A medida que las organizaciones continúan migrando hacia el uso de entornos en la nube, estos entornos se están convirtiendo en objetivos cada vez más valiosos para actores cibernéticos maliciosos (ACM). Muchas brechas en la nube ocurren debido a configuraciones incorrectas en los inquilinos de la nube. Las Diez Estrategias Principales de Mitigación de Seguridad en la Nube de la NSA informan a los clientes de la nube sobre las prácticas más importantes para mejorar la postura de seguridad de sus entornos en la nube. A medida que las organizaciones trasladan sus datos a la nube para facilitar su procesamiento, almacenamiento y compartición, deben tomar precauciones para mantener la paridad con la seguridad en las instalaciones y mitigar las amenazas adicionales específicas de la nube. Las siguientes secciones describen las diez principales estrategias de mitigación recomendadas por la NSA que los clientes de la nube deben seguir para mejorar su postura de seguridad. Cada estrategia tiene una hoja de información de ciberseguridad asociada que la describe con más detalle en lo siguiente:
1. Mantener el Modelo de Responsabilidad Compartida en la Nube
2. Utilizar Prácticas de Gestión de Identidad y Acceso en la Nube Seguras
3. Utilizar Prácticas de Gestión de Claves en la Nube Seguras
4. Implementar Segmentación y Encriptación de Redes en Entornos de Nube
5. Asegurar Datos en la Nube
6. Defender Entornos de Integración/Entrega Continua (CI/CD)
7. Hacer Cumplir Prácticas de Implementación Automatizada Segura a través de Infraestructura como Código
8. Considerar las Complejidades Introducidas por los Entornos de Nube Híbrida y Multi-Nube
9. Mitigar los Riesgos de los Proveedores de Servicios Gestionados en Entornos de Nube
10. Gestionar Registros en la Nube para una Búsqueda de Amenazas Efectiva
1. **Mantener el Modelo de Responsabilidad Compartida en la Nube:** Se producen brechas de seguridad cuando los clientes asumen que el proveedor de servicios en la nube (CSP) está asegurando algo que en realidad es responsabilidad del cliente. Los clientes deben entender el modelo de responsabilidad compartida (SRM) del CSP, que identifica quién es responsable de la seguridad según el tipo de servicio adquirido (SaaS, PaaS o IaaS).
2. **Utilizar Prácticas de Gestión de Identidad y Acceso en la Nube Seguras:** Una gestión adecuada de la identidad y el acceso (IAM) es fundamental para asegurar los recursos en la nube.
3. **Utilizar Prácticas de Gestión de Claves en la Nube Seguras:** Los CSP ofrecen una variedad de métodos para manejar la gestión de claves.
4. **Implementar Segmentación y Encriptación de Redes en Entornos de Nube:** Las organizaciones que utilizan recursos en la nube deben implementar controles en su inquilino para prevenir y detectar actividades de ACM.
5. **Asegurar Datos en la Nube:** La nube presenta un objetivo atractivo para actores maliciosos para robo de datos y rescate.
6. **Defender Entornos de Integración/Entrega Continua (CI/CD):** Los procedimientos de desarrollo, seguridad y operaciones (DevSecOps) de una organización son críticos para la seguridad de su entorno.
7. **Hacer Cumplir Prácticas de Implementación Automatizada Segura a través de Infraestructura como Código (IaC):** La IaC automatiza la implementación de recursos en la nube.
8. **Considerar las Complejidades Introducidas por los Entornos de Nube Híbrida y Multi-Nube:** Las organizaciones deben tener en cuenta las complejidades que pueden surgir al utilizar entornos de nube híbrida y multi-nube.
9. **Mitigar los Riesgos de los Proveedores de Servicios Gestionados en Entornos de Nube:** Si bien los proveedores de servicios gestionados (MSP) pueden proporcionar un soporte técnico útil, su uso puede aumentar la superficie de ataque de una organización.
10. **Gestionar Registros en la Nube para una Búsqueda de Amenazas Efectiva:** Los registros juegan un papel fundamental en la detección de amenazas para los entornos en la nube.
La NSA recomienda que las organizaciones y los usuarios de la nube sigan estas estrategias de mitigación para mejorar su postura de seguridad en la nube.