La computación en la nube ha creado un cambio más grande en la industria de TI durante los últimos 20 años que cualquier otro factor. Con la tecnología de la nube, las empresas pueden crear, implementar y escalar sus aplicaciones más rápido que nunca. Pero a medida que la computación en la nube se generaliza, surgen nuevos desafíos de seguridad. Entre la complejidad de la infraestructura de la nube y la expansión de los servicios basados en la nube, los atacantes tienen acceso a una superficie de ataque más grande que hace unos años.
snyk recientemente realizó una investigación para observar más de cerca el impacto que tiene la seguridad en la nube en las organizaciones y los desafíos teamse enfrentan mientras intentan proteger la infraestructura de la nube mientras siguen desplegándose a escala. Los resultados de esta investigación son summarised en el 2022 Informe sobre el estado de la seguridad en la nube de Snyk.
El informe se basa en una encuesta realizada por Propeller Insights, que solicita aportes de más de 400 profesionales y líderes de ingeniería y seguridad en la nube en varios tipos de organizaciones e industrias. En el informe resultante, los investigadores de seguridad en la nube de Snyk combinaron su análisis de los datos de la encuesta con observaciones de su propia experiencia.
¿Cuáles son los desafíos que plantea la seguridad en la nube?
El informe analiza los complejos riesgos de seguridad que resultan de la rápida adopción de la tecnología en la nube. También examina cómo los profesionales de la seguridad y los ingenieros de seguridad en la nube enfrentan el desafío de proteger las aplicaciones en la nube e infraestructura sin dejar de desplegarse rápidamente.
Los eventos de seguridad en la nube están generalizados
Algunas de las estadísticas más interesantes del informe incluyen las siguientes:
- El 80% de las organizaciones han experimentado al menos un incidente grave de seguridad en la nube en el último año (como violaciones de datos, fugas de datos e intrusiones en su entorno).
- El 41% de los encuestados dice que los servicios nativos en la nube aumentan la complejidad, lo que complica aún más sus esfuerzos de seguridad.
- Casi la mitad (49 %) de las organizaciones consideran que la implementación es más rápida como resultado de una seguridad en la nube mejorada.
Organizaciones de diversos tamaños e industrias informaron que se vieron afectadas por importantes eventos de seguridad en la nube en los últimos 12 meses, con startups (89%) y organizaciones del sector público (88%) los más afectados. empresarise a las empresas les fue mejor (probablemente debido a una mayor inversión en infraestructura de nube), mientras que las pequeñas y medianas empresas informaron que les fue mejor (probablemente como resultado de una huella de nube más pequeña y menos complejidad de infraestructura).
Teams necesita objetivos de seguridad claros
Otra observación clave de la encuesta es que muchos teamFalta claridad sobre quién es responsable de la seguridad en la nube en su organización. De los encuestados, el 42% de los ingenieros de la nube dicen que su team es responsable de la seguridad en la nube, pero solo el 19% de los profesionales de la seguridad creen que ese es el caso.
Proteger los recursos de la nube requiere un esfuerzo coordinado y conciencia en todos teams — una práctica que muchas organizaciones aún no han adoptado. La seguridad en la nube destaca la importancia de tener responsabilidades bien entendidas, pero también bien definidas. Esto ayuda a las empresas a mantener la claridad cuando trabajan hacia el objetivo común de mantener sus entornos de nube a salvo de ataques.
Formación teams sobre seguridad, infraestructura de aprendizaje como código
El 77% de las organizaciones encuestadas siente que muchos de los actuales fallas de seguridad en la nube resultar de la falta de un cruce eficazteam colaboración y formación. cuando diferente teams usar diferentes herramientas o marcos de políticas, conciliando el trabajo entre esos teamsy asegurar una aplicación consistente puede ser un desafío. Además, las herramientas insuficientes que producen falsos positivos pueden provocar fatiga de alertas en seguridad. teams, contribuyendo al error humano cuando es necesario identificar y abordar problemas críticos.
Los datos de la encuesta también muestran que el 55 % de las organizaciones están aprovechando la infraestructura como código (IaC) para obtener una seguridad adecuada antes de la implementación. El uso de IaC garantiza una software ciclo de vida de desarrollo para la infraestructura de la nube y la oportunidad de cambiar a la izquierda en la seguridad de la nube.
La infraestructura como código no solo ayuda teams operar de manera más eficiente y consistente a escala; presenta una gran oportunidad para cambiar a la izquierda en la seguridad de la nube antes de que se implementen las aplicaciones. La reducción mediana en la configuración incorrecta de la nube resultante de IaC es del 70 %.
Al proteger IaC con verificaciones automatizadas que usan la política como código, la ingeniería en la nube teams puede crear entornos de desarrollo y prueba que reflejen la producción y todos sus controles de seguridad.
Mirando hacia el futuro
Cada día, más organizaciones aprovechan la nube para desarrollar y ejecutar sus aplicaciones. Al hacerlo, están adoptando más arquitecturas nativas de la nube, como entornos basados en contenedores y sin servidor. Los desarrolladores e ingenieros que trabajan con infraestructura en la nube crean, iteran e implementan constantemente. Reescriben el código y realizan cambios de configuración con frecuencia.
Pero muchos cambios que ocurren durante el software El ciclo de vida del desarrollo puede exponer un proyecto al riesgo de un ataque. Conocer los riesgos inherentes a la infraestructura de la nube y empoderar teams con herramientas y políticas para protegerlos de esos riesgos, ofrece resultados medibles.
Con el tiempo, a medida que la computación en la nube continúa ganando popularidad, la seguridad en la nube solo se volverá más crítica para cualquier organización en el panorama digital. Un enfoque de seguridad en la nube centrado en el desarrollador ayuda a las organizaciones a innovar de manera más rápida y segura, con beneficios que se extienden mucho más allá de la simple reparación de vulnerabilidades.