A la hora de planificar una migración de los sistemas corporativos a la infraestructura cloud, la seguridad es uno de los principales puntos a considerar para que la empresa no sea vulnerable ante las ciberamenazas, un objetivo en el que un proveedor con experiencia, como Syntax, puede contribuir a alcanzar. Por este motivo, dedicamos este post a explicar cómo aplicamos las mejores prácticas de AWS, uno de los entornos en los que ofrecemos un alto valor, para definir e implementar reglas y métodos que garantizan la seguridad en la nube, junto con la configuración de las soluciones que permiten trazabilidad y auditoría.
Todos nuestros diseños de arquitectura tienen como base un modelo Zero Trust, basado en que no se se confía en nadie por defecto ni dentro ni fuera de la red y, por tanto, se requiere una verificación de todos los que intenten tener acceso a ello. Este modelo aumenta la seguridad de los datos porque reduce su exposición y la superficie de ataque.
La seguridad cloud por defecto, desde el inicio del proyecto
La seguridad en la nube es uno de los elementos que se debe contemplar desde la concepción del proyecto, una fase en la que se analiza, por ejemplo, cómo ha articulado su estrategia y sistemas de seguridad el cliente, identificando dónde se encuentran las cargas de trabajo críticas y con qué sistemas interoperan, su grado de exposición a Internet o sus necesidades de cumplimiento normativo, en función de su actividad, sector y el tamaño de su equipo de TI.
Por tanto, la fase de diseño de la arquitectura es clave para minimizar el riesgo. En ese momento, se definen qué elementos de seguridad cloud van a ser utilizados en el despliegue y que determinarán la postura final de ciberseguridad de la compañía y su sistema de seguridad.
Herramientas base para garantizar la seguridad cloud
AWS dispone de un amplio conjunto de servicios propios que aportarán protección a los activos. Por ejemplo, el conjunto de Security Groups necesarios para controlar el tráfico entrante y saliente de las instancias cloud; se tendrán en cuenta las Network Access Control Lists (ACLs) para el control del tráfico de la red privada virtual cloud, o la necesidad de desplegar WAFs, firewalls de aplicaciones web.
Un básico en las soluciones expuestas a Internet es el uso de AWS Elastic Load Balancing (ELB), que es un servicio autoescalable que, a su vez, distribuye automáticamente el tráfico de aplicaciones entrantes entre varios destinos y dispositivos virtuales en una o varias zonas de disponibilidad (AZ), y protege las aplicaciones con la administración integrada de certificados, autenticación de usuarios y descifrado SSL/TLS
Herramientas de protección frente a ataques graves
En la etapa conceptual del proceso de migración también se identificará cómo proteger las aplicaciones. En la plataforma AWS, esto se consigue mediante el despliegue de WAFs, firewalls para proteger las aplicaciones web o APIs contra ataques web y bots, y habilitando Shield, un servicio desarrollado para proteger las cargas de trabajo frente a ataques de denegación de servicio distribuidos (DDoS) que, además, proporciona mitigación online automática para minimizar los tiempos de inactividad y la latencia de la aplicación.
Definición de reglas y encriptación del tráfico
A lo largo de todo proyecto de migración cloud, un consultor cloud asesorará a la empresa sobre cuáles de estos servicios son los más adecuados para definir y desplegar las reglas de tráfico a través de todas estas herramientas, y cómo enrutarlo para que los sistemas en cloud estén seguros.
Además, será importante que todos los documentos y cargas de trabajo dispongan por defecto de encriptación ‘at rest’, o lo que es mismo, encriptar los datos en reposo, empleando para ello los servicios del hiperescalador o las soluciones propias del cliente. En Syntax trabajamos con este tipo de cifrado AES 256 para todo el almacenamiento, y además, mediante mecanismos automatizados chequeamos diariamente que los volúmenes de almacenamiento están cifrados.
Herramientas de monitorización y validación de configuraciones
Una vez finalizado el proyecto, los despliegues en la nube son entornos que pueden ser reconfigurados y, por tanto, modificar las configuraciones de seguridad. Por eso, en los planes de migración, y como fundamentos de los proyectos, se desplegarán elementos que permitan monitorizar de forma periódica las soluciones en cloud utilizando productos como AWS Config y sus Conformance Packs que revisan el cumplimiento de estándares como HIPAA, CIS o el Esquema Nacional de Seguridad, entre otros, para generar alertas de compliance.
Además, en todo momento, nuestros consultores tendrán en cuenta si la empresa cliente quiere añadir algún elemento adicional de terceras empresas para reforzar su postura de seguridad en la nube.
Formar al equipo interno para garantizar la seguridad de los datos
Los datos de IDC revelan que, a medida que más organizaciones se apresuran a adoptar la tecnología cloud para mejorar la eficiencia y la sostenibilidad, las empresas necesitan más profesionales cualificados en servicios en la nube que nunca para mantener las operaciones. Sin embargo, la oferta de competencias en cloud es escasa.
Por eso, a lo largo de la migración al modelo de cloud computing, los administradores de TI son informados en detalle los elementos de seguridad de la arquitectura diseñada y cuál es el impacto que cualquier cambio realizado puede tener sobre la plataforma y qué supone a nivel de riesgos de ciberseguridad.
Los servicios gestionados, protección constante
Cada vez más empresas optan por delegar el mantenimiento y actualización de sus sistemas en la nube para liberar tiempo de sus equipos de TI, y esto también es aplicable a la seguridad en la nube, un área en la que somos especialistas.
En esta área destacan los servicios que ofrecemos desde nuestro Centro de Operaciones de Seguridad (SOC, en sus siglas inglesas). Entre ellos figuran los de Detección y Respuesta en los endpoints (EDR), que permiten la identificación y remediación de ataques de malware o ransomware; el bloqueo de exploits y actividades maliciosas, y facilitan indicadores de ataques (IOA) basados en el comportamiento para evitar ataques sofisticados. Desde el SOC también nos ocupamos de la gestión de vulnerabilidades como servicio, que incluye la administración de parches, así como la validación de actividades de remediación o de los planes de respuesta ante amenazas, a través auditorías de seguridad periódicas.
Syntax, un socio de confianza en seguridad cloud
La ciberseguridad es un eje central de cualquier proyecto tecnológico y de transformación digital, por lo que tiene que ser tenida en cuenta desde el diseño de cualquier iniciativa en la nube que lleve a cabo una organización. En Syntax somos conscientes de ello, por lo que contamos con metodologías y mejores prácticas para incorporar este elemento crítico en la arquitectura cloud de nuestros clientes.
Nuestros equipos trabajan teniendo en cuenta las necesidades de nuestros clientes a la hora de blindar sus sistemas y sus requerimientos de cumplimiento en todas las fases de un proyecto. Contacta con nuestros expertos en migración de sistemas en AWS para que diseñar una arquitectura segura en la nube.
nuestros expertos
