Aquellos que obtienen la seguridad en la nube correcta valoran la productividad, la velocidad y la reducción de riesgos para ayudar a sus organizaciones a tener éxito.
Los casos de uso de la nube están cambiando rápidamente
La introducción de la computación en la nube representa un alejamiento radical del centro de datos, que requiere seguridad teams operar de manera diferente para mantener infraestructura en la nube segura. El modelo de responsabilidad compartida de la nube, que describe las responsabilidades de seguridad de los proveedores de servicios en la nube y los clientes de la nube por igual, ha aliviado la seguridad. teams de las cargas de asegurar la infraestructura física. Pero lo que queda en su plato (las instancias de servidores virtuales, las redes virtuales y los grupos de seguridad) requieren diferentes herramientas y enfoques para protegerlos.
Hace una década, las infraestructuras de la nube se parecían mucho más a las infraestructuras de los centros de datos (aunque las dos son fundamentalmente diferentes). Al comparar los servicios y arquitecturas en la nube teams están adoptando hoy, esos primeros entornos de nube parecían bastante familiares, casi como un "centro de datos remoto".
Estos casos de uso aún prevalecen, pero se está produciendo un cambio mayor, uno que tiene importantes ramificaciones para la seguridad. Cada vez más, aplicación teamestán creando y ejecutando nuevas aplicaciones en la nube, en lugar de simplemente usar la nube como plataforma de alojamiento de aplicaciones migradas o de terceros. Estos teams están aprovechando nuevos tipos de recursos en la nube, y sus entornos ya no se parecen a nada que encontraría en un centro de datos.
Cambiar las arquitecturas de la nube ha alterado la seguridad
Los proveedores de servicios en la nube ahora ofrecen cientos de servicios en la nube especializados que teams están aprovechando, y cada servicio especializado tiene sus propias consideraciones de seguridad únicas. Cuando estos servicios más nuevos se combinan en arquitecturas nativas de la nube, la seguridad teamNos estamos dando cuenta de que lo que funcionó antes ya no funciona bien o escala bien ahora. Los patrones de ataque en la nube también han cambiado; ahora aprovechan la automatización para detectar errores de configuración y usan claves API para operar contra el plano de control de la nube para el descubrimiento, el movimiento y la extracción de datos. Las víctimas de infracciones a menudo no son conscientes de estos ataques hasta que sus datos aparecen en Internet.
En una nota positiva, hay organizaciones que están haciendo bien la seguridad en la nube. Es útil examinar lo que están haciendo de manera diferente para comprender por qué tienen éxito cuando tantos otros se quedan cortos. Desarrollo y seguridad teams en estas organizaciones exitosas están reduciendo su tasa de vulnerabilidades de configuración incorrecta, incluso a medida que su uso de la nube aumenta en tamaño y complejidad. ellos tambien estan ayudando teams en el resto de sus organizaciones se mueven más rápido y se vuelven más productivos.
Los cinco fundamentos de la seguridad en la nube
Todas las organizaciones que están obteniendo la seguridad en la nube correcta, enfóquense en lo siguiente cinco fundamentos clave.
- Conocen su entorno.
Estas teamLos s conocen todos los recursos que se ejecutan en su nube, cómo se configuran los recursos y cómo se relacionan entre sí (no es raro que las empresasrise seguridad en la nube teams no ser consciente del 20% o más de lo que se está ejecutando en su entorno). Saben qué aplicaciones se ejecutan en qué infraestructura de nube, así como los datos involucrados. Y mantienen la visibilidad sobre el software ciclo de vida de desarrollo (SDLC) para su infraestructura en la nube, incluida cualquier infraestructura como código en desarrollo y canalizaciones de CI/CD utilizadas.
- Se centran en la prevención y el diseño seguro.
La forma de detener las brechas en la nube moderna es prevenir las condiciones que las hacen posibles, sin enfocarse en detectar y detener los ataques en curso. Estos teamvan más allá de la simple prevención de configuraciones incorrectas de recursos individuales y se enfocan en diseñar entornos de nube que son intrínsecamente seguros contra ataques que comprometen el plano de control. El rol de arquitecto de seguridad en la nube se convierte en un rol clave en estas organizaciones.
- Permiten a los desarrolladores construir y operar de forma segura.
La seguridad en la nube de hoy teams saben que no pueden hacerlo todo y se enfocan en empoderar a otros teams para obtener la seguridad correcta. Al proporcionar herramientas que permiten a los ingenieros desarrollar infraestructura como código de manera segura, están posicionando a estos ingenieros para detectar y corregir problemas de manera temprana, evitar reparaciones que consumen mucho tiempo y reelaboración posterior, y entregar una infraestructura segura más rápido. Estos seguridad teams también ayudan a los ingenieros a construir barandas de seguridad en las canalizaciones de CI/CD, para garantizar que las vulnerabilidades no lleguen a los entornos en ejecución.
- Se alinean y automatizan usando la política como código (PaC).
Cuando las políticas de seguridad se expresan únicamente en lenguaje humano y existen en documentos PDF, es como si no existieran en absoluto. Pac permite que las reglas se expresen en un lenguaje que otras herramientas y aplicaciones pueden usar para validar la corrección del código y las configuraciones. PaC elimina las diferencias en interpretación, implementación y aplicación, y permite que la seguridad en la nube teams escalar su esfuerzo sin tener que aumentar el número de empleados.
- Miden lo que importa.
La seguridad en la nube se trata de disciplina operativa y de implementar los procesos correctos. Seguridad exitosa teams identificar lo que más importa, ya sea reducir la tasa de errores de configuración, acelerar los procesos de aprobación o reasignar recursos a trabajos de mayor valor. Establecen sus líneas de base, fijan metas y luego trabajan diligentemente para lograrlas. Y pueden demostrar la postura de seguridad de su entorno, y su progreso, en cualquier momento.
Aquellos que entienden bien la seguridad en la nube la ven como un habilitador de innovación, no como una función de bloqueo. Ponen en funcionamiento la seguridad en la nube en toda la organización para que todos puedan moverse más rápido y de forma más segura.