Control de acceso en Cloud, mucho más seguro que en tu propio datacenter

Las demandas de seguridad del mercado en entornos cloud son claras: el mayor nivel de seguridad posible para los datos y las aplicaciones, cumplimiento de todas las certificaciones y los estándares necesarios y una gestión clara y sencilla que no requiera dedicarle mucho tiempo.

Para cubrir todas estas necesidades, los principales proveedores cloud incluyen por defecto todas estas herramientas en sus plataformas. En el post de hoy vamos a ver algunas de ellas.

IAM Identity & Access Management

Estas herramientas aportan las funcionalidades necesarias para gestionar la identidad y los accesos. Permiten la creación de diferentes políticas para cada usuario o grupo de acuerdo a las necesidades de la organización.

De esta manera, los equipos de seguridad pueden aplicar las recomendaciones básicas en la gestión de privilegios: la separación de funciones y el principio del privilegio mínimo. Con este nivel de granularidad se consigue que cada usuario pueda realizar solamente las operaciones estrictamente necesarias, de acuerdo a sus roles, sin necesidad de utilizar otras herramientas externas.

Se puede controlar la hora del día a la que un usuario puede acceder a un servicio o una API, la IP desde donde lo hace o si usa SSL. Es posible habilitar accesos para aplicaciones móviles o navegadores mediante credenciales de seguridad temporales que garantizan acceso solamente a recursos específicos durante un periodo de tiempo configurable.

También permiten otorgar acceso federado a empleados y aplicaciones a la consola, los servicios o las APIs usando otros sistemas externos como Active Directory. Además, soportan SAML 2.0 para usar soluciones de gestión de la identidad  de terceros.

Un IAM permite gestionar de forma centralizada todas las credenciales de seguridad y permisos, de forma que se puede asignar a cada usuario acceso sólo a los recursos que le competen. Frente a las soluciones tradicionales aporta mucha mayor visibilidad y ayuda a abandonar prácticas poco recomendables como compartir contraseñas, no cambiarlas regularmente o asignar más permisos de los necesarios.

Multifactor authentication

Otra característica extra incluida, sin ningún coste adicional en las plataformas cloud, es la autenticación multifactor. Se puede habilitar para controlar el acceso tanto a nivel de la cuenta como para usuarios individuales mediante varios métodos de acceso (certificados, tokens, códigos SMS).

Cualquiera con los privilegios adecuados puede usar cualquiera de los métodos de acceso multifactor aprobados para gestionar el acceso a recursos o servicios sensibles.

Gestión de claves

Resulta bastante común que exista cierta preocupación sobre la localización física de los datos. Si estos están on-premise o si se almacenan en una determinada región proporciona la tranquilidad de estar cumpliendo con una determinada regulación.

Pero la realidad tecnológica es que son los permisos sobre esos datos lo que determina que se puedan ver o utilizar desde un lugar determinado, esto es lo que algunos han denominado localización lógica.

Un aspecto fundamental para controlar el acceso a la información es el uso de claves criptográficas. Estas claves deben ser controladas con cuidado para prevenir accesos ilícitos a cualquier cuenta, especialmente las de usuarios administradores. La gestión y monitorización de estas claves se debe asegurar en la plataforma mediante herramientas específicas.

Servicios totalmente gestionados como Cloud KMS y AWS KMS permiten generar, importar claves propias, usar, rotar y destruir claves de cifrado, así como definir políticas de uso y permisos.

Estos servicios están totalmente integrados con Cloud Audit Logging o AWS CloudTrail para tener logging y auditoría y así poder monitorizar cómo se están usando estas claves para estar seguros de que las cuentas con privilegios no se comprometen. Además garantizan el cumplimiento de varios programas de conformidad.

Últimas novedades

En su último re:Invent, Amazon se unió a la nueva tendencia comenzada por Google y otros proveedores y presentó una nueva herramienta para facilitar el control, la administración y la seguridad de múltiples cuentas.

Este servicio se basa en el uso de organizaciones, por eso se llama AWS Organizations y permite crear grupos de cuentas cloud para administrar la configuración de seguridad.
Nuevo llamado a la acción

¿Qué ventajas ofrece?

  • Administrar varias cuentas de forma centralizada.
  • Controlar qué servicios de AWS están disponibles para cuentas individuales.
  • Crear políticas personalizadas que pueden aplicarse a usuarios y grupos para gestionar la seguridad.
  • Controlar de forma centralizada el uso de los servicios en varias cuentas.
  • Automatizar la creación de cuentas nuevas.
  • Simplificar la facturación.

Además, incorporan servicios de protección automática frente DDoS para proteger las aplicaciones ejecutadas en la nube pública. Amazon ofrece de forma gratuita su nuevo producto AWS Shield con mitigación automática en línea y detección siempre activa para minimizar el tiempo de inactividad y la latencia de las aplicaciones.

Google proporciona, por defecto, protección automática frente a la mayoría de ataques DDoS de nivel 4 cuando se usa balanceo de carga mediante proxy, absorbe la mayoría de ataques en su infraestructura Frontend para evitar que lleguen a las instancias de computación de los clientes, protección anti-spoofing en la red privada y aislamiento entre redes virtuales.

Una de las novedades presentadas por Google en Next es Data Loss Prevention API, que automáticamente descubre datos sensibles y ayuda a clasificarlos.

Detecta y clasifica, tanto en texto como en imágenes, datos tales como:

  • Números de tarjetas de crédito.
  • Nombres.
  • Números de la seguridad social.
  • Números de pasaporte.
  • Números de carnés de conducir.
  • Números de teléfonos y muchos más.

Además, puede alertar a los usuarios cuándo van a guardar datos sensibles en las aplicaciones. Permite, antes de que esos datos se escriban en disco, elegir automáticamente el sistema de almacenamiento más adecuado y el conjunto de controles de acceso correcto. Todo ello para tener identificados y saber dónde y cómo se almacenan los datos más sensibles de una organización.

¿Tienes todas estas herramientas de seguridad on-premise?

Como hemos visto, en la cloud pública disponemos cada vez de más herramientas para garantizar, por defecto, la seguridad de las aplicaciones y los datos.

Desde soluciones para la gestión de identidades, acceso multifactor, servicios para la gestión de claves que permiten utilizar claves propias,  herramientas para la auditoría, productos para organizar mejor los recursos o para proteger de forma automática nuestros contenidos.

No es necesario realizar un desembolso extra ni pasar semanas instalando y configurando nuevas herramientas, vienen ya incluidas para empezar a trabajar con la máxima seguridad y así cumplir con las demandas actuales del mercado.

Escribe un comentario