Las configuraciones incorrectas en almacenamiento cloud siguen siendo el error común. Los servicios de almacenamiento en la nube mal configurados son comunes en la gran mayoría de las implementaciones cloud. Se espera que el problema se agrave, según un análisis.
El hallazgo proviene del proveedor de seguridad Accurics. Su último Informe sobre el estado de DevSecOps encontró que había errores de configuración en el 93% de las implementaciones cloud analizadas. La mayoría tiene al menos una exposición de red donde un grupo de seguridad dejó paso.
Lo más preocupante es que muchas configuraciones erróneas emergentes son simples. El informe lamentó que en los últimos meses se haya observado «la serie habitual de violaciones de datos en la nube» como el compromiso de los servicios de almacenamiento. Esto llevó a la exposición de 845 GB de información personal de ocho aplicaciones de citas populares.
Las configuraciones incorrectas en almacenamiento cloud siguen siendo el error común
Se están haciendo evidentes otras áreas problemáticas emergentes. A pesar de la amplia disponibilidad de herramientas como HashiCorp Vault y AWS Key Management Service, aparecieron claves privadas codificadas en casi tres cuartas partes (72%) de las implementaciones analizadas. Se encontraron credenciales desprotegidas almacenadas en archivos de configuración de contenedor en la mitad de estas implementaciones.
«Las organizaciones están aprovechando una variedad de capacidades de seguridad integradas en las plataformas cloud. También implementan una serie de herramientas de seguridad en la nube de terceros. Sin embargo, la mayoría de los controles de seguridad se implementan en tiempo de ejecución para detectar exposiciones.«
La codificación como solución
Continúa el informe «La única forma de reducir tales exposiciones es detectar y resolver las violaciones de políticas en una etapa temprana del ciclo de vida del desarrollo. Además, es necesario garantizar que la infraestructura nativa de la nube se aprovisione de forma segura para empezar.«
Dicho informe aboga por la codificación de las verificaciones de políticas. Esto se denomina «política como código». Estas se implementan a medida que las organizaciones avanzan hacia la Infraestructura como Código (IaC). La política como código «debe implementarse para garantizar que se empleen las mejores prácticas obvias. Ejemplos son encriptar bases de datos, rotar claves de acceso e implementar autenticación multifactor. Sin embargo, el modelado de amenazas automatizado también es necesario para determinar si cambios como los aumentos de privilegios y los cambios de ruta crean rutas de violación en una implementación cloud.»
Otra práctica más emergente que las organizaciones deberían adoptar es la corrección como código. Ésta se relaciona con la automatización. Una vez que se detecta el riesgo el código para solucionar el problema se genera automáticamente y se envía al desarrollador. Después, el desarrollador simplemente debe revisar y aceptar el cambio. Accurics dijo que el trabajo inicial aquí fue «extremadamente alentador.» Esto fue con un 80% de los riesgos abordados sin más aportes del desarrollador.
«La adopción de infraestructura nativa de la nube, como contenedores, sin servidor y servicemesh, está impulsando la innovación. Sin embargo, las configuraciones incorrectas se están volviendo comunes y crean una seria exposición a riesgos para las organizaciones». Esto último lo dijo Om Moolchandani, cofundador y CTO de Accurics. «A medida que la infraestructura de la nube se vuelve cada vez más programable, creemos que la defensa más eficaz es codificar la seguridad en los canales de desarrollo y hacerla cumplir durante todo el ciclo de vida de la infraestructura.»
«La receptividad de la comunidad de desarrolladores para asumir una mayor responsabilidad de seguridad ha sido alentadora y un paso más en la dirección correcta.»