Tiene la seguridad en la nube todo mal: administrando …



En un mundo híbrido y multinube, la identidad es el nuevo perímetro y una superficie de ataque crítica para los malos actores.

A medida que las organizaciones priorizan la transformación electronic, mover servicios a la nube a un ritmo rápido. Sin embargo, al realizar este cambio, muchas empresas no logran realizar las actualizaciones necesarias en sus programas y soluciones de seguridad para proteger el nuevo perímetro de la nube. En lugar de rediseñar su infraestructura de seguridad para la nube, muchas organizaciones simplemente están envolviendo la nube alrededor de sus tecnologías heredadas, confiando en soluciones de seguridad de pink heredadas para proteger sus datos.

En un mundo híbrido y multinube, la seguridad de pink tradicional ya no ofrece las mismas ventajas o protección. La identidad es el nuevo perímetro y se ha convertido en una superficie de ataque crítica para los malos actores.

Cloud llegó para quedarse. Como tal, es necesario realizar esfuerzos para fortalecer la identidad de los usuarios y controlar el acceso a ellos. Si no se toman estas medidas para fortalecer la autenticación y la gestión del acceso, las credenciales de los usuarios serán cada vez más vulnerables. A continuación, se muestran formas en las que los líderes de seguridad y gestión de riesgos pueden aumentar su enfoque en las identidades y los datos de los usuarios para generar confianza y resiliencia en un mundo en el que la nube prioriza.

La seguridad en la nube requiere un enfoque en la identidad
Una y otra vez, la experiencia demuestra que la información puede filtrarse de las nubes. Sin embargo, la mayoría de las veces, son los consumidores de los servicios en la nube, no los proveedores de la nube, quienes no gestionan los controles para proteger sus datos. De hecho, Gartner predice que hasta 2025, al menos 99% de las fallas de seguridad en la nube será culpa del cliente.

Los malos actores se centran en comprometer las credenciales débiles, como las contraseñas. Con la nube que permite a los usuarios acceder a application y servicios desde cualquier dispositivo, los ciberdelincuentes pueden aprovechar la autenticación débil y otras mecánicas relacionadas con la identidad (como los tokens de federación) para buscar aplicaciones críticas y, en última instancia, datos.

La base para el uso bien administrado de las nubes externas es la administración de identidades y accesos (IAM). IAM garantiza que solo las personas adecuadas utilicen cuentas de la organización y que solo los usuarios autorizados tengan permiso para acceder a datos confidenciales. Para proteger la organización, los líderes de gestión de riesgos y seguridad deben asumir la responsabilidad de proteger sus nubes garantizando protocolos de acceso e identidad sólidos.

La identidad es un enfoque de múltiples capas
IAM no es simplemente saber quién es un usuario. IAM es el proceso de garantizar que las personas adecuadas obtengan el acceso adecuado a los recursos adecuados en el momento adecuado y por las razones adecuadas, lo que permite obtener los resultados comerciales adecuados. Desglosar cada uno de esos componentes requiere un enfoque de varios niveles.

1. Las personas adecuadas
La primera capa es establecer la identidad en el perímetro de seguridad. Esto debe hacerse no solo para los usuarios humanos, sino también para cualquier entidad que intente acceder a un sistema, incluido un dispositivo, bot o máquina de World wide web de las cosas (IoT). Establecer identidad significa responder a las siguientes preguntas:

  • ¿Quiénes son?
  • ¿Cuál es su rol o grupo?
  • ¿Podemos atarles un dispositivo (s)?
  • ¿Qué otra información contextual está asociada con ellos (por ejemplo, cuál es su ubicación, su patrón de trabajo común, and many others.)?

Las herramientas de seguridad comunes que se pueden usar para responder a estas preguntas incluyen productos de administración de acceso, soluciones de autenticación de usuarios (por ejemplo, contraseñas, biometría, autenticación de tokens), servicios de administración y gobierno de identidad, y administración de acceso e identidad de clientes.

2. El acceso correcto a los recursos adecuados
Una vez que se establece la identidad, la siguiente capa dicta a qué recursos puede acceder el usuario específico. Muchos productos auxiliares juegan un papel aquí, incluida la gestión unificada de puntos finales, la detección y respuesta de puntos finales, los agentes de seguridad de acceso a la nube y más. Todos estos productos deben estar vinculados a una fuente de confianza, que reside conceptualmente dentro de la capa de identidad (por ejemplo, LDAP / Lively Directory). Esta capa también es donde los líderes de seguridad deben desarrollar protocolos para elementos automatizados, ya que muchas solicitudes de autorización pueden y deben resolverse en tiempo genuine sin la intervención del usuario.

3. En el momento adecuado por las razones adecuadas, posibilitando los resultados comerciales adecuados
La última capa es la seguridad de los datos y las aplicaciones. En el lado de la aplicación, decide su criticidad y ajuste el acceso en consecuencia. ¿Los usuarios deben estar en una ubicación confiable y en un dispositivo confiable para poder acceder a la aplicación? ¿O es de menor sensibilidad y se puede acceder desde cualquier lugar?

A continuación, notice los datos detrás de esa aplicación y a qué tiene acceso el usuario. Si los datos son muy sensibles, una opción es clasificar el acceso en función de elementos de datos específicos. En lugar de proporcionar a los usuarios acceso a una aplicación completa, conceda acceso a determinados archivos y no a otros. Para mayor contexto, también se debe tener en cuenta el comportamiento del usuario. Por ejemplo, ¿cuántos datos consume un usuario? Si esa persona accediera a muchos archivos a la vez, ¿estaría permitido? Esto puede proporcionar la foundation para una evaluación de confianza continua y adaptativa.

Uso de la identidad para proteger la nube
Poner estas tres capas juntas introduce un nuevo paradigma de seguridad para las organizaciones. Para poner este enfoque en práctica, comience con las partes interesadas del negocio para diseñar el marco de gobierno y seguridad de datos. Conectarse con líderes en estrategia empresarial, gobernanza, cumplimiento y TI permitirá a los líderes de seguridad determinar el equilibrio adecuado entre las necesidades y los riesgos empresariales.

Solo después de que se hayan definido la estrategia de gobernanza de datos y las políticas de seguridad de datos, es el momento de invertir en productos de seguridad. Este enfoque también ayudará a garantizar que los productos no se compren e implementen en silos, lo que deja brechas en el enfoque de seguridad en la nube. Asegúrese de orquestar sus políticas de seguridad de datos e identidad en todos los productos, nuevos y existentes.

La identidad no es el único componente de la seguridad en la nube sin embargo, es uno de los elementos más importantes. Como piedra angular de un programa de seguridad en la nube, una sólida gobernanza de IAM puede allanar el camino para soluciones de seguridad más avanzadas. Al centrarse primero en la identidad, las organizaciones estarán mejor equipadas para llevar a cabo una transformación digital híbrida y multinube.

David Mahdi es un director de investigación sénior de Gartner, que se centra en la gestión de identidades y accesos, autenticación y seguridad de datos. El área de especialización del Sr. Mahdi incluye infraestructura de clave pública (PKI), gestión de ID de máquina, IAM, seguridad blockchain, descentralizada … Ver biografía completa

Lectura recomendada:

Más información





Enlace a la noticia original