La mejor manera de proteger su nube puede ser otra nube

Uno de los desafíos que conlleva ser una empresa mediana hoy en día es que eres lo suficientemente grande como para ser un objetivo, pero no lo suficientemente grande como para permitirte el tipo de seguridad que utilizan las grandes empresas. Esta es una de las razones por las cuales uno de los segmentos de más rápido crecimiento para las brechas de datos es la pequeña y mediana empresa (SMB). De hecho, según el Informe de investigación de violación de datos de Verizon 2018, las empresas más pequeñas recibieron más de la mitad de todos los ataques de violación de datos el año pasado.

Las razones no son sorprendentes y se reducen al hecho de que las empresas más pequeñas todavía tienen algo que vale la pena robar, aunque no siempre son entidades bien protegidas. Si bien generalmente les va bien en lo que respecta a la protección de puntos finales, los centros de datos SMB y los centros de tráfico son a menudo otra cuestión. Afortunadamente, eso podría estar cambiando. De la misma manera que la nube brindó a estas empresas nuevas capacidades para administrar y analizar datos que antes solo estaban disponibles para grandes empresas, la nube también puede brindar seguridad de grandes empresas a organizaciones más pequeñas. Y sí, es otra serie de servicios en la nube que se engloban bajo el término general, Seguridad como servicio.

Existen algunos tipos de seguridad basada en la nube; probablemente uno de los tipos más conocidos es para mitigar los ataques de denegación de servicio (DoS). En tales casos, un servicio en la nube inspecciona el tráfico en su camino hacia la empresa de destino, y cuando detecta un ataque DoS, simplemente corta el tráfico dañino. Una empresa grande puede hacer esto por sí misma, pero una más pequeña generalmente no tiene el ancho de banda ni la infraestructura de red requerida para manejarlo.

Cortafuegos como servicio

Más recientemente, hemos visto llegar una tecnología relacionada. Se llama Firewall-as-a-Service (FWaaS) y es exactamente lo que parece. Disponible de proveedores como Cato Networks y eSecurity Solutions, estos servicios simplemente requieren que se registre, y luego su tráfico entrante se enruta a través de un firewall de próxima generación basado en la nube antes de que llegue a su red.

Tenga en cuenta que esto es claramente diferente de un servicio de firewall administrado, aunque algunos proveedores ofrecen ambos. En ese caso, simplemente contrató a una consultora de seguridad de TI con conocimientos que se encarga de administrar, monitorear y actualizar su firewall local.

La ventaja de FWaaS es que el proveedor de la nube tiene experiencia a nivel empresarial en el manejo de un cortafuegos de nivel empresarial, y usted lo está logrando a través de las economías de escala de la nube. En un escenario de firewall administrado, le está pagando al consultor la tarifa estándar y aún tiene que pagar por el firewall y todos sus costos auxiliares. FWaaS significa que no está pagando por el firewall, el contrato de soporte o el personal. Obtienes todo eso solo pagando tu parte.

La desventaja potencial aquí es, por supuesto, la latencia. Debido a que estos servicios son nuevos y varían en términos de cuán bien se implementan, no hay forma de asignar una regla general aquí cuando se trata de demoras en el tráfico. Pero dadas todas las variables: qué tipo de infraestructura de firewall está utilizando el proveedor, cómo está diseñada, dónde está ubicada en Internet en relación con su infraestructura, cuánto y qué tipo de tráfico obtiene generalmente su organización y, por supuesto, qué configuraciones ha implementado en su cuenta de firewall (sin mencionar los caprichos del flujo de tráfico de Internet en general): la única forma de saber cómo FWaaS afectará su flujo de tráfico es probar, probar y tal vez después de todo eso, prueba un poco más.

Segmentación de red definida por software

Un buen ejemplo de esta tecnología es OPAQ Networks, que proporciona un servicio de seguridad administrado que utiliza productos y servicios de Palo Alto Networks y agrega su propio soporte especializado para empresas medianas. Una tecnología clave que ofrece OPAQ Networks es la segmentación de red definida por software, que simplifica el proceso de segmentación y al mismo tiempo lo pone al alcance de las organizaciones más pequeñas.

"Con esta herramienta, es posible segmentar granularmente las redes internas para que los usuarios finales solo tengan acceso a los recursos que necesitan, sin tener que reconfigurar las VLAN o luchar con las soluciones NAC (control de acceso a la red)", explicó Tom Cross, CTO de OPAQ Redes, en su blog.

"La pila de seguridad tradicional entregada desde la nube tiene valor, particularmente para las empresas donde la administración consistente de parches y configuración puede ser un desafío", agregó Cross.

Como probablemente sospeche, OPAQ Networks no está solo en proporcionar este tipo de seguridad como servicio. Barracuda, proveedor de firewall, ahora ofrece un firewall de aplicaciones web (WAF) que la empresa puede proporcionar como servicio. Según Barracuda, el WAF puede proteger su nube y sus datos locales. Barracuda ofrece protección distribuida de denegación de servicio (DDoS) como un servicio adicional para su WAF, junto con el acceso y la gestión de identidad, brindándole casi una oportunidad de protección única.

Seguimiento de amenazas

Y, por supuesto, la seguridad como servicio es más que solo protección DDoS y firewalls. Microsoft ahora ofrece su Seguimiento de amenazas para Office 365, que funciona con su producto Threat Intelligence para Office 365 (que se lanzó en 2017).

Si bien el producto de Microsoft en realidad no interactúa con su solución en la nube, sí proporciona una fuente útil de información. Sin embargo, Microsoft proporciona otras protecciones de seguridad en la nube para usar con su servicio en la nube de Azure, incluida una caja de seguridad para claves de acceso.

Los otros proveedores principales de la nube, incluidos Amazon Web Services (AWS) y Google Cloud Platform, han anunciado productos de seguridad para sus clientes. Y una cosa que verá cuando configure su servicio en la nube con cualquiera de los principales proveedores es la oportunidad de agregar un firewall a cualquier conjunto de productos que estén vendiendo. Pero esos firewalls y otros productos solo protegen su presencia en la nube. Por lo general, lo que diferencia a Security-as-a-Service es que también debe proteger las cosas en su centro de datos.

Seguridad como servicio

La pregunta que debe responder como una pequeña y mediana empresa (SME) es si necesita o no seguridad en la nube. Si su operación de TI es de alguna manera híbrida, y la mayoría lo son en estos días, entonces la respuesta es casi seguro "sí". Excepto en todos los casos, excepto en los más inusuales, su personal de TI probablemente no tenga la experiencia o el presupuesto para el tipo de seguridad que necesita para combatir las amenazas actuales.

Si bien puede (y debería, si es posible) contratar a alguien para administrar su seguridad de TI, los salarios en la administración de seguridad del centro de datos son estratosféricos en este momento. E incluso si contrata a un experto en seguridad, la carga de trabajo a menudo es prohibitiva para una sola persona, especialmente en algo más grande que una pequeña empresa y ciertamente en cualquier organización que realice negocios importantes en la web. Esto se debe a que no solo es un trabajo exigente, sino también porque abarca la mayoría de los aspectos de su infraestructura de TI. Por lo tanto, el nivel de experiencia requerido es significativo. A menos que sus necesidades prohíban el uso de un recurso basado en la nube, Security-as-a-Service es probablemente la solución más rentable y de implementación más rápida disponible.