¡Acceso ilimitado 24/7 a todos nuestros libros y vídeos! Descubra la Biblioteca Online ENI. Pulse aquí
¡Acceso ilimitado 24/7 a todos nuestros libros y vídeos! Descubra la Biblioteca Online ENI. Pulse aquí
  1. Libros
  2. Resiliencia cibernética en la empresa
  3. Seguridad en la nube pública
Extrait - Resiliencia cibernética en la empresa Retos, normas y buenas prácticas
Extractos del libro
Resiliencia cibernética en la empresa Retos, normas y buenas prácticas Volver a la página de compra del libro

Seguridad en la nube pública

Introducción

Este capítulo se centra en la seguridad de las cargas de trabajo en la nube pública, que ahora es una parte esencial del panorama de TI. Tras esbozar las cuestiones clave, el debate se centrará en la seguridad dentro de Azure y en los pasos necesarios para proteger la nube pública. Por último, se discutirán nuevos conceptos como la arquitectura SASE, los modelos CASB, CSPM y CWPP.

Los problemas

Los sistemas de información de las empresas siguen un patrón de hibridación tecnológica, con componentes alojados en la nube pública, es decir, en una infraestructura técnica compartida en todo el mundo. Esta infraestructura permite prestar distintos tipos de servicios: desde simples servidores virtuales hasta servicios de aplicaciones FaaS (Function as a Service), que permiten consumir funciones de las aplicaciones sin necesidad de servidores tradicionales.

Las cargas de trabajo son numerosas y prácticamente ilimitadas: pruebas de aplicaciones, experimentos de inteligencia artificial, alojamiento de software empresarial, plataforma de desarrollo, prueba de concepto durante unos meses, archivo de imágenes médicas, etc.

De este modo, las empresas disponen de una nueva fuente de energía digital que puede aprovisionarse y desmantelarse rápidamente, un modo de acceso de autoservicio con total autonomía en la gestión de los recursos (VM, cortafuegos, almacenamiento, etc.) o con la asistencia técnica de equipos de proveedores de servicios especializados, facturación de pago por uso, flexibilidad y elasticidad de los recursos informáticos.

En la medida en que todo o parte del sistema de información se despliegue en la nube pública, es natural proporcionar una ciberprotección adecuada.

Por tanto, es posible hacerlo de la forma tradicional...

Soluciones

1. Azure

a. Azure y la seguridad

Azure proporciona abundantes recursos de documentación para tratar eficazmente las cuestiones de seguridad informática, tanto desde un punto de vista técnico como de gobernanza. Entre los documentos de interés, conviene explorar los siguientes objetivos:

Informe sobre las solicitudes de las fuerzas del orden

El objetivo es encontrar informes oficiales sobre el número de solicitudes legales de datos de clientes recibidas por Microsoft de diversas entidades de todo el mundo.

Fuente: https://www.microsoft.com/en-us/corporate-responsibility/law-enforcement-requests-report

Microsoft describe los datos no contenidos de la siguiente manera:

"Los datos no relacionados con el contenido incluyen información básica del suscriptor, como la dirección de correo electrónico, el nombre, el estado, el país, el código postal y la dirección IP en el momento del registro. Otros datos no relacionados con el contenido pueden incluir el historial de conexiones IP, el gamertag de Xbox y la información de la tarjeta de crédito u otros datos de facturación. Necesitamos una solicitud legal válida, como una citación u orden judicial, antes de considerar la divulgación de datos no relacionados con el contenido a las fuerzas de seguridad".

Prueba de penetración

Microsoft no realiza pruebas de penetración por cuenta de sus clientes y desde junio de 2017 ya no es necesario obtener la autorización de Microsoft para realizar este tipo de pruebas. No obstante, los clientes deben cumplir con el contenido del documento "Penetration Testing Rules of Engagement", disponible en la siguiente dirección https://www.microsoft.com/es-es/msrc/pentest-rules-of-engagement?rtc=1

Fuente: https://docs.microsoft.com/es-es/azure/security/fundamentals/pen-testing

Las pruebas autorizadas se limitan al entorno del cliente:

  • Las diez principales vulnerabilidades identificadas por OWASP (Open Web Application Security Project)

  • Fuzzing (inyección de datos aleatorios en las entradas del programa)

  • Exploración de puertos

En cambio, los ataques DDoS están prohibidos.

Acuerdos de nivel de servicio

Es muy útil conocer los SLA que vinculan al proveedor con el cliente. Los contratos SLA describen los compromisos de Microsoft en términos de tiempo de actividad y conectividad;...

Pasos para proteger la nube pública

1. Proteger los enlaces de telecomunicaciones con SD-WAN

Históricamente, las redes de interconexión se han suministrado a través de enlaces de tipo MPLS totalmente dependientes de los operadores. El cliente no tiene absolutamente ninguna posibilidad de interactuar directamente y de forma autónoma con el enrutamiento de los flujos y la calidad del servicio (QoS). El objetivo de SD-WAN (Software Defined WAN) es romper con esta hegemonía y recuperar la independencia en términos de seguridad de los flujos de datos, y de sus propios flujos de datos. Esta independencia aporta sin duda un alto nivel de resiliencia. Una empresa con 150 sedes en todo el mundo, por ejemplo, podrá utilizar SD-WAN para redundar económicamente sus conexiones. Se trata de un gran cambio de paradigma: los clientes, si lo desean y si tienen un mínimo de conocimientos de redes, podrán asegurar su propia red.

Por tanto, asegurar las cargas de trabajo en la nube pública implica inevitablemente asegurar los enlaces de telecomunicaciones locales.

2. Seguridad de los sitios físicos: metodología y sentido común

Una vez urbanizada la red y conmutada al modo SDWAN, la seguridad de la nube pública empieza por asegurar las instalaciones técnicas locales de acuerdo con el estado de la técnica (sistema de refrigeración, redundancia de bastidores de almacenamiento y equipos de servidor, redundancia del suministro eléctrico, etc.). Al fin y al cabo, ¡no todo está en la nube pública! Hay muy pocas empresas que no tengan un legado de salas de ordenadores anticuadas, por no hablar de los empleados que, incluso con el auge del teletrabajo, siguen estando muy presentes en los locales de la empresa. Por tanto, hay que proteger los activos locales. Hay que gestionar el acceso a los locales con mucho cuidado y eficacia. Y lo mismo se aplica a los centros de datos de los proveedores de nubes públicas: hay que aplicar las normas básicas de gestión de los locales antes de pasar a las capas lógicas.

El incendio de la nube de OVH en marzo de 2021 puso de manifiesto problemas en la gestión de las instalaciones. La seguridad en la nube es cuestión de metodología y sentido común. Dos años después del incendio, no se han registrado nuevos incidentes...

Seguridad en Microsoft 365 / Office 365

Los productos Microsoft 365 y Office 365 están tan extendidos por todo el mundo y en todo tipo de organizaciones, incluidas las del sector público, que merece la pena presentar los mecanismos de seguridad subyacentes.

1. Diferencias entre Microsoft 365 y Office 365

O365 Enterprise: Office 365 es la nueva versión (el nuevo método de comercialización) de la famosa suite de colaboración Office. Es importante entender que Microsoft ahora quiere ofrecer su suite en modo SaaS, pero con algunas variantes que se traducen en diferentes versiones. Para las grandes organizaciones con más de 300 empleados, existen las versiones E1, E3, E5, F3, etc:

E1

Nivel básico: aplicaciones Office sólo web (Word, Excel, PowerPoint, OneNote, Access), Exchange Online (correo electrónico, calendario y contactos), reuniones de equipo Teams, OneDrive 1 TB, SharePoint. Requiere una conexión constante a Internet. No se puede instalar en dispositivos móviles.

Nota: los datos no pueden guardarse en una unidad local, sólo en OneDrive o SharePoint.

E3

Versión E1 con la opción de instalar el software localmente en hasta 5 ordenadores, 5 tabletas y 5 smartphones.

Protección de datos mejorada (cifrado de mensajes, gestión de derechos, prevención de pérdida de datos, archivado de correo electrónico).

E5

Versión E3 con protección...