¿Cómo mitigar las vulnerabilidades de la nube?

106 views
La Agencia de Seguridad Nacional de EE. UU. (NSA) ha publicado un documento importante que describe las principales clases de vulnerabilidades en la nube y las formas en que una organización puede abordarlas.
 
El informe,  Mitigating Cloud Vulnerabilities , divide las vulnerabilidades de la nube en cuatro clases:  configuración incorrecta, control de acceso deficiente, vulnerabilidades de tenencia compartidas y vulnerabilidades de la cadena de suministro  , que abarcan las vulnerabilidades más conocidos que implican las organizaciones que dependen de las cargas de trabajo en la nube para llevar a cabo el día a día operaciones diurnas
 
Las clases de problemas necesarios según la prevalencia y la sofisticación del ataque necesitan para descubrir y explotar las vulnerabilidades:
  • La configuración incorrecta de los recursos de la nube sigue siendo la frecuencia de la nube más frecuente y puede explotar para acceder a los datos y servicios de la nube. Según el informe, una arquitectura en la nube bien implementada y bien implementada incluye controles que evitan configuraciones erróneas o alertas a los administradores sobre configuraciones incorrectas.
  • Un control de acceso deficiente significa que los recursos en la nube usan métodos debiles de autenticación / autorización o incluyen vulnerabilidades que eluden estos métodos. El control deficiente de acceso puede mitigar mediante la aplicación de protocolos de autenticación y autorización electrónica, como: autenticación multifactor con factores fuertes y reautenticación regular; limitar el acceso a los recursos en la nube y entre ellos e implementar un modelo de confianza cero; auditar registros de acceso para problemas de seguridad utilizando herramientas automatizadas; evite filtrar claves API al no incluir claves claves en los sistemas de control de versiones de software.
  • Vulnerabilidades de arrendamiento compartido. Las plataformas en la nube emplean una pluralidad de componentes de software y hardware, lo que constituye una gran superficie de ataque. Las mitigaciones para las vulnerabilidades de tenencia compartidas implican separar los recursos de la organización de otros servicios en la nube utilizando los mecanismos de seguridad proporcionados por el proveedor de servicios en la nube (CSP).
  • Vulnerabilidades en la cadena de suministro son probablemente los más comunes, ya que residen en hardware y software de origen de proveedores y países de todo el mundo. La Agencia dice que el CSP es el principal responsable de detectar y mitigar los ataques de la cadena de suministro contra la plataforma en la nube. Sin embargo, el administrador de una organización puede fortalecer las defensas contra el compromiso de la cadena de suministro haciendo lo siguiente: aplicar el cifrado de datos en reposo y en tránsito; procurar recursos en la nube de conformidad con los procesos de acreditación adecuada; cumplió los contratos estipulados el cumplimiento de las normas internas; controlar la selección de imágenes de máquinas virtuales para evitar el uso de productos de terceros sin confiables; discutir contramedidas específicas del proveedor con el CPS, etc.

"Al adoptar un enfoque basado en el riesgo para la adopción de la nube, las organizaciones pueden beneficiarse de manera segura de las amplias capacidades de la nube", dice la NSA. “Los clientes deben comprender la responsabilidad compartida que tienen con el CSP en la protección de la nube. Los CSP pueden ofrecer contramedidas personalizadas para ayudar a los clientes a fortalecer sus recursos en la nube. La seguridad en la nube es un proceso constante y los clientes deben monitorear continuamente sus recursos en la nube y trabajar para mejorar su postura de seguridad ".