Contenido relacionado

¿Qué es la arquitectura de seguridad en la nube (Cloud Security Architecture)?

Al hecho de crear e implementar estrategias, tecnologías y prácticas con el objetivo de proteger su entorno de nube se le denomina arquitectura de seguridad de la nube. También conocida como arquitectura de seguridad de computación en la nube, ayuda a las organizaciones a definir las capas de seguridad, las normas de seguridad, las mejores prácticas y otras técnicas de gobernanza necesarias para sacar el máximo partido de su entorno de computación en la nube. Por otro lado, la arquitectura de la nube se refiere a la disposición y el diseño de todo el hardware, el software, los datos y las tecnologías que se utilizan en su entorno de nube de la forma que mejor se adapte a los requisitos empresariales.

Cualquier organización que desee adoptar la nube debe tener mapeada tanto su arquitectura como su arquitectura de seguridad en la nube.

Una arquitectura de seguridad en la nube efectiva garantiza que su organización cumple la normativa, protege los datos confidenciales y es capaz de adaptarse al cambiante panorama de las amenazas en la nube.

Importancia de la arquitectura de seguridad en la nube

Crear una arquitectura de seguridad en la nube ayuda a las organizaciones a:

  1. Comprender cada intrincado detalle de su entorno de nube.
  2. Detectar cualquier riesgo potencial o vulnerabilidad del sistema.
  3. Crear un plan de defensa rápido en caso de cualquier infracción para estar familiarizados con todas las funciones de seguridad.
  4. Evitar errores de configuración.
  5. Garantizar una utilización adecuada de las finanzas, ya que la arquitectura puede garantizar que sólo se implementen las medidas de seguridad esenciales.
  6. Adaptarse a la naturaleza dinámica del panorama de las amenazas utilizando una arquitectura de nube más flexible, pero bien construida y segura.
  7. Garantizar la escalabilidad, ya que la arquitectura de seguridad proporcionará un conocimiento profundo de qué y cómo puede aumentar o reducir la escala de su nube.

Principios y pilares

La infraestructura de nube se construye con base en dos tipos de componentes: Principios y estrategias.

  1. Los principios son los conceptos fundamentales en los que se basa la estrategia general de la arquitectura de seguridad de la nube, por lo que actúan como cimientos. Especifican los valores fundamentales y los requisitos que debe seguir la arquitectura.
  2. Las estrategias son las prácticas y tácticas utilizadas para garantizar que los principios se implementan de forma efectiva, actuando así como pilares de la infraestructura de nube.

Si los principios sientan las bases y las estrategias son los pilares, los componentes son los ladrillos que construyen la estructura principal, en este contexto, la nube.

Aquí hay una ilustración que le ayudará a comprender los conceptos fundamentales que proporcionan el marco para la nube.

A pictorial representation of how the various principles and pillars of cloud security architecture support a cloud infrastructure
Figura 1: Cómo los distintos principios y estrategias de la arquitectura de seguridad en la nube ayudan a la nube

Los cuatro principios que forman la base de la arquitectura de seguridad en la nube son:

  1. Confidencialidad: Esto significa que debe mantenerse la privacidad de los datos. Las organizaciones deben tomar todas las medidas necesarias para garantizar que los atacantes malintencionados no ingresen en su ecosistema de nube.
  2. Integridad: Esto significa que se debe mantener la exactitud de los datos. Las organizaciones necesitan garantizar que sus datos no son manipulados en el proceso de tránsito de forma no autorizada o maliciosa.
  3. Disponibilidad: Esto significa que los datos siempre deben estar accesibles sin comprometer la integridad ni la confidencialidad. Las organizaciones necesitan utilizar suficientes servidores, redes y aplicaciones para garantizar que los datos estén disponibles incluso en caso de fallo de la red o del servidor.
  4. El modelo de responsabilidad compartida: Este modelo describe los roles de los consumidores de la nube y los proveedores de servicios. También define el alcance de la responsabilidad de proteger la nube, tanto para el proveedor como para el usuario. Por lo general, los proveedores de servicios son responsables de la infraestructura subyacente, y los clientes son responsables del acceso, el cifrado de datos y otras configuraciones. Puede leer sobre el modelo de responsabilidad compartida de AWS aquí para obtener más información sobre cómo los proveedores de servicios en la nube (CSP) y los clientes comparten generalmente la responsabilidad. Dependiendo del CSP, las responsabilidades compartidas pueden variar. Toda la información del blog anterior es estrictamente pertinente sólo para AWS y sus clientes.

Al igual que la funcionalidad de los pilares en un edificio de hormigón, la arquitectura de seguridad en la nube también tiene múltiples estrategias que mantienen unida su estructura para garantizar la seguridad en la nube. Estas estrategias son:

  1. Encriptación de datos: Una de las formas más efectivas de garantizar la confidencialidad de sus datos es convertirlos en texto cifrado ilegible.
  2. Seguridad por diseño: Este método garantiza que la seguridad sea lo primero en cada etapa del diseño, el desarrollo y la implementación. Utilizando tácticas como el mínimo privilegio, la codificación segura y las pruebas de seguridad periódicas, la seguridad por diseño pretende crear entornos de nube seguros.
  3. IAM: La IAM es un método mediante el cual los administradores determinan qué usuarios pueden acceder a qué y cómo. En general, se recomienda que los administradores de TI sigan los principios de aislamiento (de los datos sensibles) y de mínimo privilegio (para los usuarios) para garantizar la confidencialidad y la integridad.
  4. Visibilidad: Mantener la visibilidad en la nube puede ayudar a las organizaciones a monitorear el rendimiento, identificar y solucionar problemas, detectar oportunidades para aumentar o reducir la escala y reconocer las amenazas a la seguridad. Usar herramientas de SIEM puede ahorrarle muchos problemas al automatizar la mayor parte del trabajo mencionado anteriormente.
  5. Cumplimiento: Cumplir con GDPR, PCI DSS e ISO, entre otros, ayudan a las organizaciones a integrar las normas y reglamentos del sector en su entorno de nube. El cumplimiento de las normas es un indicio de su observación constante del entorno de nube, la seguridad proactiva y la adaptabilidad al entorno dinámico. El cumplimiento de las normas de seguridad en la nube puede ser exhaustivo y confuso, a menos que esté preparado. Conozca su importancia, los marcos de trabajo, las mejores prácticas y las normas populares aquí.
  6. Flexibilidad: Permite que su nube se adapte a las necesidades siempre cambiantes de las organizaciones. La flexibilidad garantiza la mejora continua de su nube sin comprometer la calidad de sus soluciones de seguridad existentes.
  7. Automatización: Garantiza un movimiento rápido de los datos, una mejor detección y respuesta a las amenazas, una utilización adecuada de los recursos y una reparación inmediata en caso de cualquier vulnerabilidad o error de configuración.

¿Cuáles son los diferentes componentes de la arquitectura de la nube cuya seguridad se debe garantizar?

Con la ayuda de las estrategias, los componentes garantizan que se forme una nube robusta y segura. Hay ocho componentes diferentes:

  1. Infraestructuras físicas: Se refiere a todos los centros de datos físicos, middleware, hardware, centros de almacenamiento, infraestructura de red y dispositivos de endpoint necesarios para hacer funcionar la nube. Instalar cámaras de seguridad y restringir los accesos ilegales son un par de medidas que entran dentro de la protección de las infraestructuras físicas.
  2. Capa de virtualización: Se refiere al software de virtualización, como un hipervisor o equipos virtuales, que ayuda a aumentar la escalabilidad y la utilización de recursos imitando servidores, equipos y redes. Algunos de los pasos para proteger la capa de virtualización implican gestionar los parches continuamente y gestionar y supervisar el acceso de los administradores a los VM.
  3. Gestión y orquestación: Se refiere a todas las herramientas que ayudan a monitorear y registrar, gestionar el cumplimiento, orquestar y gestionar la carga de trabajo, automatizar los procesos y gestionar la identidad dentro de la nube. Instalar soluciones de SIEM, automatizar la respuesta a las amenazas y garantizar el cumplimiento son algunas medidas de seguridad dentro de este componente.
  4. Servicios de almacenamiento: Se refiere a varios servicios utilizados para el respaldo y la recuperación ante desastres en la nube. También incluye servicios de transferencia de datos como Google Cloud CDN, servicios de almacenamiento como AWS S3 o almacenamiento de archivos como Azure Files. Puede garantizar la seguridad mediante el cifrado de los datos, el control de los privilegios y los accesos.
  5. Servicios de red: Se refiere a todas las aplicaciones de middleware que permiten la comunicación entre los CSP, los usuarios y otras redes. Algunos de los servicios que entran en esta categoría son las VPN, las CDN y los servicios de seguridad de red como los grupos de firewall y los grupos de seguridad. El grupo de seguridad de Amazon VPC es un ejemplo. Implementar firewalls seguros, sistemas de detección y prevención de intrusiones y grupos de seguridad para las comunicaciones de red son algunas formas de proteger estos servicios.
  6. Servicios de seguridad: Se refiere a los distintos servicios de seguridad, como el cifrado, y a los productos que permiten la seguridad de los datos, la red, el perímetro, las aplicaciones y los endpoints que se utilizan para proteger los recursos de la nube. También incluye herramientas de seguridad en la nube como la SIEM o la IAM que le ayudarán a reforzar su postura de seguridad.
  7. Servicios informáticos: Se refiere al entorno informático que proporciona ajustes virtualizados para ejecutar aplicaciones como contenedores, VM o servicios gestionados como Google App Engine. Esta capa se puede proteger utilizando herramientas de seguridad en tiempo de ejecución, aplicando parches y utilizando soluciones de seguridad de contenedores para escanear en busca de vulnerabilidades.
  8. Servicios de base de datos: Se refiere a los distintos tipos de bases de datos, como los sistemas de gestión de bases de datos relacionales (RDBMS), NoSQL, bases de datos de series temporales y servicios de bases de datos gestionadas. Se utilizan para almacenar datos, consultarlos cuando sea necesario y gestionarlos. La base de datos Azure SQL es un ejemplo. Proteger estos servicios implicará cifrar el contenido de la base de datos, implementar herramientas de monitoreo de la actividad de la base de datos y utilizar firewalls de base de datos.

¿Estos componentes cambian si se cambia el modo de implementación o el modelo de servicio? No, pero las responsabilidades cambiarán. Vamos a profundizar.

Arquitectura de seguridad en la nube para nubes públicas, privadas, híbridas y múltiples

Nube pública

Los entornos de nube pública son los servicios y la infraestructura de nube mantenidos por un proveedor de servicios externo que pone estos servicios a disposición de los suscriptores a través de Internet.

Arquitectura: La mayoría de los componentes de la nube pública son gestionados y controlados únicamente por el proveedor de servicios. La mayoría de las veces, los clientes sólo son responsables de garantizar el acceso seguro del usuario, la seguridad de los datos, el monitoreo y registro de los usuarios, y el cumplimiento de las normas.

Consulte la Tabla 1 para comprender el alcance de la responsabilidad de los usuarios y los CSP en la nube pública.

Nube privada

En un modelo de nube privada, los servicios y la infraestructura son mantenidos por una organización de forma privada. El acceso a estos servicios está limitado a un pequeño grupo de usuarios que pertenecen a la organización.

Arquitectura: Al igual que las nubes públicas, la mayoría de los componentes son gestionados por los CSP. Sin embargo, dado que esta nube es utilizada por una única organización, dispondrán de una mayor seguridad y un mayor control de su entorno de nube.

Consulte la Tabla 1 para comprender el alcance de la responsabilidad de los usuarios y los CSP en las nubes privadas.

Nube híbrida

Los modelos de nube híbrida son un tipo combinado de computación en la nube que permite a las organizaciones aprovechar la escalabilidad y las ventajas financieras del modelo de nube pública al tiempo que invierten en alguna infraestructura de nube privada específica para la protección de datos sensibles.

Arquitectura: Tanto las nubes privadas como las públicas se encargan de orquestar los servicios y la transferencia de datos entre ellas

Consulte la Tabla 1 para comprender el alcance de la responsabilidad de los usuarios y los CSP en las nubes híbridas.

Multi nube

Se trata de una combinación entre nubes estratégicamente elegidas que podrían incluir servicios prestados desde múltiples entornos de nubes públicas o múltiples entornos de nubes privadas.

Arquitectura: Al contener múltiples inquilinos, la responsabilidad también va a ser diversa y dependerá en gran medida del usuario de un servicio más que del proveedor.

Consulte la Tabla 1 a continuación para comprender el alcance de la responsabilidad de los usuarios y los CSP en las nubes múltiples.

Tabla 1: Distribución de la responsabilidad entre el CSP y el usuario en la nube pública, privada, híbrida y múltiple

 Responsabilidad basada en el modo de implementación
 Nube públicaNube privadaNube híbridaMulti nube
Infraestructura físicaCSP: Responsabilidad total.CSP: Responsabilidad total si el centro de datos está fuera de las instalaciones.

Usuario: Responsabilidad total si el centro de datos está on-premises.		CSP: Responsabilidad total.

Usuario: Responsable sólo si posee centros de datos.		CSP: Responsabilidad total.
Capa de virtualizaciónCSP: Implementar, asignar y gestionar.

Usuario: Configuración y seguridad.		CSP: Implementar, gestionar y proteger.

Usuario: Configuración y seguridad.		CSP: Implementar, gestionar y proteger.

Usuario: Configuración, seguridad y utilización óptima de los recursos..		CSP: Implementar y gestionar la infraestructura.

Usuario: Configuración y gestión de los servicios de que disponen.
Gestión y orquestaciónCSP: Implementar y gestionar herramientas.

Usuario: Configuración, monitoreo, alerta y uso adecuado.		CSP: Implementar y gestionar herramientas.

Usuario: Configuración, monitoreo, alerta y uso adecuado.		CSP: Implementar y gestionar herramientas.

Usuario: Configuración, monitoreo, alerta y uso adecuado.		CSP: Implementar, controlar, automatizar, gobernar las herramientas.

Usuario: Configurar, monitorear y gestionar sus recursos..
Servicios de almacenamientoCSP: Seguridad, CIA de datos, gestión.

Usuario: Controles de acceso, clave de cifrado, directivas de conservación		CSP: Seguridad, CIA de datos, gestión.

Usuario: Controles de acceso, clave de cifrado, directivas de conservación		CSP: Seguridad, CIA de datos, gestión, respaldo en ambas nubes.

Usuario: Configurar, gestionar, migrar, replicar y sincronizar entre nubes privadas y públicas.		CSP: Aprovisionar y gestionar el almacenamiento.

Usuario: Configurar, gestionar el almacenamiento, directivas de respaldo y controles de acceso.
Servicios de redCSP: Gestión, mantenimiento, rendimiento y seguridad

Usuario: Configuración de los ajustes de red y seguridad, monitoreo del tráfico y definición de ACL de la red.		CSP: Gestión, mantenimiento, rendimiento y seguridad.

Usuario: Configuración de los ajustes de red y seguridad, monitoreo del tráfico y definición de ACL de la red.		CSP: Gestionar, mantener, conectividad entre dos nubes y proteger la comunicación.

Usuario: Reglas del firewall para una comunicación segura, directivas de enrutamiento, rendimiento de la red y seguridad en las nubes.		CSP: Gestionar, mantener, conectividad entre dos nubes y proteger la comunicación.

Usuario: Configuración de la red, establecer una comunicación segura.
Servicios de seguridadCSP: Configurar, implementar y gestionar la seguridad.

Usuario: Controlar el acceso del usuario, configurar las reglas del firewall, cifrado de los datos y cumplimiento de las normas.		CSP: Configurar, implementar y gestionar la seguridad.

Usuario: Controlar el acceso del usuario, configurar las reglas del firewall, cifrado de los datos y cumplimiento de las normas.		CSP: Configurar y gestionar los servicios y las herramientas.

Usuario: Gestionar las directivas, los controles, las claves y el cumplimiento, y detectar amenazas o personas malintencionadas.		CSP: Proporcionar y gestionar servicios y herramientas.

Usuario: Configurar y gestionar las directivas, las claves, los controles y el cumplimiento de las normas.
Servicios informáticosCSP: Implementación, gestión, mantenimiento y rendimiento.

Usuario: Configurar VM, optimizar el rendimiento.		CSP: Implementación, gestión, mantenimiento y rendimiento.

Usuario: Configurar VM, optimizar el rendimiento.		CSP: Implementación, gestión, mantenimiento y rendimiento en ambas nubes.

Usuario: Configurar VM, optimizar el rendimiento y el uso de los recursos en ambas nubes.		CSP: Implementar y gestionar.

Usuario: Configurar y gestionar sus servicios.
Servicios de base de datosCSP: Escalabilidad, crear respaldos, mantener y gestionar.

Usuario: Definir los esquemas de la base de datos, gestionar ACL, cumplimiento.		CSP: Escalabilidad, crear respaldos, mantener y gestionar.

Usuario: Definir los esquemas de la base de datos, gestionar ACL, cumplimiento.		CSP: Escalabilidad, crear respaldos, mantener y gestionar servicios.

Usuario: Definir los esquemas de la base de datos, gestión de catástrofes y cumplimiento en ambas plataformas.		CSP: Proporcionar bases de datos.

Usuario: Configurar y gestionar completamente

Arquitectura de seguridad en la nube: Software como servicio, plataforma como servicio e infraestructura como servicio

En función de los modelos de servicios en la nube, existen diferentes tipos de nube: SaaS, PaaS e IaaS. El software como servicio (SaaS) es un enfoque en el que los usuarios acceden al servicio a través de Internet y normalmente sólo pagan por los servicios a los que se han suscrito. Microsoft 365 es un ejemplo.

La plataforma como servicio (PaaS) es un enfoque en el que el CSP trabaja como un tercero y aloja todo lo que un desarrollador pueda necesitar, incluyendo hardware, software y herramientas de desarrollo, que pueden ser accesibles a través de Internet en un estilo de pago por uso. Google Kubernetes Engine es un ejemplo.

La infraestructura como servicio (IaaS) es un enfoque en el que el CSP alquila toda la infraestructura informática necesaria a los usuarios. El almacenamiento, los servidores, los equipos virtuales, las redes, la seguridad y las herramientas de implementación son algunos de los componentes, mientras que los usuarios sólo tendrán que ocuparse de los datos, las aplicaciones, el tiempo de ejecución y el middleware. AWS EC2 es un ejemplo.

En la Tabla 2 se ofrece una breve explicación de quién es responsable de qué en este tipo de modelos de servicio.

Tabla 2: Distribución de la responsabilidad entre el CSP y el usuario en IaaS, PaaS y SaaS.

 Responsabilidad basada en modelos de servicio en la nube
 IaaSPaaSSaaS
Infraestructura físicaCSP: Completamente responsable.CSP: Completamente responsable.CSP: Completamente responsable.
Capa de virtualizaciónCSP: Completamente responsable.CSP: Completamente responsable.CSP: Completamente responsable.
Gestión y orquestaciónCSP: Proporcionar y gestionar las herramientas y la plataforma.

Usuario: Configurar, gestionar, monitorear, crear directivas, crear flujos de trabajo de automatización.		CSP: Completamente responsable.CSP: Completamente responsable.
Servicios de almacenamientoCSP: Gestionar la infraestructura y prestar los servicios necesarios.

Usuario: Configurar y gestionar los recursos asignados.		CSP: Completamente responsable.

Usuario: Usar los servicios de almacenamiento proporcionados por PaaS, pero no son responsables de ello.		CSP: Completamente responsable.
Servicios de redCSP: Gestionar los recursos para garantizar una conectividad fiable y segura.

Usuario: Configurar y gestionar los servicios y las reglas de los recursos proporcionados..		CSP: Completamente responsable.

Usuario: Usar los servicios de red proporcionados por PaaS, pero no gestionar las configuraciones.		CSP: Completamente responsable.
Servicios de seguridadCSP: Proporcionar los servicios de seguridad necesarios.

Usuario: Configurar, gestionar, actualizar y cumplir la normativa.		CSP: Completamente responsable.CSP: Completamente responsable.
Servicios informáticosCSP: Aprovisionar y gestionar los recursos necesarios para los clientes.

Usuario: Configurar, gestionar y perfeccionar el rendimiento.		CSP: Completamente responsable.

Usuario: Implementar y desarrollar únicamente las aplicaciones proporcionadas por la plataforma.		CSP: Completamente responsable.
Servicios de base de datosCSP: Ofrecer múltiples opciones a los usuarios para su implementación.

Usuario: Implementar, configurar, garantizar un uso óptimo y gestionar.		CSP: Completamente responsable.
Usuarios: Interactúan con las API proporcionadas por la plataforma y no gestionan.		CSP: Completamente responsable.

¿Qué hace un arquitecto de la seguridad en la nube?

Son las personas a las que debe acudir para todas las consultas relacionadas con la seguridad en la nube. Como su nombre indica, un arquitecto de la seguridad en la nube es el que garantiza el cumplimiento y la seguridad de la infraestructura de nube. Sus responsabilidades incluyen:

  • Evaluar los requisitos empresariales, diseñar la arquitectura de la nube, identificar los requisitos de seguridad y las soluciones que pueden satisfacer todas sus necesidades, e implementarlas.
  • Trabajar con los equipos de TI y monitorear la red, identificar las vulnerabilidades de seguridad y tratar de resolverlas.
  • Crear las mejores prácticas de seguridad para que las organizaciones las sigan.
  • Garantizar la optimización del rendimiento con respecto a las medidas de seguridad.
  • Realizar una planificación de la capacidad para garantizar la escalabilidad.
  • Gestionar la documentación de configuraciones, directivas y procedimientos de seguridad.
  • Realizar la gestión de costos para la correcta implementación de las herramientas de seguridad.

Éstas son sólo algunas de las responsabilidades de un arquitecto de la seguridad en la nube. Dado que se trata de un campo dinámico, los arquitectos de la seguridad en la nube deben mantenerse actualizados, ser proactivos y permanecer atentos a los cambios que se producen a su alrededor.

En esta página
 
  • ¿Qué es la arquitectura de seguridad en la nube?
  • Importancia de la arquitectura de seguridad en la nube
  • Principios y pilares
  • Componentes de la arquitectura en la nube que requieren seguridad
  • Arquitectura de seguridad en la nube para nubes públicas, privadas, híbridas y múltiples
  • Arquitectura de seguridad en la nube: SaaS, PaaS e IaaS
  • ¿Qué hace un arquitecto de la seguridad en la nube?