La nube pública está diseñada para permitir agilidad, escalabilidad y adaptabilidad. El resultado es una proliferación masiva de servicios de nube pública y API ofrecidos por proveedores de plataformas cloud. Estos ayudan a las organizaciones a aumentar la tasa de innovación mucho más allá de lo que podrían en el centro de datos privado. Si bien estos servicios en la nube brindan beneficios atractivos, también aumentan la complejidad de la administración. Cómo gestionar el riesgo de la expansión de las nubes con una gestión centralizada.
Esta complejidad de la que hablábamos lleva a potenciales y costosos errores de configuración que pueden comprometer los recursos críticos y la información sensible.
Cómo gestionar el riesgo de la expansión de las nubes con una gestión centralizada
La mala configuración es una amenaza inminente en la nube. Los entornos de nube pública incluyen efectivamente un número infinito de combinaciones de configuración. Esto ofrece una larga lista de oportunidades para configuraciones incorrectas. Los usuarios también pueden cambiar la configuración en cualquier momento, introduciendo una configuración incorrecta donde no la había antes. Donde con la automatización estos errores de configuración se pueden duplicar rápidamente.
Para la nube pública, las configuraciones incorrectas son un problema grave. Gartner afirmó recientemente que el 99% de los fallos de seguridad en la nube son culpa del cliente.
Según otro informe, la mayoría de las configuraciones incorrectas de la nube son el resultado de usuarios sin experiencia. También son culpa de no actualizar las herramientas de seguridad diseñadas para monitorizar y validar configuraciones. Casi el 40% se debe a los esfuerzos para fusionar datos durante las actividades de fusiones y adquisiciones. Otras veces, un depósito de almacenamiento en la nube se deja abierto al público, lo que permite que cualquiera pueda acceder a él, sin necesidad de herramientas o habilidades especiales.
Los resultados de una mala configuración en la nube pueden ser devastadores. Entre 2018 y 2019, se expusieron más de 33 mil millones de registros a medida que las empresas se mudaban a la nube sin tener la seguridad adecuada. Durante este tiempo, la cantidad de registros expuestos por configuraciones incorrectas de la nube aumentó en un 80% al igual que el coste total para las empresas asociadas con esos registros perdidos.
Asegurar el acceso y administrar aplicaciones y recursos críticos
Abordar este desafío debe comenzar priorizando el acceso seguro a los recursos cloud. Especialmente esto se debe hacer en las aplicaciones críticas para el negocio. El acceso es especialmente relevante ya que el número de personas que tocan la infraestructura de la nube ha aumentado drásticamente en los últimos años. En el pasado, sólo un puñado de personas en una organización, principalmente los equipos de DevOps, tenían acceso a la infraestructura cloud. Hoy en día, la implementación de aplicaciones y la realización de cambios de ingeniería en una infraestructura determinada se ha vuelto mucho más común.
Por supuesto, hacer un seguimiento de las aplicaciones más críticas puede parecer sencillo. Sin embargo, a medida que las aplicaciones se multiplican y el uso de la nube evoluciona, las suposiciones sobre qué aplicaciones son más valiosas a menudo son erróneas. Para mantenerse al día, las organizaciones deben monitorizar los aumentos de uso de aplicaciones a lo largo del tiempo. De este modo, las aplicaciones más críticas no sólo se van a priorizar para garantizar experiencia de usuario y disponibilidad, sino que el acceso se puede controlar para que los errores sean mínimos.
La nube transforma el negocio, pero sólo si mantenemos el control
La expansión de la nube puede generar rápidamente un riesgo significativo para cualquier organización que no tome medidas proactivas. Una solución de gestión de seguridad en la nube verdaderamente centralizada no sólo debe integrarse de forma activa en cada plataforma cloud que se implemente. Debe también servir como un punto central de verdad que cubra toda la infraestructura distribuida. Esto incluye la variedad de servicios usados en la nube desde IaaS, a través de PaaS a aplicaciones y recursos SaaS que operan tanto dentro como fuera de la red.
Dicha estrategia juega un papel fundamental en la prevención de problemas como configuraciones incorrectas. La IT oculta también afecta a las organizaciones y ponen en riesgo operaciones digitales completas, sin importar el tamaño de la empresa.