Cómo una empresa basada en múltiples nubes gestiona los controles de seguridad

0
60
Custom Text

Uno de los mayores retos en materia de ciberseguridad a los que se enfrentan los CISOs es cómo mantener la protección y la privacidad de los datos cuando sus organizaciones trasladan las cargas de trabajo a la nube. En particular, ¿cómo pueden gestionar los controles de seguridad en un entorno exclusivamente en la nube?

Esto se ha vuelto más importante a medida que las organizaciones migran a los servicios en la nube debido a la pandemia del COVID-19 y cambian a un modelo de trabajo desde casa. Como señala la empresa de investigación International Data Corp. (IDC) en un informe de octubre del 2020, la pandemia «ha demostrado ser en gran medida un acelerador de la adopción y extensión de la nube, y seguirá impulsando una conversión más rápida a la TI centrada en la nube».

IDC prevé que el gasto mundial en servicios en la nube, los componentes de hardware y software que los sustentan, y las oportunidades de servicios profesionales y gestionados en torno a los servicios en la nube, superarán los mil millones de dólares en el 2024 y mantendrán una tasa de crecimiento anual del 16%.

La nube, en todas sus variantes, desempeñará un papel cada vez más importante, e incluso dominante, en el sector de TI en el futuro inmediato, afirma Richard Villars, vicepresidente del grupo de investigación mundial de IDC. Para finales del 2021, la mayoría de las empresas pondrán en marcha un mecanismo para acelerar su cambio a la infraestructura digital y los servicios de aplicaciones centrados en la nube, afirma.

Dada la creciente importancia de la nube, las empresas deben averiguar cómo mantener eficazmente un alto nivel de seguridad en este entorno cambiante.

AppsFlyer, un proveedor de plataformas de atribución y análisis de marketing móvil, ofrece un buen ejemplo de cómo hacerlo.

Escalar la seguridad en un gran entorno multi-nube
El entorno informático de la empresa es 100% nativo de la nube, sin servidores locales. Su plataforma utiliza múltiples servicios en la nube de proveedores como Amazon Web Services (AWS), Google Cloud, Microsoft Azure y Alibaba Cloud. El entorno de la nube se extiende por cinco países y cuenta con más de 15 mil servidores que procesan más de 80 terabytes de datos al día. AppsFlyer opera uno de los mayores despliegues de AWS fuera de Estados Unidos con decenas de miles de recursos.

«Dado que AppsFlyer es una empresa basada en la nube, la mayor amenaza y preocupación que tenemos es cómo escalar la seguridad para gestionar y validar todos los diferentes componentes que tenemos dentro de nuestro entorno, incluyendo las identidades, la infraestructura, la red y todo lo que la rodea», comenta Guy Flechter, que fue CISO en la empresa hasta que se fue a trabajar para una startup.

«Esto es importante, ya que tenemos que ser capaces de soportar todas las necesidades de seguridad dentro de la organización, que abarcan los equipos de ingeniería y DevOps, y más», añade Flechter. «Si no somos capaces de escalar nuestra seguridad, eventualmente nos veremos obligados a decirle a algunos de los equipos dentro de nuestra organización que no podemos apoyar ciertas iniciativas».

La gobernanza de la identidad y el derecho de acceso son prioridades
El equipo de seguridad de AppsFlyer hizo de la gobernanza de la identidad y la gestión de los derechos de acceso una prioridad para el 2020. Para los desarrolladores, los DevOps y los científicos de datos, el objetivo era asegurarse de que se aplicara el acceso con mínimos privilegios, y que las políticas fueran adecuadas para cada perfil de usuario.

Sin embargo, era difícil gobernar el uso de los derechos de acceso dentro del gran entorno de la nube. Además, AppsFlyer quería auditar todos los derechos de acceso concedidos a la infraestructura para limitar el acceso de alto riesgo a los recursos vitales, endurecer el entorno y eliminar los usuarios, funciones y permisos no utilizados.

Uno de los grandes retos era proporcionar visibilidad, ya que hay muchas partes móviles en la nube y es fácil crear más recursos e infraestructura, sostiene Flechter. «Por ejemplo, los desarrolladores pueden añadir nuevas instancias y cubos, [y] asignar diferentes permisos de acceso y derechos», señala.

Para hacer frente a los distintos retos, AppsFlyer desplegó un sistema de gestión de derechos de Ermetic. «Antes de seleccionarlos, realizamos una evaluación muy exhaustiva de los productos de gestión de derechos de la infraestructura en la nube en función de las necesidades de seguridad», afirma Flechter. «El producto tenía que ser compatible con varios proveedores de la nube. Queríamos que la solución diera soporte a las operaciones y no solo proporcionara visibilidad. Debía ayudarnos a solucionar las deficiencias de seguridad. Por último, queríamos la capacidad de remediar los problemas desde dentro de la herramienta e integrarla con nuestras otras herramientas de automatización».

«Considero que una herramienta de seguridad es eficaz solo si puede apoyar también los procesos operativos», anota Flechter. «Si solo proporciona una buena visibilidad, entonces es un bonito panel de control. [La plataforma] proporciona las capacidades operativas necesarias para dar soporte a las actividades que hay que realizar en función de la visibilidad que nos proporciona».

AppsFlyer comenzó con un despliegue gradual de la plataforma en cada uno de sus diferentes entornos de nube, uno a la vez. Fue fácil conectarse a cada plataforma en la nube, ya que todas admiten la integración de la interfaz de programación de aplicaciones (API) para los permisos de lectura, comenta Flechter. Cada conexión tardó menos de 15 minutos.

«Una vez que empezamos a generar resultados de Ermetic, comenzamos a ver inmediatamente las brechas de seguridad en nuestro entorno y a abordarlas», indica Flechter. La plataforma no requirió ningún ajuste fino para empezar a descubrir los riesgos, anota.

El sistema prioriza los problemas que deben abordarse primero, en función de la sensibilidad y el riesgo del activo. Un ejemplo sería el acceso a un cubo de AWS S3 que está abierto al mundo exterior. Los cubos son recursos de almacenamiento en la nube pública disponibles en la oferta de Simple Storage Service de AWS. «Esto sería marcado como un permiso excesivo de mayor prioridad, incluso si en sí no fuera un permiso administrativo privilegiado», indica Flechter.

El equipo de seguridad de AppsFlyer utilizó la plataforma para auditar todos los accesos de terceros a su entorno, y eliminó todas las aplicaciones de software como servicio (SaaS) que ya no se utilizaban, incluyendo algunas herramientas de seguridad y optimización. El equipo también revisó las aplicaciones que tenían acceso privilegiado a datos sensibles y eliminó los permisos innecesarios.

Crear una cartera completa de seguridad en la nube
El sistema de gestión de derechos es solo uno de los componentes del programa de seguridad de AppsFlyer. La empresa también utiliza Symantec Secure Access Cloud de Broadcom para la autenticación y autorización de los recursos en AWS. «Nos permite mantener una gestión de acceso segura y granular, utilizando un perímetro definido por software para aplicar los principios de confianza cero,» afirma Flechter.

AppsFlyer también utiliza una herramienta de protección de cargas de trabajo en la nube de Rezilion que permite a la empresa reducir su superficie de ataque y protegerla contra la actividad maliciosa; la plataforma de protección de API de Salt Security para proteger las APIs que se conectan a los recursos en la nube de AppsFlyer y detener los ataques que intentan manipular las APIs de servicios en la nube de la empresa; y GuardDuty de Amazon para la detección de amenazas. GuardDuty monitorea continuamente la actividad maliciosa y el comportamiento no autorizado para proteger las cuentas, las cargas de trabajo y los datos almacenados en AWS.

Con su cartera de tecnologías de seguridad, AppsFlyer tiene ahora una visibilidad total de su entorno de nube, a través de diferentes cuentas y diferentes proveedores de nube, que no tenía antes. «También tenemos la capacidad de automatizar la corrección de las brechas de seguridad y de seguir expandiéndonos a otras áreas, como la respuesta a incidentes», indica Flechter.

Corregir los puntos ciegos de la seguridad en la nube
Según Flechter, la empresa puede identificar y corregir de forma más rentable los puntos ciegos de la seguridad en la nube. «Sabemos con certeza dónde están nuestros riesgos en cada entorno de nube y lo que hay que abordar, y tenemos la automatización necesaria para solucionarlos», comenta. «Podemos concentrarnos en un entorno específico, pero el hecho de tener una visión global de los cuatro entornos de la nube en un solo lugar tiene un valor incalculable para nosotros».

Uno de los mayores beneficios es que AppsFlyer tiene ahora una mayor comprensión de las identidades y sus permisos. «Podemos localizar inmediatamente los permisos no utilizados y eliminarlos», afirma Flechter. «Esto nos permite aplicar el acceso de confianza cero de forma continua y automatizada. Tenemos una mucho mejor gestión de la postura de seguridad que la que teníamos antes».

Bob Violino CSOonline.com

Artículo anteriorApagado de redes 2G y 3G proporcionan oportunidad para el desarrollo de 5G
Artículo siguienteConsejos para fortalecer AD contra ataques estilo SolarWinds