Para competir en el entorno empresarial competitivo y digital actual, las organizaciones deben adoptar la nube. El auge de las empresas de infraestructura como servicio (IaaS) ha significado que las empresas han podido centrarse en sus capacidades centrales al tiempo que aprovechan la experiencia de sus socios de IaaS.
Como resultado, los costos de mantenimiento y funcionamiento de la infraestructura se han reducido y las empresas son mucho más eficientes en la forma en que implementan los recursos.
Si bien el cambio a la nube aporta mucha optimización empresarial, deja a las organizaciones vulnerables a posibles violaciones de seguridad. En un estudio reciente realizado por Digital Shadows, los investigadores encontraron rastros de más de 2.300 millones de archivos accesibles para el público en general en recursos de almacenamiento en la nube, como buckets de Amazon S3, recursos compartidos de archivos habilitados para SMB y unidades NAS. Definitivamente no desea que los componentes del código fuente de su aplicación terminen accidentalmente en el radar de alguien.
Para asegurar el traslado de su producto a la nube, debe implementar estos tres procesos.
Muchas organizaciones se olvidan de renovar sus protocolos de seguridad para ponerse al día con los requisitos de la nube pública. Tienden a depender de protocolos heredados o, lo que es peor, parchean nuevos protocolos sobre los heredados y esperan que estas soluciones funcionen.
Para proteger su aplicación en la nube, debe definir dos criterios. En primer lugar, cuál es el alcance del perímetro de su red y, en segundo lugar, evaluar qué áreas de la arquitectura de su aplicación deben rediseñarse para fines de la nube. La definición del perímetro lo ayudará a determinar el alcance de la tarea que tiene por delante y lo ayudará a informar el enfoque de seguridad del perímetro que funcionará mejor para usted.
La mayoría de las empresas optan por desarrollar controles específicos de la nube basados en soluciones ofrecidas por proveedores externos. Esto les permite la flexibilidad de cambiar de proveedor en función de sus necesidades actuales. Sin embargo, este enfoque requiere que tenga un considerable talento en seguridad interno para evaluar y decidir qué soluciones deben cambiarse o desconectarse.
Un enfoque alternativo es enrutar el tráfico a través de redes locales. Esto funciona bien, porque puede seguir utilizando las herramientas de seguridad a las que se ha acostumbrado. La transición de este modelo, si es necesario, es fácil con la ayuda de su proveedor de soluciones en la nube.
Una vez que se hayan definido los perímetros de la red, tómese el tiempo para evaluar si necesita llevar a cabo programas de modernización de aplicaciones o rediseñar partes de su arquitectura para satisfacer los requisitos de la nube. La reestructuración puede ralentizar la tasa de migración, pero garantiza que sus aplicaciones sean lo más robustas posible.
Deberá desarrollar controles de ciberseguridad para diferentes áreas que rodean sus aplicaciones. El lugar para comenzar es con la administración de identidades y accesos (IAM). Tradicionalmente, las soluciones de IAM se han ofrecido como productos independientes, pero en estos días, se están trasladando cada vez más a la nube.
La elección de un proveedor de IAM en la nube de terceros que admita múltiples nubes configurará su organización de manera segura para el futuro, dado que el enfoque de múltiples nubes es hacia lo que se dirigen las industrias.
El cifrado de datos debe ser estándar, ya sea en reposo o en movimiento. Deberá decidir el mejor enfoque para la administración de claves de seguridad. Muchas organizaciones confían en los CSP que almacenan claves de seguridad, ya que esto les permite aprovechar la experiencia y la infraestructura de seguridad de los CSP.
Los protocolos de seguridad específicos de la aplicación deben revisarse y actualizarse para mantenerse al día con los requisitos de la nube. También deberá crear protocolos de gobernanza para desarrolladores para garantizar que no se infrinjan las directrices de seguridad.
Un cambio a la nube también debe satisfacer las regulaciones gubernamentales y específicas de la industria. Los CSP suelen ofrecer una guía de cumplimiento, ya sea para el almacenamiento de datos y las pautas de privacidad o pautas de seguridad específicas de la industria. Es una buena idea que su organización revise las necesidades de cumplimiento de todos modos y aborde el desafío en colaboración con su CSP.
DevOps es un enfoque estándar para la implementación de aplicaciones en estos días. No existe un marco mejor para respaldar los principios de publicación continua. Sin embargo, los despliegues ágiles de productos también abren a su organización a vulnerabilidades de seguridad.
Desarrolle una estrategia DevOps segura que integre revisiones de seguridad, la implementación de controles de seguridad y la implementación de tecnología de seguridad.
Las prácticas seguras de DevOps se basan en la automatización para lograr sus objetivos. Los equipos de prueba pueden desarrollar plantillas de código y crear herramientas de prueba automatizadas que permitan a los desarrolladores integrar la seguridad en cada aspecto del desarrollo de código. Integrar personal de seguridad en los equipos de desarrollo es una buena manera de mantener la seguridad al día con los requisitos de un entorno de lanzamiento continuo.
Muchos empleados de su organización necesitarán formación adicional para ponerse al día con una cultura DevOps centrada en la seguridad. Concéntrese en educar a los desarrolladores sobre las API que necesitarán usar para integrar metodologías de DevOps seguras en su trabajo habitual.
Para integrar completamente DevOps seguro en un entorno de nube, su equipo de desarrollo debe convertirse en el equipo de seguridad. Si bien esto puede parecer una tarea imposible, aumentar la colaboración entre los equipos de seguridad y de desarrollo, mientras se capacita a cada uno en los requisitos del otro, garantizará que su organización avance hacia este ideal.
Sus equipos de desarrollo podrán responder más rápido a las brechas de seguridad y construir plataformas más sólidas en el futuro.
No hay duda de que la infraestructura en la nube es una excelente manera de impulsar el rendimiento de sus aplicaciones. Sin embargo, la migración a la nube debe estar respaldada con protocolos de seguridad igualmente sólidos para que pueda brindarle todos los beneficios que promete. Siga estos tres procesos para asegurarse de que su organización se mantenga a la vanguardia.
Etiquetas: mejores prácticas, nube, ciberseguridad, devops
Los días felices de la PDA y Blackberry han quedado definitivamente atrás, pero el factor…
Tutorial sobre cómo pronosticar usando un modelo autorregresivo en PythonFoto de Aron Visuals en UnsplashForecasting…
Si tienes un iPhone, los AirPods Pro son la opción obvia para escuchar música, ¡aunque…
Ilustración de Alex Castro / The Verge Plus nuevos rumores sobre el quinto Galaxy Fold.…
Se rumorea que los auriculares premium de próxima generación de Apple, los AirPods Max 2,…
El desarrollador Motive Studio y el editor EA han lanzado un nuevo tráiler de la…