Mundo Tech
Septiembre 2022

Seguridad cloud y hackeos | Todo lo que debes saber.



A propósito de la seguridad en entornos cloud, ¿qué conceptos, herramientas, framework y metodologías se pueden seguir para evitar ser víctimas de hackeos o errores internos que signifiquen gastos desafortunados del presupuesto del proyecto?

Actualidad, metodologías y riesgos

De las cosas más importantes y destacables que podemos decir del cloud es la capacidad para ser flexible en términos de escalabilidad y también en lo referente a su posibilidad de integración, esto debido al uso de APIs para ejecutar todo lo que sucede en su entorno. Podemos decir que todo lo que sucede en las plataformas cloud es el resultado de llamadas a funciones que permiten crear máquinas virtuales, levantar servicios, ejecutar consultas, etc.


Es por esto que tenemos la posibilidad de generar muchas auditorias sobre todo lo que pasa en los proyectos cloud, ya que capturando los diferentes logs resultantes por las ejecuciones de las API podemos construir diferentes servicios de monitorización y consumo de aplicaciones y servicios, así como evaluar constantemente cuotas de facturación e implementar protocolos potentes para vigilar la seguridad.



Ejemplo Dashboard construido por Zenta el cual muestra métricas de alto nivel sobre el total de las queries ejecutadas en BigQuery, los costos totales estimados de todas las queries por el periodo de tiempo especificado, volumen de datos procesados y average de tiempo que tomó la query



Es importante también no perder de vista el concepto de modelo de responsabilidad compartida entre el proveedor cloud y el cliente a la hora de usar los servicios en la nube. En pocas palabras este modelo indica lo siguiente: La seguridad es responsabilidad del cliente en todo aquello que no sea específicamente algo que proporciona el proveedor cloud. Por esta razón es crítico poder definir controles de seguridad para prevenir ataques delictivos o accidentes internos.

Según un informe de Gartner: Se espera que en los próximos 5 años al menos el 95% de los fallos de seguridad en entornos cloud sean por un error del cliente. Entre los errores mas comunes estan: Acceso a datos, Consumos no programados, Servicios no habilitados o habilitados sin uso, etc.

Como cualquier tecnología, en el cloud existen riesgos particulares que deben ser bien gestionados y conocidos por los clientes, por citar un ejemplo: Al ser servicios que se consumen a través de internet, hay que tener en cuenta los riesgos tradicionales del consumo de servicios por esta vía, lo bueno es que estos riesgos ya son altamente conocidos, por lo que existen diversos informes y metodologías que sirven de guía para minimizar los mismos y explotar así los innumerables beneficios que las tecnologías cloud entregan.

Entre dichos informes, citamos el de Computing Risk Assessment de ENISA en el cual se encuentran una serie de pautas para poder definir el tipo de riesgo cloud, ajustado a tipos específicos de negocios y compañías. (https://www.enisa.europa.eu/publications/cloud-computing-risk-assessment)



Ejemplo de análisis del riesgo del abuso de privilegio de usuarios. Fuente ENISA



Así como esa metodología también se puede seguir otras como Magerit la cual define de forma madura el análisis y gestión de riesgos para sistemas de información.

Para continuar explorando este tema, es importante contar un resumen de los riesgos que en Zenta hemos podido analizar gracias a las metodologías ya mencionadas y en base a nuestra experiencia ayudando a nuestros clientes a migrar al cloud y vivir en él de la forma más segura posible:

API Inseguras: El uso de API facilita la vida para los desarrolladores, pero debemos asegurarnos que las que consumimos, pinchamos o ejecutamos sean de proveedores, clientes y servicios reconocidos, por lo que debe existir un proceso de evaluación de las mismas, sí como controles de seguridad internos que impidan por ejemplo, entregar claves de acceso API a terceros sin poner controles para bloquear acciones o monitorizar acciones.

Cuentas de servicios: Falta de una correcta administración de las cuentas de servicios de los proyectos cloud del cliente, que impidan que se ejecuten acciones que perjudiquen la infraestructura cloud y la operación de la organización.

Protección de información y compliance: Los entornos cloud son muy seguros en términos de cifrado y resguardo de datos e información. Los proveedores realizan mucho esfuerzo en asegurar que este recurso vital para sus clientes esté lo más protegido posible, pero la gestión y el tratamiento de los datos son responsabilidad del cliente y si no se cuenta con controles adecuados en cuanto al acceso, el respaldo, etc, puede ocasionar fuga de datos, pérdidas de los mismos, entre otros.

Uso incorrecto por error o adrede de los servicios cloud: La nube en sí es muy potente, con una gran capacidad de escalamiento, por lo que puede ser objetivo de ciberdelincuentes, con el único fin de apropiarse de los recursos cloud para realizar cryptojacking. O que por falta de controles un usuario de la organización puede generar gastos innecesarios en el entorno cloud.


Estrategías de Seguridad

Como resultado de la experiencia de Zenta, cuando uno de nuestros clientes está por migrar al cloud se le guía en la implementación de protocolos de seguridad similares a los que tienen (o deberían tener) en sus entornos on-premise. Si no existen protocolos aceptables que replicar en la migración, nos enfocamos en construir un modelo de trabajo en nube con la seguridad como uno de los principios fundamentales, aprovechando la gran y diversas cantidad de herramientas que entregan los vendor cloud para fijar protocolos y medidas de seguridad bases.

Creamos entornos seguros pero ágiles, implementando normas de CI/CD para que tanto el negocio como sus desarrolladores puedan beneficiarse del uso de seguridad nativa cloud, lo que les permite evolucionar más rápido en el crecimiento de sus entornos y despliegue de proyectos, productos y servicios. Aprovechando la potencialidad de la nube, que facilita la vida de los desarrolladores, arquitectos y del negocio en sí.

Es importante dejar claro que, una buena estrategia de seguridad cloud depende en gran medida del desarrollo y evaluación de un análisis de amenazas y gestión del riesgo , lo cual permitirá desarrollar controles y políticas de seguridad adecuadas para cada cliente. Con esta información a mano es altamente recomendable desarrollar protocolos internos que permitan medir la salud de la seguridad de la organización en base a los procesos desarrollados, los riesgos levantados y las amenazas identificadas.

Cuando en Zenta guiamos a nuestros clientes a migrar a la nube nos encargamos de ayudarlos a entender que ya no se debe abordar el diseño e implementación de arquitecturas como se hacía hace un tiempo atrás, ya que con las ventajas que entregan los proveedores cloud, lo más recomendable es aprovechar los servicios nativos para poder establecer arquitecturas y plataformas adaptadas de forma correcta a la nueva realidad. Siempre tomando en cuenta que estos servicios nativo cumplan con las necesidades particulares de cada cliente.

Por último me gustaría contar de otra herramienta bastante importante para garantizar la seguridad en entornos cloud: Ciber Strategy Framework del NIST , una herramienta que no está desarrollada solo pensando en nube, pero con este framework se puede evaluar la madurez de ciberseguridad que tiene una empresa, ya que entrega controles que pueden y deben desarrollarse en base a las necesidades de cada negocio, e indica que, para cada control debe desarrollarse una descripción, una arquitectura de referencia y asociarlos a los repositorios de controles de la organización.



Framework Core Structure (National Institute of Standards and Technology). Fuente NIST



Nota Final

En este artículo hemos querido aportar con nuestra experiencia en términos de administración, migración y desarrollo seguro en entornos cloud. En Zenta creemos importante estar preparados en vista de la situación actual referente a los accidentes o ciberdelitos que se han cometido, creemos que el cloud es un habilitador espectacular para el desarrollo de nuestros clientes, aunque como en todas las tecnologías existen riesgos, también se encuentran diversas metodologías, herramientas y controles que permiten sacar el máximo provecho a sus entornos.

¿Te preocupa la seguridad en tu negocio? No te preocupes, en Zenta estamos listos para guiarte y lograr el mejor rendimiento apalancado en una seguridad de calidad.

Publicado por:

Javier Linares
Head of Security & Innovation