Cloud Computing Security se refiere al conjunto de procedimientos, procesos y estándares diseñados para proporcionar garantía de seguridad de la información en un entorno de computación en la nube. Aborda problemas de seguridad en diferentes modelos de servicio, como software, plataforma e infraestructura, y cómo se entregan los servicios (modelo de entrega pública, privada o híbrida).
Amenazas de seguridad en la nube
· Violaciones de datos: una gran cantidad de datos se almacena en servidores en la nube, por lo que los proveedores se convierten en un objetivo atractivo. La gravedad del daño potencial tiende a depender de la sensibilidad de los datos expuestos. Debido a la violación de datos, las compañías pueden incurrir en multas o pueden enfrentar demandas o cargos penales. Los proveedores de la nube suelen implementar controles de seguridad para proteger sus entornos, pero en última instancia, las organizaciones son responsables de proteger sus propios datos en la nube.
- ¿Cómo es el almacenamiento en la nube más barato en comparación con el interno?
- ¿Cómo encajan los productos de computación en la nube?
- ¿Cómo cambiará la seguridad de la nube en el futuro?
- Cómo almacenar archivos en línea y hacer que no se puedan eliminar, como Amazon Glacier con Vault Lock
- ¿Cuánta influencia tendrá la nube gratuita IBM-Quantum en la investigación de computación cuántica?
· Credenciales comprometidas y autenticación rota: las infracciones de datos y otros ataques a menudo resultan de una autenticación laxa, contraseñas débiles y una administración de claves o certificados deficiente.
· Interfaces y API pirateadas: las API y las interfaces tienden a ser la parte más expuesta de un sistema porque generalmente son accesibles desde Internet abierto. El riesgo aumenta debido a interfaces débiles y API que exponen a las organizaciones a problemas de seguridad relacionados con la confidencialidad, integridad, disponibilidad y responsabilidad.
· Vulnerabilidades del sistema explotadas: las vulnerabilidades del sistema y los errores en los programas se han convertido en un problema mayor debido a la naturaleza multiempresa de la computación en la nube. Las organizaciones comparten memoria, bases de datos y otros recursos en estrecha proximidad entre sí, creando nuevas superficies de ataque.
· Secuestro de cuentas: el phishing, el fraude y las vulnerabilidades de software son muy comunes. Los servicios en la nube agregan una nueva dimensión a la amenaza porque los atacantes pueden espiar actividades, manipular transacciones y modificar datos.
· Información privilegiada maliciosa: la amenaza interna puede deberse a un empleado actual o anterior, un administrador del sistema, un contratista o un socio comercial. Puede variar desde robo de datos hasta venganza. En un escenario de nube, una persona con información privilegiada puede destruir infraestructuras enteras o manipular datos. Los sistemas que dependen únicamente del proveedor de servicios en la nube para la seguridad, como el cifrado, están en mayor riesgo.
· El parásito APT: los APT (amenazas persistentes avanzadas) generalmente se mueven lateralmente a través de la red y se mezclan con el tráfico normal, por lo que son difíciles de detectar.
· Pérdida permanente de datos: la pérdida permanente de datos debido a un error del proveedor se ha vuelto extremadamente rara, pero se sabe que los piratas informáticos maliciosos eliminan permanentemente los datos de la nube para dañar a las empresas.
· Ataques DoS: los sistemas pueden volverse lentos o simplemente agotar el tiempo de espera.
· Tecnología compartida, peligros compartidos: las vulnerabilidades en la tecnología compartida representan una amenaza significativa para la computación en la nube. Los proveedores de servicios en la nube comparten infraestructura, plataformas y aplicaciones, y si surge una vulnerabilidad en cualquiera de estas capas, afecta a todos.
¿Cómo se pueden minimizar las amenazas / riesgos de seguridad en la nube?
· Los proveedores de la nube implementan controles de seguridad para proteger sus entornos, pero en última instancia, las organizaciones son responsables de proteger sus propios datos en la nube. Las organizaciones deben usar la autenticación y el cifrado multifactor para protegerse contra las violaciones de datos.
· Los sistemas de autenticación de múltiples factores, como las contraseñas de un solo uso, la autenticación basada en el teléfono y las tarjetas inteligentes, pueden proteger los servicios en la nube porque dificultan que los atacantes inicien sesión con contraseñas robadas. También deben rotarse periódicamente para que sea más difícil para los atacantes usar las llaves que han obtenido sin autorización.
· Centralizar la identidad en un único repositorio tiene sus riesgos. Las organizaciones deberían sopesar la compensación de la conveniencia de centralizar la identidad frente al riesgo involucrado.
· Deben usarse aplicaciones y sistemas de modelado de amenazas, revisiones de código centradas en la seguridad y pruebas de penetración rigurosas.
· El gasto de implementar procesos de TI para descubrir y reparar vulnerabilidades es pequeño en comparación con el daño potencial. Los procesos de control de cambios abordan los parches de emergencia y aseguran que las actividades de reparación estén debidamente documentadas y revisadas por los equipos técnicos.
· Las organizaciones deberían prohibir el intercambio de credenciales de cuenta entre usuarios y servicios, así como habilitar esquemas de autenticación multifactor cuando estén disponibles.
· Las empresas deben controlar el proceso de cifrado y las claves. Deben segregar los deberes y minimizar el acceso otorgado a los usuarios. Las actividades efectivas de administrador de registro, monitoreo y auditoría son importantes.
· Los programas de concienciación regularmente reforzados mantienen a los usuarios alertas y tienen menos probabilidades de ser engañados para permitir que un APT ingrese a la red. Los departamentos de TI deben mantenerse informados sobre los últimos ataques avanzados. Los controles de seguridad avanzados, la gestión de procesos, los planes de respuesta a incidentes y la capacitación del personal de TI pueden minimizar los daños.
· Los proveedores de la nube recomiendan distribuir datos y aplicaciones en múltiples zonas para mayor protección. El respaldo diario de datos y el almacenamiento fuera del sitio siguen siendo importantes en los entornos de nube.
· Las organizaciones deben realizar una diligencia debida exhaustiva para comprender los riesgos que asumen cuando se suscriben a cada servicio en la nube.