Para citar un famoso dicho estadounidense, ¡La nube es el mejor invento del pan de molde hasta nuestros días!
Es uno de esos inventos históricos que cambian hábitos, paradigmas de trabajo, procesos de negocio de forma suave pero inexorable, aceptados por grandes y pequeñas empresas, capaces de traer continuidad y a la vez profunda innovación.
Precisamente estas últimas características la hacen poderosa, hasta el punto de que desde hace algún tiempo se viene debatiendo la temática de nube híbrida - es decir, el que consta de partes tradicionales y online, experiencias privadas y que se apoyan en proveedores compartidos, construidos sobre la mejora de procesos que existen desde hace algún tiempo y cuyas ineficiencias son conocidas respecto a profundas innovaciones en las formas de hacer negocio.
Si el impulso, de moda o no, de la transformación digital no fuera suficiente, la reciente situación de pandemia ha creado emergencias y modus operandi que han exacerbado aún más la necesidad de hacer que los procesos y aplicaciones sean accesibles de forma remota y omnipresentes en todo momento y conectados desde cualquier lugar.
Esto ha llevado a reacciones a menudo apresuradas, a veces percibidas como simplificaciones con reducciones de costos significativas, a menudo definidas como "levantar y cambiar" y caracterizadas por el desplazamiento de servidores de los centros de datos corporativos tradicionales a los entornos. cloud Amazónicos, microsoftés o googlici.
Los proyectos con un enfoque más estructurado, sin embargo, han planteado la hipótesis de una reingeniería de las plataformas de aplicación de acuerdo con los principios de Plataforma como servicio (o PaaS).
Si desde el punto de vista de TI y desarrollo, este enfoque moderno y eficaz requería una fragmentación del servidor en sus componentes fundamentales, como almacenamiento, listas de acceso, redes, bases de datos y más, pocos han percibido la profunda diferencia desde el punto de vista de seguridad., especialmente en relación con la responsabilidad compartida.
Este concepto fue resumido de manera excelente por Amazon Web Services o AWS en la oración "Esta diferenciación de responsabilidad se conoce comúnmente como seguridad en la nube versus seguridad en la nube" e igualmente ilustrado eficazmente como sigue.
Este esquema, utilizado muy a menudo para educar a las empresas sobre una evolución consciente de sus procesos y esquemas comerciales para aprovechar las plataformas. cloud, presenta una simplificación a veces excesiva del concepto que intentaré explicar con un ejemplo.
Supongamos que la empresa ficticia ACME Ricambi Motoveicoli completó su primera transformación digital hace cuatro años, implementando un sistema de servidor expuesto en Internet y ubicado en su centro de datos para crear un sistema orientado a la venta online de sus productos y servicios.
En el caso que nos ocupa, supongamos que la solución fue exitosa pero que resultó ser excesivamente compleja y costosa de mantener, debido a la infraestructura requerida.
Así que en 2019 el proyecto ha evolucionado con el traslado de los servidores en cloud, con la esperanza de reducir los costos.
Gracias a la pandemia que provocó un aumento de usuarios, la necesidad de escalar recursos generó costos de réplicas de servidores superiores a la eficiencia operativa, debido a la estructura monolítica de los servidores (la prisa había llevado a optar por una solución rápida ...) .
A finales de 2020 nuestro ACME Ricambi Motoveicoli optó por una revisión completa del proyecto que fragmentó los componentes individuales de los servidores, instanciatándolos de forma equilibrada y escalable en cloud. Básicamente, la idea es separar lo que normalmente define un servidor, por ejemplo, el almacenamiento o espacio en disco, la base de datos en la que se almacenan los datos, las reglas de acceso a los servicios expuestos, etc. Cada fragmento está configurado en cloud individualmente, con un sistema que multiplica sus solicitudes a medida que aumenta la demanda. Este enfoque es ideal porque replica solo los componentes del mosaico de aplicaciones que lo necesitan, optimizando la relación inversión / rendimiento.
Si desde el punto de vista aplicativo y operativo esta es la forma correcta, desde el punto de vista de la seguridad esto requiere una modificación profunda de las estrategias de protección, precisamente por la opacidad típica de la corresponsabilidad.
Para entender lo que quiero decir, profundicemos una parte del gráfico anterior:
A primera vista, si desea crear una instancia de almacenamiento y de base de datos, la responsabilidad de proteger todo parece recaer en Amazon.
Y ciertamente lo es cuando se trata de almacenamiento y / o resiliencia de la instancia de base de datos.
Lo que el diagrama simplificado no nos dice es que si miramos más de cerca estos dos elementos en la configuración de seguridad, notamos lo siguiente.
La configuración de una instancia de almacenamiento, por ejemplo Amazon S3 Bucket, tiene como valor predeterminado Permisos - Política de depósito - Principal un valor predeterminado de *, que permite a cualquier persona acceder al almacenamiento expuesto y accesible.
Una instancia de Amazon> RDS, es decir, una base de datos, tiene una configuración de base de datos predeterminada sin protección contra la eliminación.
Un compromiso con el medio ambiente cloud - por ejemplo, para el robo de credenciales - permitiría a los atacantes eliminar la instancia de la base de datos, quizás después de haber transferido los datos.
Estos dos ejemplos ilustran cómo todo el concepto de seguridad en el paradigma PaaS requiere un conocimiento que normalmente no está al alcance de todos; esto significa la necesidad de actualizar las habilidades del equipo de seguridad, un elemento que a menudo no se considera en la planificación del proyecto cloud.
También sería deseable tener inventarios especializados y soluciones de análisis de configuración dinámica, quizás capaces de abarcar múltiples proveedores de servicios. cloud. De esta forma llegamos a una presentación unificada y orgánica de la superficie vulnerable, mapeada directamente sobre la visibilidad alcanzada del entorno. multi-nube, capacidades discutidas en el artículo anterior "De los datos brutos a la información utilizable: visibilidad y observabilidad".
Cloud Security Alliance, una institución para la difusión cultural de la seguridad en los entornos cloud, ha lanzado dos publicaciones importantes sobre las que recomiendo leer:
Los Doce Traicioneros (Los Doce Traicioneros), en el que ya en 2016 enumeró doce incidentes en cloud cuya causa fue principalmente la no observancia de las mejores prácticas en las configuraciones.
Los once atroces (Gli Egregi Once), en el que hace dos años presentó el análisis de once incidentes importantes cuyo origen seguía siendo a menudo una configuración errónea o demasiado permisiva de los recursos.
Il Soluciones Sin duda, es el camino hacia una mayor agilidad empresarial y una economía de escala en el control de costes de TI. Sin embargo, la adopción de esta nueva tecnología no puede ignorar la actualización de las habilidades de seguridad y la mejora de las capacidades de visibilidad, observabilidad, detección y respuesta adecuadas para este nuevo desafío.
Para saber más:
https://www.theinnovationgroup.it/ll-cloud-ibrido-leva-strategica-per-il...
https://aws.amazon.com/it/compliance/shared-responsibility-model/
