El modelo de irresponsabilidad compartida en la nube te pone en riesgo
AS-15-2020
Fecha: 30/Sept/2020
Resumen:
Actualmente, se conoce que el personal de TI es responsable de la infraestructura en la que se implementan las aplicaciones. Normalmente, existen procedimientos y directivas establecidos para mantener el cumplimiento de la seguridad, el riesgo y la detección de infracciones. Tal vez lo más importante, es que también hay una línea clara de rendición de cuentas acerca de quién es responsable de las operaciones, la configuración y la seguridad de un sistema dado. Y cuando no hubo colaboración, los equipos de seguridad se ven envueltos en procesos como el control del cambio y la tecnología que rodea la infraestructura.
La nube es un modelo diferente. Los proveedores de nube están proporcionando literalmente la infraestructura en la que confían las organizaciones y, en muchos casos, también proveen los servicios.
En términos generales, los proveedores de nube son responsables de su propia infraestructura, incluidos el hardware, las redes, el sistema operativo host y el hipervisor, además de proporcionar un cierto nivel de servicio y disponibilidad. Pero el hecho de que una aplicación o servicio se ejecute en la nube no significa que un usuario final u organización ya no sea responsable de la seguridad. Todos los principales proveedores de nube pública en los últimos años han adoptado el concepto comúnmente conocido como "responsabilidad compartida".
El modelo de responsabilidad compartida se entiende como: "Si lo configuras, diseñas o lo codificas, eres el propietario de la responsabilidad de hacerlo correctamente." Aunque la relación entre el cliente y la nube es bien entendida, nuestra experiencia de trabajo con equipos de software indica que las responsabilidades de la organización y la seguridad arquitectónica dentro de las organizaciones no lo son. Y ahí es donde entra en juego el modelo de irresponsabilidad compartida.
Por qué la irresponsabilidad compartida es común.
Cuando algo sale mal en la nube, un problema de seguridad o incidente, la administración corporativa inevitablemente vendrá en busca de la persona más alta de la organización de TI a la que culpar.
Es posible que la organización de TI y los equipos de desarrollo no hayan pasado línea por línea a través de los modelos de responsabilidad compartida de los distintos proveedores de nube para comprender por completo con lo que tienen que lidiar. Los desarrolladores se centran en desarrollar y poner en ejecución el código, normalmente con altas tasas de cambio.
El proveedor de nube no es responsable del cumplimiento propio de una organización y, de forma predeterminada, normalmente no alertará sobre configuraciones incorrectas que podrían introducir riesgos. Por lo tanto, ni el equipo de desarrollo ni el proveedor de la nube asumen la responsabilidad de la seguridad. Aunque esto puede sonar duro, ambos son funcionalmente irresponsables.
El modelo de irresponsabilidad compartida es una función de lo que sucede en las empresas cuando todo el mundo se centra en los resultados y la implementación rápida para aprovechar al máximo la nube.
Traer responsabilidad a la nube
Con el fin de ayudar a solucionar el tema de responsabilidad, hay cuatro áreas críticas en las que invertir:
- Arquitectura y organización: La brecha entre su proceso de desarrollo y las arquitecturas no puede estar a años luz de su arquitectura de seguridad. DevOps debe ser consciente de los rieles de protección de seguridad, los procesos y la seguridad deben encajar en el proceso de desarrollo, no a su alrededor. La notificación de incumplimientos y la exposición al riesgo deben acordarse entre los equipos.
- Herramientas y afinación: Los equipos deben compartir el conjunto de herramientas apropiado y trabajar a partir de los mismos datos. El intercambio de conocimientos sobre cómo se utilizan las herramientas, se almacenan, se consultan los datos, y una comprensión completa del resultado permitirá a los equipos hablar en un idioma común y ayudará a ajustar los riesgos y las exposiciones a lo largo del tiempo.
- Causación y correlación: Uno de los mayores beneficios de la nube es aprovisionar automáticamente hacia arriba y hacia abajo casi en tiempo real, sumado al aprendizaje automático, pero también se expone a riesgos, por lo tanto es clave tener conocimiento de la causa y efecto de estos riesgos y poder correlacionarlos.
- Flujo de trabajo y automatización: Las organizaciones más maduras comprenden y combinan los flujos de trabajo en DevOps y la seguridad. Esto podría ser algo tan simple como un sistema de enrutamiento de tickets, un sistema más complejo como integraciones de operaciones de chat o un flujo de trabajo de automatización completo. Sin embargo, si no tiene las arquitecturas adecuadas, las herramientas compartidas y los almacenes de datos es importante para comprende los cambios, y que esto no resulte tan difícil.
La utopía de tender un puente sobre el modelo de irresponsabilidad compartida es solo eso. Un sistema automatizado exige una comprensión organizativa completa en tiempo casi real de los riesgos y amenazas a su entorno. Nunca asuma que solo porque una aplicación o servicio está en la nube, eso significa que alguien más lo está protegiendo. Intensifique e implemente las herramientas de cumplimiento y asuma la responsabilidad ... porque si no lo hace, ¿quién lo hará?
Referencias: