0. Introducción
El progreso es imposible sin cambio. La llegada de la computación cloud ha demostrado ser uno de los cambios más significativos de este siglo, y ha posibilitado un crecimiento antes impensable: las empresas son más productivas, rentables y ágiles que nunca. Según estudios de Check Point, más del 98% de las organizaciones utilizan ya algún tipo de infraestructura basada en la nube(1). Sin duda, se ha convertido en la corriente dominante, en una misión crítica para las operaciones empresariales presentes y futuras.
Sin embargo, para sostener con seguridad este ritmo de innovación, debe producirse al mismo tiempo un cambio organizativo: dotar de agilidad al negocio, pero manteniendo los riesgos bajo control, implica aplicar el mismo nivel de vigilancia y gobernanza en los entornos cloud que el que se debería tener sobre las redes tradicionales.
Todo un reto para los profesionales de la seguridad de redes, que, además de proteger el perímetro tradicional de la empresa, también deben desarrollar una estrategia para controlar los accesos a un número creciente de segmentos de red híbridos, y las vinculaciones entre todos ellos.
Securizar una red híbrida es muy diferente de asegurar una red clásica, ya que las infraestructuras críticas estarán distribuidas entre recursos locales y servicios dinámicos basados en cloud. Mitigar riesgos implica entonces aunar dos visiones y paradigmas muy diferenciados, sumando al tradicional las nuevas formas y herramientas con que funciona la seguridad en la nube (por ejemplo, utilizando grupos de seguridad en lugar de firewalls), y colaborar con otros equipos para poder llegar a aplicar políticas de seguridad de forma coherente en todos los recursos. Entre los principales retos que plantea una gestión y gobernanza de estas características incluiríamos:
- Las diferencias esenciales en tecnologías y aplicaciones
- La homogeneización de la conectividad y seguridad entre redes cloud y on-prem
- La proliferación y diversidad de soluciones y herramientas de seguridad en el mercado
- La necesidad de una interlocución alineada y fluida entre diferentes equipos de trabajo
- Las expectativas de alcanzar cada vez más velocidad y agilidad
El cloud lo cambia todo, y será difícil superar estos retos sin asumir plenamente lo diferente que es la nube en comparación con las redes tradicionales. Reflexionar sobre algunas de estas ‘revoluciones’ nos ayuda a orientarnos sobre cómo adaptarnos:
1. Seguridad Cloud: más granular y fragmentada
Para la seguridad tradicional de red existe un amplio conjunto de herramientas y soluciones bien asentadas, y con las que los equipos de Network Security están profundamente familiarizados, como los firewalls tradicionales y de nueva generación, o los enfoques arquitectónicos como segmentación o zonificación de red. Sin embargo, a medida que las empresas siguen trasladando aplicaciones a instancias de nubes públicas y privadas, se adoptan nuevos proveedores de servicios cloud, como AWS, Azure y Google Cloud Platform, cada uno con su propio marco de seguridad específico. Esto supone una carga importante para los equipos de seguridad, exigiéndoles diseñar y aplicar una política coherente en plataformas divergentes, a pesar de que difícilmente pueden expertos en las diferentes tecnologías.
Una visibilidad tan fragmentada obliga a utilizar múltiples herramientas y comprobar diversas consolas sólo para intentar hacerse una idea de si los mecanismos de seguridad funcionan correctamente juntos (firewalls, VPCs, grupos de seguridad, infraestructura como código, microsegmentos…). La incapacidad de ver de forma unificada toda la red y los controles asociados conducirá inevitablemente a problemas como puntos ciegos, falsos positivos, y unos tiempos medios de reparación (MTTR) muy lentos.
Imaginemos, por ejemplo, que un activo cloud con acceso a un recurso de la empresa contiene una vulnerabilidad y se emite una alerta de seguridad; pero que, sin embargo, en realidad hay un firewall de por medio que proporciona protección, por lo que la alerta no es una prioridad máxima. Cuando se emiten cientos o miles de alertas de seguridad cada día, es fundamental poder evaluar con precisión el riesgo y priorizar los esfuerzos de remediación, y el ruido y la fatiga de alertas distraen a los equipos de identificar y responder a los problemas de seguridad reales.
Ante esta realidad, debemos focalizar esfuerzos en dotar a los equipos de Network Security con:
- Inteligencia topológica, un mapa completo de la topología de la red para el análisis de rutas y la resolución de problemas.
- Una Política de Seguridad Unificada (USP), un referente único para diseñar y gobernar los requisitos, segmentos y tráfico a través de la red híbrida.
2. Velocidad Cloud: todo va más rápido en la nube
El cloud lo ha acelerado prácticamente todo: la adopción de tecnología, el cambio de infraestructura, el despliegue de aplicaciones y mucho más. Esto es fabuloso para la innovación y el desarrollo del negocio, pero la seguridad se ve a menudo amenazada por este ritmo de cambio tan vertiginoso. La escalabilidad de los recursos y el aprovisionamiento inmediato suponen una lucha continua para asegurar las cargas de trabajo dinámicas, ya que todo en la nube se amplía y reduce constantemente. Los equipos de networking reciben continuamente peticiones de propietarios de sistemas que necesitan conectar aplicaciones y servicios adicionales.
Hacerlo con eficacia implica ser capaz de responder:
- Dónde reside la aplicación;
- Cuál es la infraestructura subyacente;
Confiar en los procesos manuales (como hojas de cálculo, correo electrónico o recopilación de información específica) conlleva una alta probabilidad de error humano que puede provocar interrupciones de la red y tiempos de inactividad de las aplicaciones. De hecho, según el Uptime Institute, el error humano es responsable en el 67%-80% de todas las interrupciones(2).
La única forma de seguir este ritmo de solicitudes, pero evaluando con precisión el riesgo asociado, es mediante una automatización inteligente, un lenguaje común que permita a los equipos una gestión dinámica de las políticas de red valorando los cambios para evitar que se introduzcan riesgos indebidos, y que proporcione en todo momento:
- Análisis de riesgos de acceso y conectividad, identificando automáticamente las configuraciones de alto riesgo y analizándolas contra los benchmarks de referencia y los requisitos normativos.
- Gestión proactiva del cambio, ofreciendo visibilidad en tiempo real e identificación automática de riesgos para cada cambio propuesto en la red o en la nube, y su impacto en la postura de seguridad.
- Integración total con los sistemas de gestión y trazabilidad, activando los flujos de trabajo adecuados (solicitudes de acceso, modificación de grupos, recertificación de reglas, etc.) en cuanto se abren los tickets.
3. Colaboración Cloud: responsabilidad más compartida
En un entorno tradicionales, si un usuario quiere conectar A con B tiene que pasar por Network Security por defecto. Pero esto no suele ser así en las redes híbridas, donde los equipos de seguridad pierden parte del control en beneficio de la agilidad y de un delivery más rápido.
Supongamos que un desarrollador de aplicaciones envía una solicitud para poner en marcha un nuevo servidor en la nube. A continuación, el equipo de DevOps o CloudOps aprovisiona el servidor, adjunta un grupo de seguridad con reglas de acceso excesivamente permisivas, y los desarrolladores siguen adelante con su proyecto. Es posible que Seguridad ni siquiera sepa que esto ha ocurrido, si el proceso ha tenido lugar fuera de su ámbito de control. En los entornos híbridos y multicloud, cada vez más comunes, es prácticamente imposible que Network Security tenga una visibilidad unificada entre plataformas y proveedores.
Por supuesto, una brecha de seguridad como esta no es consecuencia de una mala intención o de una negligencia intencionada. Todos los equipos se preocupan por la seguridad, pero normalmente a los de desarrollo u operación no se les forma en esta disciplina, ni su rendimiento se mide tomando como referencia la seguridad. Se les mide por la rapidez del delivery, y a menudo carecen de las herramientas y la formación para evaluar la seguridad del código que están escribiendo o su impacto en la organización.
Es imprescindible facilitar la colaboración entre estos equipos, mediante:
Automatización DevOps, definiendo un marco de políticas y despliegue de controles específicos para cada contexto, sin interminables revisiones de seguridad que ralenticen el despliegue.
Integración CI/CD, garantizando que las aplicaciones se adhieren a la política de seguridad con comprobaciones que detecten incongruencias antes del despliegue del código.
Controles preventivos (guardrails), para evitar errores de configuración o conectividad que pudieran exponer datos sensibles a Internet.
4. Validación IaC: requisito de seguridad de la infraestructura como código
La Infraestructura como Código (IaC, el proceso de aprovisionamiento y gestión de recursos cloud mediante archivos de definición legibles por máquina que describen cómo y dónde se despliegan las configuraciones) es esencial para el desarrollo y la agilidad de las operaciones en la nube; pero, aunque proporciona beneficios clave en materia de velocidad, estandarización y control eficaz de versiones, también introduce problemas de seguridad.
El dilema de seguridad con la IaC es que las personas que escriben código a menudo no tienen profundos conocimientos de ciberseguridad, y las personas que tienen profundos conocimientos de seguridad a menudo no saben cómo leer o escribir código. Una falta de comunicación y alineación en este caso puede llevar incluso a escala un despliegue de configuraciones erróneas, provocando fallos en despliegue, interrupciones de las aplicaciones, o brechas serias de seguridad.
Verificar la seguridad de IaC durante la fase de desarrollo mitigará el riesgo y reducirá significativamente el tiempo y el esfuerzo necesarios para validar la seguridad de las implementaciones, por lo que es recomendable:
- Automatizar el cumplimiento, escaneando los archivos build para identificar posibles infracciones de política, y detectar áreas específicas que deban reconfigurarse.
- Integrar la plataforma IaC con las herramientas de seguridad, para analizar automáticamente el impacto en la seguridad de los cambios propuestos antes de implementarlos en la infraestructura cloud.
5. Errores de Configuración Cloud
Los errores de configuración son habitualmente resultado de una falta de gestión eficaz de las políticas de seguridad. Es otro caso más en que la naturaleza ágil y veloz del cloud dificulta mantenerse al día de los cambios pertinentes.
Dicho esto, es importante tener en cuenta que tener un riesgo o una vulnerabilidad no significa automáticamente que se pueda explotar. Lo que seguramente dará lugar a la explotabilidad es la combinación de vulnerabilidades y conectividad a activos críticos, caso en que, por tanto, debe abordarse lo antes posible. Un sistema vulnerable que esté aislado de Internet, por ejemplo, no es un riesgo prioritario.
Pero las malas configuraciones siguen siendo la principal causa de brechas de seguridad en la nube, ya que introducen ese vector inicial. La NSA ha llegado a señalar las ‘misconfigurations’ como la amenaza número uno para la seguridad en la nube(3). Las mejores prácticas nos han de movilizar para equipar a los equipos de networking y cloud con herramientas que permitan comprender mejor la conectividad entre sistemas de una red híbrida, para que puedan remediar proactivamente las violaciones de las políticas de seguridad, mediante:
- La detección de errores de configuración, como la permisividad excesiva en las reglas y el shadowing, con alertas en tiempo real.
- La integración con el escáner de vulnerabilidades, para priorizar los esfuerzos de remediación y mitigación complementando los datos del escáner con información sobre la conectividad de la red para así poder valorar la explotabilidad.
- Una topología enfocada a la aplicación, que muestre todos los activos desplegados, configuraciones y ajustes de seguridad, para garantizar que sólo se permitan cargas de trabajo y tráficos de confianza.
6. Cumplimiento Cloud
La mayoría de los proveedores de servicios cloud practican el modelo de responsabilidad compartida, en el que el proveedor es responsable de proteger la infraestructura de la nube y el cliente se encarga de proteger sus datos y activos. Existe la idea errónea de que este modelo hace que el cumplimiento de la seguridad en la nube sea mucho más fácil en comparación con las redes tradicionales; y, aunque es cierto que lograr el cumplimiento en una configuración sólo en la nube debería ser menos complejo en teoría, la mayoría de las empresas se enfrentan a entornos híbridos y multi-cloud. La falta de visibilidad centralizada de estas redes complejas y fragmentadas dificulta el cumplimiento continuo y la preparación para las auditorías a las que se haya que enfrentar.
Por ejemplo, una organización sujeta a cumplimiento PCI debe pasar por una estricta auditoría de segmentación y reglas de firewall, que garanticen la protección de los datos de tarjeta, que requiere una enorme cantidad de esfuerzo manual para analizar constantemente el cumplimiento de los controles de seguridad en las redes físicas y los entornos en la nube.
En este ámbito, los equipos de seguridad de red se enfrentan a la complejidad de estar siempre preparados para responder a cualquier cuestión relacionada con la configuración, la segmentación, los procedimientos y su trazabilidad, y el ‘reporting’ de todo ello.
Cualquier organización hoy en día va incorporando nuevos servicios, sistemas e infraestructura, más unidades de negocio, nuevos equipos de desarrollo y herramientas o soluciones de terceros. Integrar todo esto en una red híbrida introduce toda una serie de riesgos potenciales de cumplimiento y seguridad. Mantenerse al día con esta complejidad y riesgo creciente en redes que cambian tan rápido es imposible sin soluciones de automatización, que posibiliten
- Una Política de Seguridad Unificada que muestre todas las reglas que se aplican en la red y en qué medida cumplen o infringen.
- Un análisis de riesgos proactivo de los cambios en firewalls, routers, switches, SDNs, nubes públicas y contenedores para garantizar la conectividad.
- Un seguimiento de auditoría, que genere automáticamente los informes necesarios para las distintas regulaciones como PCI DSS, SOX o las regulaciones europeas 537/2014, etc.
Es hora de cambiar a mejor
El cambio es necesario para el progreso de la empresa. Pero también para su seguridad y resiliencia.
El beneficio aportado por la complejidad y diversidad de los nuevos paradigmas híbridos merece también unos nuevos mecanismos de securización para adaptarse a las nuevas formas de trabajo.
Podemos ayudarte. Juntos podemos construir una visibilidad unificada e integral de la red y una automatización de la seguridad sin precedentes en entornos tradicionales, cloud e híbridos, para así lograr un deploy más rápido y efectivo, solucionar los problemas con mayor celeridad, maximizar la eficiencia, y estar en todo momento en situación de enfrentar una auditoría.
1: Check Point Blog.
3: National Security Agency | Cybersecurity Information | Mitigating Cloud Vulnerabilities.