Contenido

La seguridad en la nube es una responsabilidad compartida

Contenido

 

¿Qué es el modelo de responsabilidad compartida?

El modelo de responsabilidad compartida es un marco en la computación en la nube que divide las responsabilidades de seguridad y cumplimiento entre el proveedor de servicios en la nube (CSP) y el cliente. El modelo garantiza que las organizaciones y los CSP contribuyan activamente a asegurar la infraestructura de la nube y a mantener su cumplimiento. Bajo el modelo de responsabilidad compartida:

  • El CSP responsable de la seguridad de la nube
  • El cliente responsable de la seguridad en la nube

 

Explicación del modelo de responsabilidad compartida

El modelo de responsabilidad compartida garantiza que las organizaciones y los CSP contribuyan activamente a asegurar la infraestructura de la nube y a mantener el cumplimiento. Al comprender y adherirse al modelo de responsabilidad compartida, tanto el CSP como el cliente pueden trabajar juntos para crear un entorno de nube seguro, mitigando eficazmente los riesgos y garantizando el cumplimiento de las normativas y las mejores prácticas del sector.

Bajo este modelo, el CSP es responsable de la seguridad de la nube, lo que incluye asegurar la infraestructura física, la red y el hardware. Garantizan que los servicios en nube subyacentes, como la informática, el almacenamiento y las bases de datos, estén protegidos frente a las amenazas y mantienen un entorno seguro y fiable para sus clientes. El CSP también proporciona herramientas y funciones para que los clientes puedan administrar sus configuraciones de seguridad.

En el otro lado de la relación, el cliente es responsable de la seguridad en la nube, lo que implica asegurar los datos, las aplicaciones y las cargas de trabajo que implementa en el entorno de nube. Esto incluye tareas como el cifrado de datos, la administración del acceso, la aplicación de parches y la actualización del software, así como la configuración de los parámetros de seguridad de acuerdo con sus necesidades específicas y los requisitos de cumplimiento.

Las particularidades del modelo de responsabilidad compartida pueden variar en función del modelo de servicio en la nube que se utilice, como infraestructura como servicio (IaaS), plataforma como servicio (PaaS), o software como servicio (SaaS). En un modelo IaaS, el cliente asume más responsabilidades de seguridad, como la administración del sistema operativo y las aplicaciones. Por el contrario, el CSP se encarga de más responsabilidades en un modelo SaaS, incluida la seguridad a nivel de aplicación.

La preocupación por la exposición de los datos ha convertido la seguridad en la nube en una prioridad. El reto reside en equilibrar la necesidad de agilidad de una organización con la necesidad de mejorar la seguridad de las aplicaciones, así como la de los datos a medida que se mueven entre varias nubes. Obtener visibilidad y luchar contra los intentos de exfiltración de datos -ya sea desde ubicaciones externas o mediante ataques laterales- es imperativo en todas las ubicaciones donde residan aplicaciones y datos.

El 73% de las organizaciones tienen dificultades para comprender la responsabilidad compartida de la seguridad en la nube, lo que en última instancia conduce a puntos ciegos.
Figura 1: El 73% de las organizaciones tienen dificultades para comprender la responsabilidad compartida de la seguridad en la nube, lo que en última instancia conduce a puntos ciegos.

Varios equipos diferentes de una organización podrían ser responsables de la seguridad de la nube: el equipo de red, el equipo de seguridad, el equipo de aplicaciones, el equipo de cumplimiento o el equipo de infraestructura. Sin embargo, la seguridad en la nube también es una responsabilidad compartida entre la organización en general y su proveedor de la nube. La forma exacta en que esto se rompe varía según la naturaleza de la oferta de la nube:

  • Nube privada: Las organizaciones son responsables de todos los aspectos de la seguridad de una nube privada porque se aloja en el propio centro de datos de la organización. Esto incluye la red física, la infraestructura, el hipervisor, la red virtual, los sistemas operativos, los firewalls, la configuración de servicios, la administración de identidades y accesos, etc. La organización también es propietaria de los datos y de su seguridad.
  • Público: En las nubes públicas, como Amazon Web Services ( AWS®) o Microsoft Azure®, el proveedor de la nube es el propietario de la infraestructura, la red física y el hipervisor. El cliente sigue siendo el propietario del sistema operativo carga de trabajo , las aplicaciones, la red virtual, el acceso a su entorno/cuenta de inquilino y los datos.
  • SaaS: Los proveedores de SaaS son los principales responsables de la seguridad de su plataforma, incluida la seguridad física, de la infraestructura y de las aplicaciones. Estos proveedores no son propietarios de los datos de los clientes ni asumen la responsabilidad de cómo éstos utilizan las aplicaciones. Como tal, el cliente es responsable de prevenir o minimizar el riesgo de exfiltración de datos, exposición accidental o inserción de malware.

A medida que las organizaciones pasan de nubes privadas a nubes públicas o aplicaciones SaaS, pueden confiar en sus proveedores para asegurar los datos, las aplicaciones y la infraestructura. Independientemente de las medidas de seguridad de la plataforma que se utilicen, la organización sigue siendo responsable de la seguridad de sus propios datos.

 

Seguridad en la nube

Para habilitar las aplicaciones de forma segura, la seguridad informática debe tener la certeza de que sus proveedores de nube han implementado las medidas de seguridad adecuadas para mantener seguras las aplicaciones y los datos. Para compensar lo que les falta a los proveedores de nubes en materia de seguridad, las organizaciones también deben disponer de las herramientas adecuadas para administrar y asegurar los riesgos de forma eficaz. Estas herramientas deben proporcionar:

  • Visibilidad de la actividad dentro de las aplicaciones SaaS
  • Análisis detallados sobre el uso para prevenir el riesgo de los datos y las infracciones del cumplimiento.
  • Controles de políticas sensibles al contexto para impulsar la aplicación y la cuarentena en caso de infracción
  • Inteligencia de amenazas en tiempo real sobre amenazas conocidas y detección de amenazas desconocidas para evitar nuevos puntos de inserción de malware.

 

Preguntas frecuentes sobre la responsabilidad compartida

La responsabilidad compartida se refiere al enfoque de colaboración entre el CSP y el cliente para mantener un entorno de nube seguro y conforme. Cada parte asume responsabilidades de seguridad específicas, en función del modelo de servicio en la nube (IaaS, PaaS o SaaS), para mitigar los riesgos, proteger los datos y cumplir las normativas del sector.
Los principios de la responsabilidad compartida implican una comprensión clara de los deberes de cada parte, una colaboración activa y una comunicación permanente. El CSP asegura la infraestructura subyacente, la red y el hardware, mientras que el cliente asegura los datos, las aplicaciones y las cargas de trabajo implementadas dentro de la nube. La adhesión a estos principios garantiza una postura de seguridad sólida y ayuda a prevenir posibles vulnerabilidades en los entornos de nube.
El objetivo principal de la responsabilidad compartida es establecer un enfoque colaborativo e integral de la seguridad en la nube, aprovechando la experiencia y los recursos tanto del CSP como del cliente. Al distribuir las responsabilidades de seguridad, la responsabilidad compartida pretende mejorar la postura general de seguridad, minimizar las vulnerabilidades y garantizar el cumplimiento de las normativas pertinentes del sector.
Comprender el modelo de responsabilidad compartida es crucial para asegurar eficazmente los entornos de nube y mantener el cumplimiento. Ayuda a las organizaciones a identificar sus obligaciones específicas en materia de seguridad, a asignar los recursos de forma eficaz y a implementar los controles de seguridad adecuados. Una comprensión clara del modelo fomenta la colaboración entre el CSP y el cliente, garantizando que ambas partes trabajen juntas para crear un entorno de nube seguro y conforme, mitigando los riesgos y abordando las amenazas potenciales.
Contenido relacionado
Mejore su postura de seguridad multinube
Los entornos multicloud son complejos y difíciles de proteger sin un enfoque proactivo de la seguridad y la visibilidad.
Asegurar el panorama de datos con DSPM y DDR
Adelántese a los riesgos de seguridad de los datos. Descubra cómo la gestión de posturas de seguridad de datos (DSPM) con detección y respuesta de datos (DDR) llena las lagunas de ...
El estado de la seguridad de los datos en la nube en 2023
Obtenga información sobre las mejores formas de proteger los datos confidenciales en sus entornos de nube basándose en investigaciones reales que analizan más de 13.000 millones de...
Anterior ¿Qué es la seguridad nativa de la nube?
Siguiente ¿Qué es la seguridad sin servidor?

Obtenga las últimas noticias, invitaciones a eventos y alertas de amenazas