Cómo funciona la seguridad de la nube pública

Detalles
Escrito por: : La Redacción
Categoría: Noticias
Visitas: 171

nubepublica_restored

Las organizaciones pueden mejorar considerablemente la seguridad de sus datos y aplicaciones en la nube abordando seis aspectos clave de la seguridad de la nube pública: cifrado de datos, control de acceso, cortafuegos y seguridad de la red, supervisión de la seguridad, y parches y actualizaciones de seguridad.

Estas salvaguardas, cuando se combinan con la adhesión a las mejores prácticas y normas de seguridad, establecen una sólida arquitectura de seguridad para los entornos de nube pública.

Cifrado de datos

Los proveedores de nubes públicas aplican sólidos mecanismos de cifrado para proteger los datos en reposo, y los usuarios deben activar también el cifrado de los datos en tránsito.

  • El cifrado de datos en tránsito garantiza la privacidad de la información mientras se envía a través de las redes. Evita que partes no autorizadas intercepten y accedan a datos sensibles mientras se envían. Para ello, se suelen utilizar métodos de cifrado potentes como AES-256.
  • El cifrado de datos en reposo garantiza la seguridad de la información almacenada en la nube. Incluso si alguien consigue acceder al servidor de la nube o a los dispositivos de almacenamiento, no podrá acceder a los datos hasta que se le proporcionen las claves de cifrado. Los servicios en la nube suelen ofrecer tecnologías de cifrado potentes para proteger los datos almacenados.

Control de acceso

  • En la nube pública, el control de acceso implica determinar quién tiene acceso a qué recursos. Las organizaciones pueden utilizar sistemas IAM para diseñar y aplicar controles de acceso. Los permisos se asignan a los usuarios en función de sus funciones y responsabilidades. Se observa el concepto de mínimo privilegio, lo que significa que a los usuarios sólo se les concede el grado mínimo de acceso necesario para hacer su trabajo.
  • La autenticación garantiza que los usuarios son quienes dicen ser, normalmente mediante nombres de usuario y contraseñas o autenticación multifactor (MFA).
  • La autorización regula qué actividades pueden realizar los usuarios una vez autenticados.

Cortafuegos y seguridad de la red

  • Los cortafuegos sirven de barrera entre los recursos de la nube y las redes externas en un entorno de nube pública. Filtran el tráfico de red entrante y saliente, permitiéndolo o prohibiéndolo en función de criterios de seguridad establecidos. Los cortafuegos se utilizan para salvaguardar los recursos de la nube de accesos no autorizados y posibles peligros como los ataques de denegación de servicio distribuido (DDoS).
  • Los operadores de nubes públicas suelen ofrecer nubes privadas virtuales (VPC), que son redes lógicamente separadas dentro del entorno de la nube. Las VPC permiten a las empresas segregar sus recursos en la nube, lo que mejora la seguridad de la red en la nube al gestionar el flujo de tráfico entre ellas y crear un grado extra de aislamiento.

Supervisión de la seguridad.

  • La supervisión continua implica observar la actividad en la nube en tiempo real. La supervisión de los inicios de sesión de los usuarios, el acceso a los recursos y el tráfico forman parte de este proceso. Los eventos e incidentes de seguridad se registran y evalúan para descubrir y responder a posibles riesgos de seguridad lo antes posible.
  • Los sistemas de detección de intrusos (IDS) pueden escanear el tráfico en busca de indicios de actividades sospechosas o maliciosas.
  • Las herramientas SIEM reúnen y correlacionan datos de seguridad procedentes de diversas fuentes para ofrecer una imagen completa de la seguridad y permitir una reacción rápida ante los incidentes de seguridad. SIEM puede ser bastante fácil de usar en la nube, ya que los proveedores de servicios en la nube ofrecen registros que los sistemas.

Parches y actualizaciones de seguridad

  • La seguridad de la infraestructura subyacente, que incluye servidores, hipervisores y equipos de red, es responsabilidad de los proveedores de nubes públicas. La aplicación periódica de parches y actualizaciones de estos componentes es necesaria para hacer frente a las vulnerabilidades conocidas y garantizar la seguridad del entorno de la nube.
  • Aunque la infraestructura es gestionada por el proveedor de la nube, los usuarios son responsables de mantener actualizadas sus máquinas virtuales (VM) y aplicaciones. No actualizar las máquinas virtuales y los programas puede exponerlos a vulnerabilidades de seguridad conocidas.

¿Quién es responsable de la seguridad de la nube pública?

El proveedor de la nube y el cliente comparten responsabilidades en materia de seguridad de la nube pública de la siguiente manera:

  • Proveedor de la nube: El proveedor es responsable de salvaguardar la infraestructura subyacente, proporcionar seguridad física y garantizar la disponibilidad del servicio. Incluye la seguridad del centro de datos, el mantenimiento del hardware y la seguridad de la red.
  • Cliente: Es responsabilidad del cliente asegurar sus datos y aplicaciones dentro del entorno de la nube. Esto incluye establecer configuraciones de seguridad, controlar los límites de acceso y cifrar los datos.

Estándares de seguridad de la nube pública

Las normas y certificaciones de seguridad son fundamentales para garantizar que los proveedores de la nube mantengan altos niveles de seguridad, sigan las mejores prácticas y ofrezcan transparencia a los consumidores. Las organizaciones deben tener en cuenta el cumplimiento de estos criterios por parte del proveedor como una consideración crítica a la hora de seleccionar un proveedor de nube pública para salvaguardar sus datos y mantener el cumplimiento normativo.

Para demostrar su dedicación a la seguridad, los proveedores de nubes públicas cumplen numerosas normas y certificaciones de seguridad, como ISO 27001, SOC 2 y PCI DSS. Estas normas proporcionan políticas para la seguridad de los datos, el cumplimiento y la gestión de riesgos.

  • ISO 27001 es una norma mundial que establece y mantiene un sistema de gestión de la seguridad de la información (SGSI) para salvaguardar datos y activos en entornos de nube pública.
  • SOC 2 (Service Organization Control 2) es un conjunto de criterios utilizados para examinar la seguridad, disponibilidad, integridad de procesamiento, confidencialidad y privacidad de los datos en servicios de nube pública. Se utiliza con frecuencia para evaluar las medidas de seguridad de los proveedores de servicios en la nube.
  • PCI DSS (Payment Card Industry Data Security Standard) es un conjunto de requisitos de seguridad que deben cumplir las empresas que manejan datos de tarjetas de pago, en particular las que emplean entornos de nube pública, para proteger la información sensible de los titulares de tarjetas.

Los proveedores de nubes públicas ajustan sus medidas y procesos de seguridad a los criterios expuestos en estas normas. La norma ISO 27001, por ejemplo, requiere evaluaciones de riesgo detalladas, mientras que la SOC 2 exige rigurosas restricciones de acceso y procesos de respuesta a incidentes. Auditores externos auditan y analizan a los proveedores para asegurarse de que cumplen estos criterios. Los clientes suelen tener acceso a los resultados de estas auditorías, lo que demuestra apertura y responsabilidad.

El cumplimiento de estos requisitos es un proceso continuo. Para mantener sus certificaciones, las empresas de nube pública deben revisar y mejorar constantemente sus políticas de seguridad. Esto garantiza que la seguridad siga siendo un aspecto clave. El cumplimiento de las normas y certificaciones establecidas ofrece a los consumidores la confianza de que sus datos y aplicaciones almacenados en la nube pública se mantienen de forma segura y conforme a las normas. También facilita el cumplimiento de la normativa a los clientes de sectores muy regulados.

 

Fuente: adslzone

 

Buscador

Redes Sociales

Sigue al Portal G.D.A. en:

Sigue las actualizaciones del LaboLinux en Facebook     Sigue las actualizaciones del LaboLinux en Twitter     Sigue las actualizaciones del LaboLinux en MeWe    Sigue las actualizaciones del LaboLinux en feed

Noticias Portal G.D.A.

Grupo Digital de Ayuda! Tu portal de informacion e ayuda.

¿Quién está en línea?

Hay 34981 invitados y ningún miembro en línea

Lo más leído