lolloj - Fotolia

Gestionar Aprenda a aplicar las mejores prácticas y optimizar sus operaciones.

Herramientas de seguridad heredadas son un reto para las empresas que migran a la nube

Las herramientas de seguridad tradicionales diseñadas para los centros de datos no funcionan bien en entornos de nube. Se necesitan nuevos enfoques, según los ejecutivos de seguridad. Sepa cómo sobrevivir al abismo.

Al igual que muchas empresas, los servicios de TI de Fenwick & West LLP se entregan a través de un híbrido de infraestructura local, de software como servicio y de nube. La situación ha ampliado significativamente el alcance de los desafíos de seguridad que enfrenta el bufete de abogados de Silicon Valley, y lo ha obligado a implementar nuevas tecnologías para llenar los vacíos en los que las herramientas de seguridad heredadas ya no son eficaces.

"A medida que avanzamos por la nube y las instalaciones, nuestros problemas de seguridad se han ampliado", dijo Matt Kesner, CIO de Fenwick & West LLP, que presta servicios jurídicos, a nivel nacional, a empresas del sector de tecnología y ciencias de la vida.

"Tenemos todas las mismas tecnologías de seguridad todavía instaladas para nuestra solución local", dijo. "Pero también hemos invertido en nuevas tecnologías de seguridad para la nube".

La experiencia de Fenwick & West es típica del creciente número de empresas que se están encontrando con obstáculos de seguridad heredada a medida que trasladan cargas de trabajo a la nube, mientras mantienen partes de su infraestructura de TI internamente.

Matt Kesner

En octubre de 2015, el Instituto SANS publicó un informe basado en encuestas, "El estado del centro de datos dinámico y la seguridad de nube en la empresa moderna", y encontró que, en general, las superficies de computación en la mayoría de las organizaciones se están expandiendo, como resultado de la adopción de servicios de nube híbrida. La mayoría de los 430 profesionales de seguridad de TI encuestados dijeron que las preocupaciones de seguridad de sus organizaciones se agravaron con la adición de servicios de nube privada, pública e híbrida. Muchos dijeron que sus compañías estaban usando controles de seguridad heredados que no funcionaban bien, o en absoluto, en la nube. Dave Shackleford, analista de SANS y frecuente colaborador de la revista Information Security, señaló en el informe: "Entre las principales capacidades de seguridad que faltan en los modernos centros de datos dinámicos y las nubes están la visibilidad, la rápida identificación de ataques y la contención rápida, precisa y automatizada".

Éstos son algunos de los puntos clave, de ejecutivos de seguridad y analistas, a considerar cuando se integran sistemas de seguridad heredados con servicios de nube híbrida.

Las viejas tecnologías de seguridad no morirán, pero evolucionarán

Las tecnologías de seguridad heredadas diseñadas para proteger las aplicaciones empresariales y los datos locales suelen ser inadecuadas para los entornos en la nube. Pero eso no significa que estén a punto de desaparecer en el corto plazo. Un buen caso son los firewalls.

Independientemente de si los servicios de TI se prestan desde una infraestructura local o en la nube, es probable que necesite proteger sus sistemas contra atacantes externos y segmentarlos para mitigar el movimiento lateral.

Durante más de 20 años, las tecnologías de firewall han proporcionado esta capacidad en entornos de centros de datos locales tradicionales, primero en sistemas basados ​​en firmas y más recientemente en sistemas de detección de anomalías de siguiente generación.

Espere que la tecnología desempeñe un papel no solo en los centros de datos tradicionales, sino también en la nube.

"Ninguno de los principales proveedores de firewalls están enviando menos firewalls", dijo John Pescatore, director de amenazas emergentes en el SANS Institute.

La mayor diferencia es que, en lugar de dispositivos de hardware, las capacidades de firewall se entregan a través de software en la nube. Mientras que la demanda de aparatos físicos se desvanecerá, a medida que más empresas y aplicaciones se muevan a servicios de nube híbrida, habrá una expansión en la necesidad de proveedores que venden firewalls virtuales, o capacidades de filtrado y bloqueo similares a firewalls, bajo otro nombre.

La idea de que usted puede usar las políticas de seguridad incorporadas que ofrecen los principales proveedores de nube en lugar del firewall es un mito: "La infraestructura nunca se protegerá a sí misma. Todavía necesita firewalls, pero serán entregados y administrados de manera diferente", dijo Pescatore. Lo mismo ocurre con las herramientas antivirus y antimalware en general, agregó.

Los firewalls y las redes privadas virtuales (VPN) son candidatos obvios para la forma en que los mecanismos de entrega de los controles de seguridad pueden cambiar debido a la adopción de la nube. Otras tecnologías incluyen sistemas de detección y prevención de intrusos, herramientas antimalware basadas en la red, y algunas funcionalidades de prevención de fugas de datos. Sin embargo, la necesidad de las capacidades que ofrecen estas herramientas seguirá siendo la misma, según Pescatore.

"Es difícil asegurar la obsolescencia per se", dijo Pete Lindstrom, vicepresidente de investigación de seguridad de IDC. "Es solo una evolución".

Cada vez más, las tecnologías de seguridad heredadas evolucionarán desde modelos empresariales monolíticos, hasta servicios altamente distribuidos, entregados a través de la nube, según Lindstrom. Muchas tecnologías de seguridad subirán en la pila e irán a la nube, y pasarán a formar parte de la capa de virtualización.

Hasta que todo haya migrado a la nube, es probable que necesite más controles de seguridad, no menos

La adopción de servicios en la nube hace que sea más difícil mantenerse al tanto de todo lo que ocurre en la empresa.

"En general, no hemos visto simplificada la seguridad", dijo Kesner.

Antes, cuando todo estaba en las instalaciones y había un perímetro alrededor de sus aplicaciones e infraestructura, era fácil ver todos los flujos de datos hacia dentro y hacia fuera de la organización, y mantenerse al tanto de quién estaba accediendo a qué, dónde, cuándo y cómo.

Esa tarea se vuelve más complicada cuando algunos de sus datos y aplicaciones están en las instalaciones, y el resto están en la nube y la gente está accediendo a ellos desde PC y dispositivos móviles detrás del firewall y desde fuera.

"Hay una gran cantidad de datos que nuestros usuarios están creando para los negocios y [ellos están] accediendo a eso como un grupo de TI al que simplemente ya no podemos ver", dijo Kesner.

Las herramientas de seguridad tradicionales no permiten esa visibilidad. En la actualidad, un sistema empresarial de Microsoft autentica el acceso a todas las aplicaciones alojadas en las instalaciones de Fenwick & West. Sin embargo, no registra usuarios en la base de datos Salesforce de la empresa, ni en su sistema de recursos humanos basado en la nube.

El bufete se ha visto obligado a buscar otras tecnologías.

La estrategia de Kesner era implementar una capacidad de inicio de sesión único en la nube como una forma de obtener mayor visibilidad sobre lo que sus usuarios estaban haciendo con las aplicaciones y los datos empresariales. "La única [forma] que encontramos de simplificar nuestra arquitectura de seguridad consiste en trasladar nuestra arquitectura de autenticación a la nube. Eso soportará tanto las instalaciones como la nube, y ampliará lo que ofrecemos a los usuarios finales".

El CIO de Fenwick & West busca complementar la autenticación basada en la nube con una nueva capacidad de registro para algunas de las aplicaciones en nube de la compañía, comenzando con Salesforce. El bufete de abogados también está evaluando tecnologías de un par de startups para usar en la implementación de firewall y capacidades VPN para acceder a las aplicaciones en la nube. "Lo que hemos visto es prometedor", dijo Kesner.

Al igual que Fenwick & West, la mayoría de las empresas con una mezcla de servicios in situ y en nube híbrida necesitarán más herramientas para administrar la seguridad, no menos. Mientras que las organizaciones tienden a utilizar en gran medida firewalls, sistemas de prevención y detección de intrusos (IPS/IDS), y herramientas de monitorización de servidores y aplicaciones en el centro de datos, según el informe SANS, el uso de tales herramientas cae bruscamente en la nube. Solo el 34% de los profesionales de seguridad de TI dijeron que sus organizaciones utilizan firewalls basados ​​en la nube. Casi todos, o el 96%, utilizan la tecnología de seguridad local. Del mismo modo, solo el 29% de los encuestados dijo que sus organizaciones usan IPS/IDS en la nube, mientras que apenas un 28% monitoriza servidores y aplicaciones. En comparación, el 83% y 77%, respectivamente, utilizan estas herramientas en centros de datos locales.

Según SANS, la situación, que se deriva tanto de una relativa falta de tecnologías de seguridad para la nube, como de la falta de pensamiento estratégico, es problemática porque expone a las empresas a los riesgos de seguridad.

Los tipos de controles de seguridad que necesita dependen del modelo de nube

La eficacia de sus controles de seguridad existentes, y lo que probablemente necesite en la nube, dependen en gran medida del modelo de nube que adopte, señaló Christopher Pierson, vicepresidente ejecutivo, consejero general y jefe de seguridad de Viewpost, un proveedor de servicios de facturación y cobro en línea basado ​​en Maitland, Florida. "Los entornos de infraestructura como servicio [necesitan] casi todos los mismos controles que requiere un centro de datos tradicional", dijo. "Cualquier lugar donde las amenazas puedan suponer un riesgo para los datos clave, requerirá implementar controles".

Con modelos de plataforma como servicio (PaaS), la comprensión del paradigma de seguridad es parte del desafío, de acuerdo con Pierson.

Christopher Pierson

"En los entornos PaaS, gran parte de la seguridad se convierte en algo que es accedido y revisado por un equipo de SecOps en lugar de ser construido y mantenido por ese equipo", dijo. "Dado que el negocio realmente solo posee los datos y las capas de aplicaciones, cosas como IPS/IDS y mitigación de DDoS [denegación distribuida de servicio] no son gestionadas por la empresa".

Debido a que no hay hosts reales locales en un modelo PaaS, hay menos necesidad de las capacidades y tecnologías antivirus y antimalware internas. Incluso tecnologías como firewalls pueden ser transformadas hacia la nube o eliminadas completamente cuando todo se entrega desde la nube.

"Todo por lo cual la compañía está preocupada son las aplicaciones que construyen, las prácticas de codificación segura y el cifrado de los datos subyacentes", dijo Pierson. El acceso, el cifrado y las tecnologías relacionadas, como un módulo de seguridad de hardware para la administración de claves, son los principales controles con que las empresas necesitan lidiar y administrar.

Los proveedores de seguridad tendrán que habilitar sus productos para la nube

La falta de opciones y dispositivos virtuales para la nube y para los hipervisores específicos de los proveedores de servicios de nube plantea un desafío para las empresas, según SANS. "Las tecnologías fundamentales de seguridad de la red, como firewalls y plataformas de detección/prevención de intrusiones, tienen tasas de adopción significativamente más bajas en la nube pública", encontró el informe en octubre pasado, debido en parte a la falta de apoyo de proveedores para dichas tecnologías.

Para que esto cambie, dijo Pescatore de SANS, los proveedores de tecnologías de seguridad de centros de datos necesitan habilitar sus productos para la nube. En el corto plazo, los proveedores de tecnología pueden agregar la entrega basada en la nube a sus ofertas, mientras mantienen sus productos de centro de datos. Con el tiempo, a medida que más aplicaciones de seguridad heredadas pasan a la nube, los proveedores pueden comenzar a entregar sus capacidades totalmente desde la nube. Varias funciones de seguridad de gran importancia para las empresas pueden beneficiarse con este enfoque, señaló.

Por ejemplo, muchas tecnologías de escaneo de vulnerabilidades que utilizan las empresas para escanear sus aplicaciones y redes no funcionan en el contexto de la nube. Así que desarrollar un escáner virtual capaz de auditar la infraestructura de nube de una empresa, y proporcionar información sobre cosas como máquinas virtuales, configuraciones de firewalls y listas de control de acceso puede marcar una gran diferencia.

De manera similar, tener un gateway de seguridad web habilitado para Amazon Web Services, Microsoft Azure y otros entornos de nube brinda a las empresas una forma de filtrar el tráfico y aplicar las políticas de seguridad en aplicaciones y datos alojados en la nube.

Otra área que podría beneficiarse de la habilitación para la nube es forense, agregó Pescatore. Las herramientas forenses del centro de datos son poco útiles para buscar datos almacenados en discos duros pertenecientes a proveedores de servicios externos. Las organizaciones que necesitan la capacidad de examinar de forma forense los eventos y datos en un entorno en la nube deben tener las herramientas para poder hacerlo.

Profundice más

Inicie la conversación

Envíenme notificaciones cuando otros miembros comenten sobre este artículo.

Por favor cree un Nombre de usuario para poder comentar.

- ANUNCIOS POR GOOGLE

Close