Es un tema algo redundante, pero creemos que debemos atacarlo desde varios frentes. Incluso cuando nuestras cargas de trabajo en la nube sean complejas y los datos muy privilegiados, el cliente sigue teniendo que asegurar esto.
Digo que es necesario atacar este tema varias veces y desde varios frentes, porque no hay día que no ocurra una «desgracia» por entender mal la responsabilidad compartida de la que ya os hemos hablado alguna que otra vez por aquí.
Sí, la seguridad cloud también es cosa tuya, empresario
Un nuevo informe del proveedor de administración de identidad y acceso (IAM) Centrify ha expuesto que, si bien muchas organizaciones entienden los conceptos básicos de responsabilidad compartida, la creciente complejidad de las cargas de trabajo significa que se produce una confusión cuando se trata de acceso privilegiado.
El estudio, titulado «Reducción del riesgo en las migraciones en la nube: el control del acceso privilegiado a entornos híbridos y multicloud» encuestó a (una vez más) más de 700 usuarios de Reino Unido, Estados Unidos y Canadá. Tres de cada cinco (60%) de los encuestados dijeron que la seguridad era el desafío principal en lo que respecta a la migración a la nube en general, mientras que más de la mitad (51%) afirmó que estaban adoptando diferentes enfoques para asegurar las cargas de trabajo en la nube en comparación con las instalaciones locales.
Sin embargo, las respuestas comienzan a desmoronarse después de esto. El 60% de los encuestados dijo que creía que los proveedores de la nube eran responsables de asegurar el acceso privilegiado. Esto demuestra que, si bien algunos datos pueden tener más privilegios que otros, todo se encuentra en el mismo grupo.
Los proveedores en la nube, como se señala con frecuencia, son responsables de la seguridad en dicha nube (infraestructura y uptimes) mientras que la responsabilidad del usuario es la seguridad EN la nube, esto es, aplicaciones y datos. Si bien no pueden cortar por lo sano, los proveedores han tomado gradualmente medidas más proactivas como por ejemplo AWS que lanzó una nueva oferta para mitigar este tipo de malentendidos.
Para Centrify, el enfoque de la compañía en la administración de acceso privilegiado (PAM) se puede ver en otras respuestas de la encuesta. Más de dos tercios (68%) de los encuestados dijeron que no estaban implementado las mejores prácticas de PAM para entornos en la nube, mientras que más de tres cuartas partes (76%) dijeron que usan más de un directorio de identidad para su estrategia de nube, lo que nos pone en riesgo de ataques de «expansión de identidad».
Las empresas vieron predominantemente la aplicación de controles de acceso privilegiados como una forma de asegurar el acceso a la gestión de servicios en la nube, citado por el 71%, mientras que el acceso seguro a las cargas de trabajo y los contenedores en la nube fue citado por más de la mitad (53%). El informe señala que cuanto más específico es el privilegio, más disminuye el interés en asegurarlo.
En términos de las mejores prácticas que usan las empresas, como era de esperar, la más popular fue la identificación multifactor en todas las cuentas de acceso privilegiado, aunque sólo el 60% de los encuestados las citó. Los factores restantes fueron usados por menos de la mitad de los encuestados, desde operar un modelo de «acceso menos privilegiado» (43%) hasta el monitoreo de sesión privilegiada (38%). Cabe señalar que muchas de estas preguntas se reducen a cuántos clientes tienen una oferta de seguridad «all in one», en comparación con una estrategia más fragmentaria.
Centrify argumenta que hay cinco acciones clave que las empresas deberían tomar: comprender el acceso privilegiado a los entornos de nube es responsabilidad de la empresa, reducir el riesgo asociado con la expansión de la identidad, imponer un modelo de privilegios mínimos, emplear un modelo de seguridad común y modernizar el enfoque de seguridad, enfocándose en PAM nativo de la nube.
«Sabemos que el 80% de las violaciones de datos involucran abuso de acceso privilegiado, por lo que es fundamental que las empresas comprendan de qué son responsables cuando se trata de la seguridad en la nube y adopten un enfoque de privilegios mínimos para controlar el acceso privilegiado a los entornos en la nube.»