Cómo realizar una evaluación de seguridad en la nube

Blog

HogarHogar / Blog / Cómo realizar una evaluación de seguridad en la nube

Jun 22, 2023

Cómo realizar una evaluación de seguridad en la nube

Getty Images/iStockphoto La nube presenta a las organizaciones un desafío de seguridad. Al realizar una evaluación de seguridad en la nube, las organizaciones pueden descubrir vulnerabilidades antes que los adversarios. A

Getty Images/iStockphoto

La nube presenta a las organizaciones un desafío de seguridad. Al realizar una evaluación de seguridad en la nube, las organizaciones pueden descubrir vulnerabilidades antes que los adversarios.

Una evaluación de seguridad en la nube (CSA) evalúa la infraestructura de la nube en busca de vulnerabilidades, debilidades de configuración y amenazas potenciales. Analiza la configuración de las cuentas o suscripciones de los proveedores de servicios en la nube y revisa las posibles amenazas provenientes de Internet y dentro de la propia infraestructura de la nube. La organización obtiene un desglose de las posibles lagunas en el diseño y la implementación de controles, así como de la posible superficie atacable y sus riesgos.

Las organizaciones deben realizar CSA con regularidad para mantenerse actualizadas frente a las amenazas en evolución.

Una evaluación de seguridad en la nube evalúa la infraestructura en la nube de una organización para lo siguiente:

Para comenzar, haga que el equipo de seguridad de la organización haga un inventario de todas las cuentas y suscripciones en la nube en uso. Las organizaciones más grandes con muchas cuentas pueden tomar muestras selectivas de varias para mantener manejable el CSA. Elija cuentas o suscripciones con datos confidenciales o un alto nivel de exposición.

Una vez completo el inventario de cuentas y suscripciones en la nube, el equipo de seguridad debe evaluar los servicios y activos. Comience revisando las políticas de IAM para la cuenta en la nube y los privilegios y permisos permitidos dentro de estas políticas. A partir de ahí, observe los servicios de seguridad, como Amazon GuardDuty o Microsoft Defender, incluida su configuración y estado de ejecución. Escanee imágenes utilizadas para implementar contenedores y cargas de trabajo de VM en busca de vulnerabilidades, especialmente si están expuestas a Internet. Revise los servicios y objetos según los estándares y marcos de ciberseguridad, como NIST, Cloud Security Alliance o las pautas del Centro para la seguridad de Internet.

Si existen estándares de configuración internos, considérelos como parte del CSA. Asegúrese de que las cargas de trabajo en ejecución y el almacenamiento expuesto a Internet estén documentados. Evalúe los firewalls, la segmentación de redes y los firewalls de aplicaciones web para detectar posibles errores de configuración.

A partir de ahí, analice las cuentas de la nube en busca de plantillas de infraestructura como código (IaC) en implementación. Estas plantillas suelen contener elementos de configuración y servicios críticos en uso. Las herramientas de gestión de la postura de seguridad en la nube capaces de escanear plantillas de IaC pueden mejorar la eficiencia en este proceso.

Una vez documentados los activos, la exposición y la postura de configuración, las organizaciones deben realizar ejercicios de modelado de amenazas para evaluar los límites de confianza existentes y los posibles ataques contra los activos y servicios de la nube. Las revisiones de los modelos de amenazas deben evaluar posibles ataques y amenazas al entorno de la nube, la facilidad de los ataques en función de la exposición y la susceptibilidad, y el estado de los controles preventivos y de detección implementados. Las organizaciones con implementaciones de múltiples nubes deben realizar sesiones de modelado de amenazas separadas para cada servicio de nube respectivo.

Opcionalmente, las organizaciones pueden realizar pruebas de penetración y escaneos en vivo en cuentas y suscripciones en la nube para realizar pruebas y revisiones adicionales.

Según el análisis, el equipo de seguridad debe crear un informe de alto nivel. Describa todas las auditorías, documente los riesgos y las posibles lagunas en los controles, y proporcione recomendaciones de corrección de vulnerabilidades y debilidades.