Migraciones cloud: riesgos y buenas prácticas de seguridad.
Cuando hablamos de infraestructura cloud, ya no hablamos de ello como un evento futuro, sino de un presente en que la gran mayoría de las empresas disponen de infraestructura cloud y, en el caso de algunas, desde hace años, ya que hubo una aparente “estrategia digital”. Por ello, el entorno cloud es ya una realidad, tanto para las empresas que migran, como para las que cuentan con servicios externalizados bajo plataformas cloud, en mayor o menor medida de componentes, y con diferentes escenarios de diseño de arquitectura (cloud híbrido, multicloud, etc.)
Por ello, con un escenario altamente previsible en crecimiento y con, por fin, una madurez desde el diseño y la concienciación de las empresas y sus responsables para asegurar su perímetro fuera de la ubicación “local”, es importante recordar los riesgos que existen al decidirse disponer de infraestructura cloud.
Desde OptimumTIC, como expertos en ciberseguridad transversal desde hace más de 15 años y con profesionales propios del sector de seguridad y tecnologías evangelizando desde hace más de 25 años, disponemos de una larga trayectoria en diseños de arquitecturas seguras en el cloud y en migraciones hacia entornos cloud de forma eficaz y altamente segura, sin que la seguridad conlleve una pérdida de rendimiento en el negocio. En OptimumTIC tenemos en cuenta siempre el buen Gobierno de la Ciberseguridad, que en definitiva es un Gobierno de Seguridad desde la base de cumplimiento, seguridad por defecto y privacidad desde el diseño de la solución o de la implementación de una solución.
De acuerdo con Eurostat, en 2023, el 45,2 % de las empresas de la UE adquirieron servicios de computación en nube (es decir, servicios utilizados a través de Internet para acceder a software, virtualización, capacidad de almacenamiento, etc.).
img src="../img/eu_enterprise.png">
Tomando como referencia este artículo, nos gustaría retratar nos gustaría retratar cuáles son los riesgos más comunes en un entorno cada vez más alcista de infraestructura cloud, así como las recomendaciones y cuestiones más interesantes para el tratamiento y mantenimiento de datos críticos en infraestructuras cloud que se hacen referencia.
img src="../img/planing.png">
Queremos recalcar la importancia de entender que, cuando se define una estrategia para un entorno cloud, los modelos operativos de este son complejos y distan de manera considerable de un entorno convencional en infraestructura local. Más aún, si se van a ubicar en entornos compartidos o públicos, cuando antes partíamos de servicios “privados” totalmente propios y/o en nuestro CPD. Por ello, hay que considerar un buen diseño de seguridad completo del entorno, desde su configuración, accesos, hasta su mínimo privilegio, consideraciones, metodologías y enfoques, que dividan la adopción-planificación en diferentes fases y en el proceso de adopción.
De este modo, es altamente recomendado definir los principios por los que se quiere y/o se necesita realizar una migración al cloud y cuáles son los resultados que se esperan en estos entornos accesibles -seguramente, no solo por nosotros, que lo aplicamos, sino como por los terceros que seguro formarán parte como proveedores de servicios o compartir servicios
Se debe estudiar y planificar cómo se llevará a cabo la transición a un entorno cloud, esto es, diseñando todo el proceso, aparte de disponer con conocimiento el objeto de ese entorno, ubicación del entorno y también a quién damos servicio desde ese entorno, el destino o destinatarios. En este punto, es importante realizar un descubrimiento de los activos a migrar, definir la estrategia cloud, identificar el proveedor cloud, ubicación y geolocalización para el cumplimiento regulatorio, etc.
La planificación y estrategia han de ser convertidas en un plan de acción con todo un análisis de riesgos y su posterior migración y puesta en marcha. En este plan se deben considerar todos los elementos de cumplimiento, seguridad, regulatorio, organizativo y técnico, aplicando la mitigación del riesgo con el fin de que la migración hacia el cloud esté alineada con el modelo y estrategia de negocio de la empresa, mitigando y previniendo riesgos desde el diseño hasta su ejecución.
img src="../img/cloud.png">
Algunos de los RIESGOS más comunes
Desde OptimumTIC nos gustaría recalcar una serie de medidas y riesgos que, como expertos en ciberseguridad, hemos detectado, entre ellas, las vulnerabilidades más explotadas en el ámbito cloud y las medidas preventivas básicas que se deberían adoptar.
Uno de los riesgos más comunes al contar con infraestructura cloud, es que, por parte de los administradores IT, se pierde gran visibilidad y monitorización sobre la superficie de infraestructura de la que se dispone. Esto es porque ocasionalmente no se considera una correcta monitorización de los activos o porque no se han definido previamente.
Por esta razón, es importante disponer de un control absoluto de los activos que existen en el cloud, mediante la monitorización de los recursos y el reenvío de los logs, para así detectar prematuramente cualquier tipo de fallo o posible ataque.
Accesos no autorizados
La carencia de controles necesarios y mecanismos de protección y prevención en las cuentas de administradores puede ocasionar accesos no autorizados que desemboquen en gastos elevados, ya que pueden crear recursos que incurran en un gasto indebido.
Los atacantes podrían aprovechar una cuenta de administrador comprometida para generar recursos que luego utilizarán con fines lucrativos, tales como minería, ataques de denegación de servicio o de otra tipología..
Por ello, es vital contar con las medidas de seguridad en identidad en todas las cuentas, pero especialmente en las administrativas.
Datos no cifrados
Disponer de datos no cifrados, tanto en reposo como en tránsito, dentro de la infraestructura de la nube, puede ocasionar que una persona no autorizada disponga del acceso a los datos, con riesgo de una posible exfiltración de datos, y los correspondientes daños reputacionales y económicos para la organización.
Los datos almacenados en el cloud han de estar cifrados tanto en reposo como en tránsito para evitar así que un actor con acceso no autorizado pueda disponer de acceso a ellos.
Activos expuestos
Tener recursos críticos expuestos a internet, tales como máquinas virtuales, cuentas de datos o cualquier otro activo crítico, puede llevar a la explotación y acceso no autorizado de los sistemas.
Por ello, es importante revisar y realizar periódicamente auditorías de los activos de la infraestructura cloud, ya que una de las causas más comunes en los incidentes cloud es la mala configuración en los activos.
Aparte de los riesgos enumerados, se han de tener en cuenta muchos otros riesgos y tipos de ataque, que deben ser considerados y estudiados a la hora de planificar una migración cloud. Desde OptimumTIC, como expertos en ciberseguridad transversal y certificados en los productos de ciberseguridad más eficaces, podemos ayudar a realizar este paso de transición, cada vez más importante.
Un problema común que puede ocasionar un riesgo de seguridad a las organizaciones es el de disponer de cuentas con privilegios excesivos. Una cuenta con privilegios excesivos tiene la capacidad de crear usuarios, adquirir productos cloud o de realizar cualquier otra acción disponible en el sistema.
En general, las cuentas tienen permisos y roles excesivos para realizar su tarea, llegando a suponer un riesgo si la cuenta la compromete un actor malicioso.
Es importante analizar y desgranar el rol con la regla de privilegios mínimos, añadiendo los privilegios justos y necesarios que permita al usuario o cuenta realizar aquella función designada.
Por ello, desde OptimumTIC recomendamos realizar auditorías periódicas y recertificación de los privilegios de los usuarios, grupos y cuentas, para así detectar posibles privilegios excesivos.
Si desea más información sobre nuestros servicios o productos, puede contactar con nosotros sin compromiso a través de nuestra página web: OptimumTIC o escríbenos a info@optimumtic.com.