Desmitificando la seguridad en la nube: Los fundamentos

El 23 de abril de 2020 organizamos nuestro seminario web "Desmitificar la seguridad en la nube: The Fundamentals", en el que nuestro director técnico Ralph Moonen y nuestro especialista sénior en seguridad Tom Tervoort debatieron los aspectos básicos de la seguridad en la nube. Los asistentes hicieron algunas buenas preguntas, que hemos resumido a continuación en un QandA. Si aún le queda alguna pregunta, póngase en contacto con cybersecurity@bureauveritas.com.

¿Tiene curiosidad por nuestros otros seminarios web? Visite: https: //cybersecurity.bureauveritas.com/webinars

QandA

Gracias por todas sus preguntas durante el seminario web, ¡hemos recibido bastantes! Las que no se contestaron ya en el seminario web se responden a continuación.

Si aún le queda alguna pregunta, póngase en contacto con cybersecurity@bureauveritas.com.

¿No es cierto que para muchas organizaciones las soluciones en la nube son más seguras que las propias empresas? (especialmente en lo que respecta a la infraestructura)

En muchos casos esto es cierto para las partes de la infraestructura de las que el proveedor de servicios en nube es totalmente responsable, ya que especialmente los grandes proveedores tienen mucha experiencia en seguridad y enormes equipos disponibles para proteger esta infraestructura, probablemente más de la que tienen la mayoría de las organizaciones por sí mismas. Por supuesto, hay excepciones cuando las empresas tienen requisitos de seguridad (o legales/de privacidad/de disponibilidad) muy específicos que no cumplen ni siquiera partes como Google o Microsoft. Además, en los casos en los que la configuración segura es responsabilidad de la propia empresa, la nube es más bien un arma de doble filo: por un lado, los servicios en la nube pueden facilitar o abaratar la adopción de las medidas de seguridad adecuadas, pero, por otro, una mala configuración puede tener un mayor impacto debido a un mayor nivel de exposición a Internet.

¿Son Azure, Google o AWS más o menos seguros? ¿Y lo mismo para SaaS/Paas/IaaS?

No hay una buena respuesta a esta pregunta. Cuando se trata de prácticas generales de seguridad, los tres tienen un perfil muy bueno y no hay un claro ganador. Pero puede ser más interesante saber qué servicios del proveedor son más propensos a errores de configuración, tienen mejor documentación de seguridad o tienen mejores valores predeterminados. Sin embargo, eso es muy subjetivo y no me atrevo a afirmar que uno sea mejor que otro.

Cuando se trata de SaaS/PaaS/IaaS en general, puede decirse que el tipo de servicio que requiere menos configuración o mantenimiento tiene menos posibilidades de ser vulnerable. Por lo tanto, a menudo es más fácil asegurar SaaS que PaaS, y o asegurar Paas que IaaS.

Responsabilidad compartida: ¿quién es responsable de los usuarios / administradores privilegiados?

Los grandes proveedores de servicios en nube no se responsabilizan de la protección de las credenciales de los usuarios, ni de la configuración de los roles y privilegios de los usuarios. Por tanto, la organización de esto es responsabilidad completa de la empresa que hace uso del servicio en la nube. No obstante, los proveedores proporcionan documentación sobre algunas buenas prácticas en materia de gestión de identidades y accesos, pero dejan su aplicación en sus manos.

¿Hay aspectos legales específicos que deban tenerse en cuenta?

Cuando se realiza un security testing en un entorno en nube, el proveedor del servicio en nube es siempre una parte implicada que hay que tener en cuenta. Por suerte, los grandes proveedores como AWS y Azure ofrecen términos y condiciones claros en relación con el pentesting, y no es necesario que un representante de AWS/Microsoft dé su aprobación explícita para cada prueba. Sin embargo, uno debe ser consciente de lo que está y no está cubierto por estos términos y condiciones, y de que éstos pueden ser diferentes para otros proveedores de la nube.

Esta pregunta se refiere a las security testing. Si se externaliza un entorno (incluidos los componentes infraestructurales) a un proveedor de servicios en nube, y el CSP tiene una certificación ISO27001 y TPM ISAE3402, ¿sigue recomendando realizar security testing en los componentes individuales dentro del entorno?

En general, no recomendaría realizar pruebas en los componentes infraestructurales certificados, siempre y cuando estos componentes no requieran configuraciones o personalizaciones específicas para el usuario del entorno. En la práctica suele haber margen para la configuración y, debido al modelo de responsabilidad compartida de la mayoría de los proveedores, estas configuraciones no están cubiertas por la certificación, por lo que probablemente sea valioso someterlas a prueba.

Mirando a los reguladores como DNB dentro de las finanzas, ¿se consideraría obligatorio realizar un pentesting de la nube como parte de una cloud risk assessment?

No soy experta en regulación financiera, así que lamentablemente no podré responder qué técnicas de prueba son obligatorias. Sí creo que, en general, el pentesting es un complemento valioso para la risk assessment, tanto si se trata de un entorno de nube como si no.

Si tiene alguna pregunta pendiente, póngase en contacto con nosotros en cybersecurity@bureauveritas.com.