Las empresas navegan hacia una tormenta perfecta de riesgos en la nube



En cada violación de datos basada en la nube de la que hemos aprendido, los errores de configuración incorrecta jugaron un papel central. Estas «olas rebeldes» de mala configuración han afectado a algunos de los clientes de la nube más grandes y avanzados: Twitch recientemente y Uber, Imperva y Cash A person antes. Todos estos ataques involucraron una cadena compleja de vulnerabilidades contra los planos de command de la API del proveedor de la nube.

Las preocupaciones de seguridad claramente ya no son una barrera para la adopción de la nube, pero ha llegado una tormenta perfecta de riesgos de la nube. Examinemos esta tormenta perfecta y sus tres impulsores y construyamos una estrategia para navegar con seguridad a través de ella.

1. La complejidad de la nube está aumentando
Los principales proveedores de la nube, principalmente Amazon Website Products and services (AWS), Microsoft Azure y Google Cloud, están inmersos en una carrera de innovación para ofrecer nuevos servicios. Solo AWS ofrece más de 200 servicios de infraestructura, y cada uno viene con opciones de configuración y consideraciones de seguridad únicas. Y ya sea por elección estratégica, adquisiciones o casualidad, la mayoría de las empresas ahora tienen una huella multinube que requiere una estrategia de seguridad multinube.

El entorno de nube empresarial típico puede contener cientos de miles de recursos interrelacionados que abarcan múltiples cuentas de nube y unidades comerciales. Cada caso de uso trae diferentes requisitos de seguridad y debe regirse de acuerdo con las políticas regulatorias y de seguridad de la empresa worldwide, así como con las locales. Estas políticas están sujetas a diferentes interpretaciones humanas durante las auditorías manuales.

Si bien los proveedores de la nube continúan introduciendo más herramientas de seguridad, no es suficiente. Como el experto en seguridad en la nube Scott Piper Ponlo, «[P]a gente no entiende sus entornos de nube tan bien como le gustaría. … [T]Ahí es donde creo que entran en juego muchos de los errores de configuración». La elección para muchas organizaciones es moverse rápido y asumir riesgos adicionales o ralentizar la entrega y certificar que todo está seguro y en conformidad antes de la implementación.

2. Los piratas informáticos ahora son expertos en seguridad en la nube
A medida que los entornos en la nube se vuelven más complejos, los piratas informáticos se han vuelto muy buenos para explotar nuestros errores. Han adoptado la automatización que escanea Web para detectar vulnerabilidades en la nube a los pocos minutos de su implementación.

Una vez en su entorno, los piratas informáticos saben cómo aprovechar las fallas de la arquitectura de la nube, que en sí mismas son una forma de configuración incorrecta, para expandir el radio de explosión de cualquier brecha de seguridad inicial. Estas fallas generalmente permiten que los recursos de administración de acceso e identidad (IAM) descubran más sobre el entorno, se muevan lateralmente y roben datos. La violación de Twitch inicialmente involucró un servidor mal configurado, pero el atacante finalmente explotó una cadena de vulnerabilidades para robar datos de clientes y código fuente confidencial no solo para Twitch sino también para su empresa matriz, Amazon.

Una vez que se está produciendo un ataque contra el plano de manage de la API de la nube, es demasiado tarde para detenerlo. A menudo, los clientes de la nube no se dan cuenta de que han sido pirateados hasta que sus datos aparecen en la Dim Internet (en el caso de Twitch) o el hacker se jacta de ello en línea (la brecha de Cash One particular). Como dijo el economista de la nube Corey Quinn en su Gritando a la nube podcast: «Entonces, ¿cuál es su principal medio de detección de infracciones? Y la respuesta honesta es: ‘La portada del New York Times'».

3. La guerra por el talento en ingeniería de la nube
La demanda de talento en ingeniería de la nube se está disparando, lo que se refleja en la compensación. Según los reclutadores citado por el Wall Road Journal, «Las personas con habilidades en la nube generalmente reciben dos o tres ofertas sólidas, a menudo con paquetes por valor de cientos de miles de dólares, así como opciones sobre acciones».

Todas las empresas que operan en la nube compiten con los gigantes tecnológicos por los ingenieros de la nube, incluidos los que ya forman parte de su equipo. La mayoría de esas empresas no tienen los bolsillos profundos y las atractivas opciones sobre acciones que tienen los gigantes tecnológicos. Y como Lydia Leong de Gartner dicho, «No se trata solo de la gran tecnología. Todos los SI y MSP del planeta están persiguiendo a los técnicos en todas partes».

Estrategias para navegar a través de la tormenta
1. Establezca una conciencia completa de su entorno y postura de seguridad. Las infracciones en la nube ocurren porque los equipos de seguridad carecen de la visibilidad que necesitan para detectar vulnerabilidades en un gráfico complejo de recursos en la nube. Los ejecutivos deben solicitar un informe que detalle el estado de configuración completo y la postura de seguridad de su entorno de nube, y los equipos de seguridad deben poder producir uno en cualquier momento.

2. Concéntrese en construir una arquitectura segura y evitar configuraciones incorrectas. La seguridad en la nube es una preocupación arquitectónica y de procesos, y cada configuración incorrecta es una falla del diseño o del proceso. Proporcione a los ingenieros de DevOps herramientas que marquen los errores en su infraestructura como código y explique cómo corregirlos. Ponga medidas de seguridad en sus canalizaciones de CI/CD para evitar la implementación de vulnerabilidades de configuración incorrecta.

3. Cree seguridad en la nube escalable utilizando políticas como automatización basada en código. La política como código es la única forma de respaldar de manera efectiva varias unidades de negocios, y sus innumerables casos de uso y requisitos de políticas locales, sin ralentizarlos. Un buen lugar para comenzar es Agente de política abierta, a Foundation de computación nativa en la nube proyecto utilizado por las principales empresas, incluidas T-Cell, Goldman Sachs y Netflix.

Con un enfoque holístico de la seguridad en la nube que ayuda a los ingenieros de program a desarrollar una infraestructura segura en la nube, evita errores de configuración en la implementación y se construye sobre una foundation consistente y escalable de política como código, las empresas pueden escalar su uso de la nube de manera segura y evitar los peligros. que han caído sobre los sofisticados clientes de la nube empresarial.





Enlace a la noticia original