Si usar un servidor en nube es bueno, ¿no sería aún mejor usar varios?
Esa parece ser la idea de muchas grandes organizaciones, que recurren cada vez más a la infraestructura multicloud como mejor práctica: en un reciente Encuesta de Harvard Business Review, 85% de los encuestados afirmaron que "sus organizaciones utilizan al menos dos nubes, y una cuarta parte de esos encuestados utilizan cinco o más". Flexera Informe 2022 sobre el estado de la nube señala que "multicloud es la infraestructura de nube más popular, con 89% de empresas que confían en ella".
El uso de una combinación de varias infraestructuras en la nube, como AWS, Azure y Google Cloud Platform, ofrece ventajas reales para ayudar a las organizaciones a optimizar el rendimiento, garantizar la resiliencia y evitar depender demasiado de un único proveedor.
Pero aunque la infraestructura multicloud puede ayudar a las empresas a alcanzar objetivos clave, también plantea nuevos retos a los administradores.
En el mejor de los casos, estos retos podrían dar lugar a ineficiencias y esfuerzos inútiles. En el peor de los casos, la gestión de usuarios, derechos, accesos, autenticación y revocación de accesos en múltiples entornos en la nube podría exponer a las empresas a riesgos innecesarios e introducir importantes vulnerabilidades de seguridad.
En demasiados casos, las funciones de seguridad de los proveedores de la nube son insuficientes para resolver estos problemas. Tras estudiar múltiples fallos en la gobernanza de la nube y asesorar a las organizaciones que dan prioridad a la seguridad sobre las mejores formas de abordarlos, hemos recopilado las siguientes prácticas recomendadas de gobernanza de identidades para ayudar a las empresas a proteger la nube y avanzar hacia la confianza cero.
El crecimiento de los entornos multicloud y los correspondientes retos en la gestión de los derechos en la nube en expansión están dando lugar a riesgos cada vez mayores.
Los administradores deben darse cuenta de que estos problemas pueden surgir desde el principio. Es probable que los equipos de TI descubran que los complejos entornos de gestión de acceso e identidades (IAM) de sus proveedores en la nube no coinciden con su historial de uso y privilegios de acceso en las instalaciones. Y ahí es donde empezarán los problemas: VentureBeat informó recientemente sobre la predicción de Gartner de que "99% de los fallos de seguridad en la nube" serán consecuencia de errores de configuración del control.
"Cuanto más compleja es una configuración multicloud, más se convierte en un campo de minas para la implementación de confianza cero".
Los administradores tendrán que abordar este problema de inmediato, aprendiendo primero las diversas capacidades predeterminadas de IAM de los proveedores de la nube y, a continuación, comprendiendo cómo configurarlas y gestionarlas.
A grandes rasgos, vemos tres grandes retos para el gobierno de la identidad que se expanden a medida que las organizaciones se mueven hacia entornos multicloud. Estos retos pueden derivarse de las políticas de gobierno originales de la organización, del proveedor de la nube o de una combinación de ambos:
- Exposición accidental de datos: A menudo resultante de la configuración errónea de derechos y activos, en la que un recurso se deja como público cuando debería ser privado. Gartner también predijo que este año la mitad de las empresas "expondrán sin saberlo y por error algunas aplicaciones, segmentos de red, almacenamiento y API directamente al público, frente a una cuarta parte en 2018".
- Derechos excesivos: Si un perfil de usuario está sobreaprovisionado en un entorno, y si ese mismo perfil se migra a otro entorno, entonces ahora estás tratando con un radio de explosión aún mayor. El problema crece exponencialmente a medida que las organizaciones adoptan más entornos de nube. Aunque es una idea antigua, las organizaciones deben pasar al mínimo privilegio necesario: cada usuario debe tener lo mínimo que necesita para desempeñar su función. El mínimo privilegio es algo más que una buena ciberseguridad, también es un componente clave para pasar a una postura de confianza cero.
- Contraseñas débiles y recicladas: Al igual que ocurre con los usuarios sobreaprovisionados que se trasladan de un entorno a otro, los usuarios suelen reciclar las mismas contraseñas de un inquilino de nube a otro. Una contraseña débil es mala, pero utilizarla para acceder a varios entornos de nube es aún peor. Las empresas deben esforzarse por utilizar la autenticación sin contraseña siempre que sea posible; mientras tanto, al menos deben imponer la rotación de contraseñas y añadir procesos de autenticación multifactor (MFA).
Una de las formas en que el sector está respondiendo a estos nuevos retos es la Gestión de Derechos de Infraestructura en la Nube (CIEM, por sus siglas en inglés), un nuevo proceso para gestionar los problemas de derechos de identidad como servicio en la nube. El CIEM tiene en cuenta las formas específicas en que los inquilinos de la nube están aumentando la frecuencia y el impacto de los problemas de asignación de derechos en la nube.
CIEM se une a programas de gobierno relacionados como Customer Identity and Access Management (CIAM), External Identity and Access Management (XIAM) y Enterprise Identity and Access Management (EIAM), que intentan dar cuenta de los crecientes tipos de usuarios y los distintos derechos que cada uno necesita.
Pero a diferencia de CIAM, XIAM y EIAM, CIEM intenta hacer algo más que gestionar los derechos y garantizar revocaciones efectivas. Las soluciones CIEM también previsualizan los derechos actuales, garantizan revisiones de acceso efectivas, verifican que todos los tipos de derechos de los diferentes usuarios se alineen con su uso previsto y evitan que cualquier derecho exponga los datos, la información o los sistemas de la empresa.
Los equipos de seguridad y TI recurren a CIEM porque los riesgos de cualquier entorno de nube pública son mayores que los de los entornos locales, dado que los entornos de nube son accesibles las veinticuatro horas del día. Esos riesgos crecen exponencialmente a medida que las organizaciones integran múltiples entornos en la nube.
Otra necesidad que aborda CIEM es el control de los costes de los entornos de nube pública. Piense en lo que podría ocurrir si un empleado que había gestionado recursos de nube pública abandona su empresa. Sin los controles y redundancias adecuados, un recurso que solo se había previsto que funcionara durante un tiempo determinado podría seguir consumiendo recursos sin un propietario que lo gestionara.
Las empresas podrían incurrir en más costes si se olvidan de un recurso en la nube. También podrían exponerse a más vulnerabilidades: ex administradores podrían crear hosts bajo el dominio de su antigua empresa, suplantar a clientes y filtrar su información. Ya es malo que un estafador se haga pasar por tu marca y robe una contraseña; es mucho peor cuando el abuso de marca viene de dentro de una empresa.
Por último, los actores de amenazas podrían penetrar en el propio proveedor de la nube y utilizar ese acceso para atacar a sus clientes. En diciembre de 2021, Ministerio de Sanidad de Brasil reveló que unos atacantes habían robado credenciales de usuario del entorno de infraestructura de un proveedor en la nube. Ese acceso permitió a los atacantes destruir activos que el ministerio tenía alojados en el proveedor, colapsar el ConecteSUS y, en última instancia, impedir que los brasileños se vacunen durante la pandemia.
La buena noticia es que existen buenas prácticas de gobernanza que las organizaciones pueden aplicar para proteger los entornos multicloud.
La infracción del Ministerio de Sanidad de Brasil demostró que las organizaciones deben mantener un entorno IGA distinto para gestionar los derechos de los proveedores de la nube, separado de sus entornos CIEM y EIAM.
Un entorno IGA separado puede gestionar mejor el volumen y la complejidad de los datos necesarios para controlar los derechos de los usuarios. Además, dado el riesgo de que se produzca una brecha, mantener un sistema de gobernanza separado dificulta que los hackers se desplacen lateralmente y accedan a información crítica.
Tanto si se crea un entorno totalmente independiente como si se combina un entorno de gobernanza con otros datos, los equipos de seguridad deben considerar a todos los usuarios que puedan acceder a él como cuentas privilegiadas, ya que esos usuarios pueden acceder a herramientas y recursos de infraestructura de alto riesgo.
Del mismo modo, los equipos de seguridad deben asegurarse de que el sistema utilizado para gestionar su instancia CIEM recibe un grado adecuado de protección por capas. Como mínimo, esto debería incluir la autenticación multifactor (MFA). Normalmente, los proveedores de nube facilitan la inclusión de MFA, lo que puede ayudar a proteger tanto un entorno específico como el proveedor de nube en general.
Y aunque la AMF es un primer paso importante para asegurar la CIEM, es sólo el primero: las organizaciones también deben considerar la inclusión de funcionalidades que las acerquen a la confianza cero, incluida la capacidad de cambiar dinámicamente los requisitos de autenticación.
Las organizaciones pueden lograr esa capacidad utilizando la autenticación contextual para evaluar dinámicamente el riesgo: los sistemas de seguridad inteligentes pueden evaluar la ubicación del usuario, el dispositivo, la red y otras señales para examinar el riesgo en tiempo real y restringir el acceso si es necesario. Otras medidas, como la rotación de contraseñas, la activación temporal de derechos, la gestión de sesiones y la auditoría, pueden aportar seguridad adicional a los entornos de gobernanza.
Los equipos de seguridad pueden utilizar estas señales para alimentar y entrenar las herramientas de supervisión de eventos de seguridad: con visibilidad de las acciones de los usuarios, los sistemas IAM inteligentes pueden aprender a entender qué eventos son esperados y cuáles indican riesgo.
Si el sistema detecta un problema, el equipo de respuesta a incidentes de una organización debe poder utilizar cualquier herramienta que gestione el acceso para bloquear las cuentas explotadas.
Dado que el uso de entornos multicloud está tan extendido, las organizaciones necesitan asegurarse de que cualquier seguridad que desarrollen para un entorno determinado pueda extenderse también a otros.
Sea cual sea la solución que utilice una organización para gestionar un único entorno en la nube, debería poder exportar políticas de acceso similares a distintos proveedores. Los derechos asignados a un administrador de bases de datos en Azure deberían reflejar los derechos asignados a la misma persona cuando administra un entorno de AWS. Esto permite a las organizaciones escalar su configuración de seguridad a medida que integran más entornos en la nube.
Muchas herramientas de mercado CIEM proporcionan este mapeo para perfiles estándar, aunque no siempre es posible ampliar los perfiles personalizados en entornos multicloud. Es posible que esos perfiles personalizados no realicen un seguimiento de los perfiles personalizados, administradores u otros usuarios de alto riesgo, por lo que las organizaciones deben asegurarse de que entienden cómo funcionan las funciones de mapeo para diferentes tipos de usuarios de un entorno en la nube a otro.
