El nombre inapropiado de &#39responsabilidad compartida&#39: por qué la nube …



Bajo el «modelo de responsabilidad compartida», la gestión de la seguridad de las ofertas en la nube se divide por igual entre el proveedor y el cliente. Bastante fácil, ¿verdad?

Las organizaciones de todos los tamaños e industrias están adoptando soluciones en la nube para facilitar la instalación de software package, infraestructura y recursos de plataforma. Sin embargo, los temores a la seguridad persisten, y con razón. En la periferia de estas decisiones de inversión en TI hay preocupaciones justificables, incluida la fuga de datos y las configuraciones incorrectas, que impiden una adopción más amplia y profunda de las capacidades de la nube.

Los proveedores de la nube describen la gestión de la seguridad de las ofertas de la nube como un «modelo de responsabilidad compartida» y la comunidad técnica ha adoptado rápidamente esta lengua vernácula. Transmite un acuerdo equitativo: el proveedor de servicios en la nube (CSP) asumirá la mitad de la responsabilidad y el cliente la mitad. Todo lo que el cliente debe hacer es comprender y aplicar su parte de la responsabilidad de seguridad, y debería estar listo para comenzar. Por lo tanto, las infracciones sobre las que leemos son presumiblemente atribuibles a una organización que es lamentablemente negligente al aprender y aplicar la mitad del pastel de responsabilidad.

Sin embargo, normalmente no se comprende el alcance y la complejidad de la parte de responsabilidad del cliente. En esencia, el modelo de responsabilidad compartida significa que el CSP es responsable de proteger la infraestructura de la nube y el cliente es responsable de la seguridad. en la nube: los datos en sí y los controles y configuraciones que protegen esos datos. Lo que comúnmente se malinterpreta es la vasta naturaleza del mundo de responsabilidad del cliente y la complejidad dentro del entorno de controles que confunde los intentos de facilidad de gestión.

Esto no pretende menospreciar la computación en nube. La nube ha permitido a las empresas escalar más rápido y de manera más eficiente de lo que podrían hacerlo de otra manera, así como acceder a capacidades que no podrían desarrollar y mantener fácilmente por sí mismas, todo de manera rentable. Más bien, se trata de poner el desafío de la nube en perspectiva y ayudar a las organizaciones a comprender mejor lo que deben considerar al planificar una estrategia de seguridad en la nube.

Los servicios, los controles, la configuración y la complejidad se derraman mucho más allá de los cubos
Hoy en día, las organizaciones tienen más plataformas en la nube de más proveedores que nunca. En Informe del estado de la nube 2020 de Flexera, la cantidad de empresas que gastan entre $ 2.4 millones y $ 12 millones en la nube aumentó un 20% en 2019, y el 93% tiene una estrategia multinube. En distinct, el 81% citó la seguridad en la nube como su principal desafío en la nube.

Cuando inspeccionamos el desafío aún más de cerca, la complejidad dentro de cada plataforma en la nube se vuelve más evidente. Los CSP ofrecen más productos y servicios dentro de sus plataformas cada año, además de las ya ricas ofertas. Esto es bueno para los clientes: tienen más capacidades dentro de la plataforma del mismo proveedor. Sin embargo, prácticamente todos los productos y servicios tienen configuraciones y controles de seguridad que se deben aprender, aplicar y volver a verificar con regularidad.

Además, cada CSP es diferente y las herramientas de seguridad diseñadas para monitorearlos y protegerlos rara vez cruzan plataformas. Por lo tanto, el modelo de responsabilidad compartida para una empresa con cinco plataformas requiere leer, comprender y aplicar con diligencia conocimientos a veces esotéricos de una amplia documentación de cinco proveedores.

Existe una gran oportunidad de mistake solo dentro del entorno de la nube, sin mencionar las otras tareas de ciberseguridad relacionadas con los activos de TI locales, de la nube privada y heredados. Para las pequeñas y medianas empresas, el problema suele ser la falta de habilidades para la gran empresa, el vasto, diverso, disperso y cambiante estado de TI puede ser un desafío.

Comprender (y prepararse para) el desafío
En nuestra experiencia como personal de respuesta a incidentes, los actores de amenazas están escaneando cada puerta que queda abierta. Si bien las configuraciones erróneas de los usuarios de los controles de activos del depósito de S3 parecen centrarse en los «errores de responsabilidad compartida», los atacantes buscan cualquier vulnerabilidad como punto de apoyo para entrar. Hemos visto a los atacantes obtener acceso a los recursos internos de la nube a través de una serie de medios innovadores, como aprovechar las configuraciones incorrectas de los dispositivos de crimson y mediante el descubrimiento de claves de API de desarrollador en los repositorios de GitHub (ya sea comprometidas o de acceso público).

Si bien puede parecer que las organizaciones son negligentes cuando ocurre una brecha en la nube, es importante tener en cuenta que los actores de amenazas no solo son numerosos, vigilantes y sofisticados, sino que también son creativos y aprovecharán muchas vías diferentes en sus intentos de obtener acceso.

Antes de sumergirse o profundizar en la nube, garantizar que su organización sea segura requiere comprender la amplitud del desafío, evaluar las habilidades y las brechas tecnológicas y luego diseñar una estrategia de seguridad que abarque a las personas (experiencia enfocada), los procesos y la tecnología. (incluidas las herramientas de seguridad centradas en la nube) para cumplirlo. Si bien las empresas podrían arrojar un sinfín de dólares al desafío de la seguridad, una adopción total de la nube sin una estrategia de seguridad puede tener costos significativos propios a través de posibles costos de incumplimiento y daños a la marca. Esa estrategia puede incluir personal en el sitio, servicios de seguridad administrados o una combinación de los dos.

Por encima de todo, las empresas que se sumergen profundamente en la nube deben ser plenamente conscientes de que, si bien pueden compartir la responsabilidad, la tarea del cliente es bastante compleja y expansiva. Es posible que solo lleve unas horas poner en marcha una nueva capacidad en la nube. Sin embargo, las habilidades para defender los datos en la nube es otro desafío que se debe enfrentar, y rápidamente, antes de que los actores de amenazas detecten una oportunidad para actuar.

Jessica Smith es una experta en medicina forense digital con un extenso historial de participación en casos complejos civiles y penales. Ella aporta su experiencia y conocimientos a los compromisos con los clientes de The Crypsis Team, además de ayudar a dirigir las operaciones diarias del … Ver biografía completa

Lectura recomendada:

Más información





Enlace a la noticia first