnerabilidad de día cero en una aplicación web.
Separar los recursos
La nube brinda un espacio de almacenamiento prácticamente ilimitado en todo el mundo. Úsalo, pero, al igual que no pondrías un servidor proxy en la misma máquina que donde está nuestra base de datos o de código local, no colocaremos todos nuestros datos en un mismo almacenamiento o conjunto de permisos en la nube. ¿Habéis oído alguna vez la recomendación de no llevar en la misma cartera el dinero, las tarjetas de crédito y las de identificación? pues es el mismo principio.
Administra TODAS las entidades de tu empresa
Debemos definir cómo podremos implementar y mantener nuestras pautas de seguridad en un entorno cloud. Recordemos que es un entorno dinámico y que los usuarios a menudo cambian de puesto de trabajo. Nuestras pautas de seguridad en la nube que valen hoy, podrían no valer mañana. Administrar muchos roles y permisos para todos los recursos puede ser algo confuso, con lo que se recomienda buscar una plataforma que nos ayude en esta tarea y que ayude a expandir esto a la vez que nos expandimos nosotros.
Debemos mantenernos actualizados
Como consejo final, decir que justo cuando nuestra empresa crece y nuestros productos mejoran, los proveedores de cloud actualizan su infraestructura y amplían sus herramientas de seguridad. Debemos asegurarnos de seguir los cambios en las pautas de seguridad de nuestro proveedor cloud y actualizarnos al conjunto más sólido de herramientas de seguridad que ofrezcan.