Hogar Negocio Conocimiento de la industria: ¿cómo evolucionará la seguridad en la nube en 2017?

Conocimiento de la industria: ¿cómo evolucionará la seguridad en la nube en 2017?

Video: Cloud Security Tutorial | Cloud Security Fundamentals | AWS Training | Edureka (Noviembre 2024)

Video: Cloud Security Tutorial | Cloud Security Fundamentals | AWS Training | Edureka (Noviembre 2024)
Anonim

El próximo año promete un crecimiento sustancial para los proveedores de servicios de nube pública y los proveedores de soluciones de software como servicio (SaaS). Por un lado, las nuevas tecnologías de nivel básico, como las implementaciones de microservicios y blockchain, entre otras, están brindando vías sin explotar para la innovación. Pero quizás aún más importante, uno de los bloqueadores de adopción de la nube más citados por el CIO (a saber, seguridad y seguridad de datos) parece finalmente pasar a un segundo plano, especialmente para las empresas y las medianas empresas.

Si bien los analistas coinciden en que la mayoría de las empresas actuales, incluidos los segmentos empresariales y medianos, tienen algunas implementaciones en la nube en diversos grados, también coinciden en que las organizaciones más grandes han tardado en mover las principales cargas de trabajo a la nube, y la razón principal es la seguridad y los datos de la nube la seguridad. Eso es importante para estos clientes, no solo por los enormes volúmenes de datos que estas organizaciones migrarían, sino también porque aprobar controles rigurosos de cumplimiento y normativos, como la Ley de Responsabilidad y Portabilidad del Seguro de Salud (HIPAA) e ISO 27001, es fundamental para ellos. hacer negocios. La seguridad es lo más importante para estos CIO y, hasta hace poco, simplemente no era lo suficientemente robusta como para que adoptaran la nube a gran escala.

Pero, según las predicciones de los analistas para 2017, eso está a punto de cambiar. La seguridad en la nube ha recorrido un largo camino en la última media década y parece que muchos profesionales de TI y CIO están de acuerdo. Esto significa que los analistas predicen que veremos una adopción mucho mayor de la infraestructura y los servicios en la nube del sector empresarial en 2017.

Llevé a cabo una entrevista por correo electrónico con Brian Kelly, Director de Seguridad en el conocido proveedor de nube administrado Rackspace, para averiguar qué cambiará con respecto a la seguridad de la nube en el próximo año, y para ver si está de acuerdo con las predicciones de estos analistas.

PCMag: ¿Cómo ve Rackspace su función frente a la del personal de TI de sus clientes cuando se trata de la seguridad de los datos?

Brian Kelly (BK): Estamos viendo evidencia directa de que los clientes están llegando a la nube debido a la seguridad en lugar de escapar de ella. Con pocas excepciones, las compañías simplemente no tienen los recursos y las habilidades para defender efectivamente a sus organizaciones de las amenazas más sofisticadas y persistentes. Del mismo modo, los proveedores de la nube reconocen que el futuro de nuestros negocios depende de brindar confianza a través de prácticas de seguridad efectivas. A pesar de las mayores inversiones de los proveedores de la nube en seguridad, proteger los activos de la organización siempre será una responsabilidad compartida. Si bien el proveedor de la nube es directamente responsable de la protección de las instalaciones, los centros de datos, las redes y la infraestructura virtual, los consumidores también tienen la responsabilidad de proteger los sistemas operativos, las aplicaciones, los datos, el acceso y las credenciales.

Forrester acuñó el término "apretón de manos desigual" en referencia a esta responsabilidad compartida. En algunos aspectos, los consumidores creen que están asumiendo la carga de la seguridad de sus datos. Esto pudo haber sido cierto hace unos años; Sin embargo, estamos presenciando un equilibrio del apretón de manos. Es decir, los proveedores de la nube pueden y deben hacer más para que los consumidores compartan la responsabilidad de la seguridad. Esto puede tomar la forma de simplemente proporcionar una mayor visibilidad y transparencia en las cargas de trabajo alojadas, proporcionar acceso a planos de control u ofrecer servicios de seguridad gestionados. Si bien las responsabilidades de seguridad de un consumidor nunca desaparecerán, los proveedores de la nube continuarán asumiendo más responsabilidad y ofreciendo ofertas de seguridad administradas de valor agregado para generar la confianza necesaria para que ambas partes operen de manera segura en la nube.

PCMag: ¿Tiene algún consejo para los profesionales de TI y los clientes empresariales sobre lo que pueden hacer además de lo que ofrece un proveedor para ayudar a proteger sus datos basados ​​en la nube?

BK: Deben continuar implementando las mejores prácticas de seguridad dentro de sus enclaves. Deben segmentar las cargas de trabajo en el enclave de manera responsable para limitar el alcance de los compromisos, garantizar que los entornos de carga de trabajo (sistemas operativos, contenedores, LAN virtuales) estén debidamente protegidos y parcheados, aprovechar las tecnologías de detección y respuesta a nivel de red y punto final (IDS / IPS, detección y contención de malware), y gestione activamente cuentas y accesos. A menudo, los clientes pueden incluir estos servicios y tecnologías en sus contratos de uso de la nube, pero si no, el consumidor debe asegurarse de que suceda de su lado.

PCMag: Una pregunta clave que hemos visto que los lectores hacen es acerca de la defensa efectiva contra ataques masivos de denegación de servicio (DDoS) impulsados ​​por Internet de las cosas (IoT), similar al incidente en octubre pasado en el que un proveedor chino de IoT contribuyó inadvertidamente a el ataque. ¿Estos ataques funcionan con los proveedores de servicios de Internet (ISP) anteriores? ¿Y cómo evitan que un ataque contra un cliente derribe a todos en una instalación?

BK: El objetivo principal de la defensa DDoS es mantener la disponibilidad cuando está bajo ataque. Las capacidades de ataque DDoS de IoT son bien conocidas y se pueden mitigar con éxito implementando las mejores prácticas de seguridad y utilizando sistemas inteligentes de mitigación DDoS. La mayor amenaza no es el método de los ataques de IoT sino la inmensa cantidad de dispositivos vulnerables habilitados para Internet. Las redes deben bloquearse para limitar la exposición a amenazas en Internet. Los operadores de red deben ser proactivos para detectar todas las amenazas posibles y conocer las técnicas más efectivas para mitigarlas, al tiempo que mantienen la capacidad de analizar y clasificar todo el tráfico de red.

Una estrategia fuerte de mitigación de DDoS requiere un enfoque defensivo en capas. La gran cantidad de dispositivos de IoT dificulta la mitigación de los ataques de IoT para redes de pequeña escala. La efectividad de un ataque IoT es su flexibilidad para generar diferentes vectores de ataque y producir tráfico DDoS masivo de alto volumen. Incluso la red más resistente puede verse abrumada rápidamente por el enorme volumen de tráfico que IoT puede generar en manos de un atacante capaz. Los ISP aguas arriba suelen estar mejor equipados y dotados de personal para hacer frente a estos ataques a gran escala que saturarían rápidamente los enlaces de red pequeños. Además, la escala de operación de una red y las herramientas necesarias para mitigar tales ataques ponen la detección y respuesta efectiva fuera del alcance de la mayoría de las organizaciones. Una mejor solución es externalizar tales operaciones a los ISP de proveedores de nube que ya están trabajando con esta escala de red.

Los ISP ascendentes tienen muchas ventajas gracias a la sólida diversidad de puntos de acceso a Internet a través de los cuales pueden cambiar el tráfico. En general, también tienen tuberías de datos lo suficientemente grandes como para absorber una gran cantidad de tráfico DDoS inicialmente, mientras que las actividades de respuesta de reenrutamiento del tráfico están aumentando. "Río arriba" es un buen término porque es algo análogo a una serie de presas a lo largo de un río. Durante una inundación, puede proteger las casas río abajo utilizando cada presa para capturar progresivamente más agua en cada lago creado por la presa y medir el flujo para evitar inundaciones río abajo. El ancho de banda y la diversidad de puntos de acceso para los ISP ascendentes proporcionan el mismo tipo de resistencia. También tienen protocolos negociados en toda la comunidad de Internet para desviar el tráfico DDoS más cerca de las fuentes que pueden activar.

Al igual que con otras actividades de respuesta a incidentes, la planificación, la preparación y la práctica son esenciales. No hay dos ataques exactamente iguales, por lo tanto, anticipar las opciones y circunstancias y luego planificar y practicar para ellos es crucial. Para escenarios de ataque de IoT, eso incluye escanear su red en busca de dispositivos vulnerables y tomar medidas correctivas. También debe asegurarse de inhibir el escaneo desde fuera de su red en busca de dispositivos IoT vulnerables. Para ayudar, implemente el control de acceso riguroso y el fortalecimiento del sistema operativo, y desarrolle procedimientos para parchear diferentes versiones de código, dispositivos en red y aplicaciones.

Haga clic en la imagen para ver la infografía completa. Crédito de imagen: Twistlock

PCMag: Otra pregunta que los lectores nos hacen es sobre la seguridad de los contenedores. ¿Le preocupan los contenedores armados que podrían contener sistemas de ataque complejos o cree que la arquitectura protege contra exploits como ese?

BK: La seguridad con cualquier tecnología recientemente enfatizada es siempre una gran preocupación: los contenedores no son únicos en este aspecto. Pero, como con muchos desafíos de seguridad, hay compensaciones. Si bien puede haber un mayor riesgo, también creemos que existen estrategias de mitigación efectivas para los riesgos que podemos controlar.

Un contenedor, esencialmente, es un entorno de sistema operativo virtualizado altamente transitorio y liviano. ¿Las máquinas virtuales son menos seguras que los servidores físicos separados? Lo son, en la mayoría de los casos. Sin embargo, muchas empresas ven los beneficios de costos de la virtualización (menos gasto, más fácil de administrar, pueden rediseñar fácilmente las máquinas) y eligen aprovecharlas mientras mitigan tantos riesgos como pueden. Intel incluso se dio cuenta de que podrían ayudar a mitigar algunos de los riesgos por sí mismos y de ahí proviene Intel VT.

Los contenedores llevan el ahorro inicial de costos y la flexibilidad de la virtualización más allá. También son más riesgosos ya que hay una pared muy delgada entre cada contenedor y el sistema operativo host. No conozco ningún soporte de hardware para el aislamiento, por lo que depende del núcleo mantener a todos en línea. Las empresas deben sopesar los costos y los beneficios de flexibilidad de esta nueva tecnología junto con estos riesgos.

Los expertos en Linux están preocupados porque cada contenedor comparte el kernel del host, lo que hace que el área de exploits sea mucho más grande que las tecnologías de virtualización tradicionales, como KVM y Xen. Por lo tanto, existe la posibilidad de un nuevo ataque en el que un atacante piratee privilegios en un contenedor para acceder o afectar las condiciones dentro de otro contenedor.

Todavía no tenemos mucho en cuanto a sensores de seguridad específicos para contenedores internos. Esa área del mercado debe madurar, en mi opinión. Además, los contenedores no pueden usar las características de seguridad integradas en las CPU (como Intel VT) que permiten que el código se ejecute en diferentes anillos dependiendo de su nivel de privilegio.

Al final, hay toneladas de exploits para servidores físicos, máquinas virtuales y contenedores. Los nuevos surgen todo el tiempo. Incluso las máquinas con espacios de aire son explotadas. Los profesionales de TI deben estar preocupados por los compromisos de seguridad en todos estos niveles. Gran parte de las defensas son las mismas para todos estos tipos de implementación, pero cada una tiene sus propias defensas de seguridad adicionales que deben aplicarse.

El proveedor de alojamiento debe usar módulos de seguridad de Linux (como SELinux o AppArmor) para aislar contenedores y ese sistema debe ser monitoreado de cerca. También es fundamental mantener actualizado el núcleo del host para evitar exploits de escalada de privilegios locales. El aislamiento de ID único (UID) también ayuda, ya que evita que un usuario root en el contenedor sea realmente root en el host.

PCMag: Una razón por la cual PCMag.com no ha realizado una comparación a gran escala de Proveedores de Servicios de Seguridad Administrada (MSSP) es porque hay confusión en la industria sobre qué significa exactamente ese término y qué puede y debe ofrecer esa clase de proveedor. ¿Puedes desglosar el servicio de seguridad administrado de Rackspace? ¿Qué hace, en qué se diferencia de otros proveedores y dónde lo ve para que los lectores puedan tener una buena idea de a qué se inscriben cuando emplean dicho servicio?

BK: Los MSSP tienen que aceptar que la seguridad no ha estado funcionando y ajustar su estrategia y operaciones para ser más efectivos en el panorama de amenazas actual, que contiene adversarios más sofisticados y persistentes. En Rackspace, reconocimos este cambio de amenaza y desarrollamos nuevas capacidades necesarias para mitigarlos. Rackspace Managed Security es una operación avanzada de detección y respuesta 24/7/365. Ha sido diseñado no solo para proteger a las empresas de los ataques, sino también para minimizar el impacto comercial cuando se producen ataques, incluso después de que un entorno se piratea con éxito.

Para lograr esto, ajustamos nuestra estrategia de tres maneras:

    Nos centramos en los datos, no en el perímetro. Para responder eficazmente a los ataques, el objetivo debe ser minimizar el impacto comercial. Esto requiere una comprensión integral del negocio de la compañía y el contexto de los datos y sistemas que estamos protegiendo. Solo así podremos entender cómo se ve la normalidad, entender un ataque y responder de una manera que minimice el impacto en el negocio.

    Asumimos que los atacantes han obtenido acceso a la red y utilizamos analistas altamente calificados para perseguirlos. Una vez en la red, los ataques son difíciles de identificar para las herramientas porque, para las herramientas de seguridad, los atacantes avanzados parecen administradores que realizan funciones comerciales normales. Nuestros analistas buscan activamente patrones de actividad que las herramientas no puedan alertar; estos patrones son las huellas que nos llevan al atacante.

    Saber que estás bajo ataque no es suficiente. Es crítico responder a los ataques cuando ocurren. Nuestro Centro de operaciones de seguridad del cliente utiliza una cartera de "acciones preaprobadas" para responder a los ataques tan pronto como los vean. Esencialmente, estos son libros que hemos probado y probado para tratar con éxito los ataques cuando ocurren. Nuestros clientes ven estos libros de ejecución y aprueban a nuestros analistas para que los ejecuten durante el proceso de incorporación. Como resultado, los analistas ya no son observadores pasivos: pueden cerrar activamente a un atacante tan pronto como se detecten, y a menudo antes de que se logre la persistencia y antes de que el negocio se vea afectado. Esta capacidad de responder a los ataques es exclusiva de Rackspace porque también gestionamos la infraestructura que estamos protegiendo para nuestros clientes.

    Además, encontramos que el cumplimiento es un subproducto de la seguridad bien hecha. Tenemos un equipo que capitaliza el rigor y las mejores prácticas que implementamos como parte de la operación de seguridad, al evidenciar e informar sobre los requisitos de cumplimiento que ayudamos a nuestros clientes a cumplir.

PCMag: Rackspace es un gran defensor, de hecho un fundador acreditado, de OpenStack. Algunos de nuestros lectores de TI han preguntado si el desarrollo de seguridad para una plataforma tan abierta es realmente más lento y menos efectivo que el de un sistema cerrado como Amazon Web Services (AWS) o Microsoft Azure debido al dilema percibido de "demasiados cocineros" que plaga muchos grandes proyectos de código abierto. Como respondes a eso?

BK: Con el software de código abierto, los "errores" se encuentran en la comunidad abierta y se corrigen en la comunidad abierta. No hay forma de ocultar el alcance o el impacto del problema de seguridad. Con el software propietario, está a merced del proveedor de software para corregir vulnerabilidades. ¿Qué pasa si no hacen nada acerca de una vulnerabilidad durante seis meses? ¿Qué pasa si se pierden un informe de un investigador? Vemos a todos esos "demasiados cocineros" a los que se refiere como un gran habilitador de seguridad de software. Cientos de ingenieros inteligentes a menudo miran cada parte de un importante paquete de código abierto como OpenStack, lo que hace que sea realmente difícil que las fallas se escapen. La discusión de la falla y la evaluación de las opciones para repararla ocurren al aire libre. Los paquetes de software privados nunca pueden recibir este tipo de análisis por nivel de código de línea y las soluciones nunca tendrán una investigación tan abierta.

El software de código abierto también permite mitigaciones fuera de la pila de software. Por ejemplo, si aparece un problema de seguridad de OpenStack pero un proveedor de la nube no puede actualizar o parchear la vulnerabilidad de inmediato, se podrían realizar otros cambios. La función podría deshabilitarse temporalmente o se podría impedir que los usuarios la utilicen a través de archivos de políticas. El ataque podría mitigarse efectivamente hasta que se aplique una solución a largo plazo. El software de código cerrado a menudo no lo permite, ya que es difícil ver lo que debe mitigarse.

Además, las comunidades de código abierto difunden rápidamente el conocimiento de estas vulnerabilidades de seguridad. La pregunta "¿Cómo evitamos que esto suceda más tarde?" se pregunta rápidamente, y la deliberación se lleva a cabo de manera colaborativa y abierta.

PCMag: Terminemos con la pregunta original para esta entrevista: ¿Está de acuerdo con los analistas en que 2017 será un año "decisivo" en términos de adopción de la nube empresarial, principalmente o al menos en parte debido a la aceptación empresarial de la seguridad del proveedor de la nube?

BK: Retrocedamos un momento para analizar los diferentes entornos de la nube. La mayoría de sus preguntas apuntan al mercado de la nube pública. Como mencioné anteriormente, los investigadores de Forrester han notado el "apretón de manos desigual" entre los proveedores de la nube y los consumidores en el sentido de que los proveedores de la nube proporcionan un conjunto de servicios, pero los consumidores de la nube a menudo asumen que están recibiendo mucho más en términos de seguridad, respaldo, resistencia, Desde que me uní a Rackspace, he defendido que los proveedores de la nube deben igualar ese apretón de manos para ser más transparentes con nuestros consumidores. En ninguna parte el apretón de manos es menos, aún hoy, que en entornos de nube pública.

Sin embargo, los entornos de nube privada, y especialmente los implementados en el propio consumidor, no sufren tanto de tales ilusiones. Los consumidores tienen mucho más claro lo que están comprando y lo que los proveedores les están dando. Aún así, a medida que los consumidores han elevado las expectativas en el proceso de compra y los proveedores de la nube han intensificado nuestros juegos para ofrecer servicios más completos y transparencia, las barreras emocionales y relacionadas con el riesgo para mover las cargas de trabajo de un centro de datos tradicional a un entorno de nube pública están cayendo rápidamente.

Pero no creo que esto cree una estampida hacia la nube en 2017. Mover cargas de trabajo y centros de datos completos implica una planificación significativa y un cambio organizacional. Es muy diferente de actualizar el hardware en un centro de datos. Animo a sus lectores a estudiar la transición de Netflix; transformaron su negocio al pasar a la nube, pero les llevó siete años de arduo trabajo. Por un lado, re-factorizaron y reescribieron la mayoría de sus aplicaciones para hacerlas más eficientes y mejor adaptadas a la nube.

También vemos que muchos consumidores adoptan nubes privadas en sus centros de datos utilizando una arquitectura de nube híbrida como punto de partida. Estos parecen estar acelerando. Creo que la curva de adopción podría verse afectada en 2017, pero tomará algunos años para que la ola realmente se desarrolle.

Conocimiento de la industria: ¿cómo evolucionará la seguridad en la nube en 2017?