CÓMO BRINDAR

SEGURIDAD A SU
NEGOCIO EN UN MUNDO
DE NUBES MÚLTIPLES
Para muchas empresas, la nube se convirtió en la única ruta al mercado para
la implementación de nuevas aplicaciones. Logra mayor agilidad, escalabilidad,
rendimiento y un acceso más rápido a tecnologías innovadoras. Todo esto
para ayudar a los negocios a ganar ventajas competitivas. Como consecuencia,
los datos y las aplicaciones ahora se encuentran en múltiples entornos de nube,
tanto en nubes públicas y privadas, infraestructura extendida, plataformas
y software como servicio (IaaS, PaaS y SaaS respectivamente).

Según la empresa de investigación IDC® más del 85 % de las organizaciones

de TI para empresas contará con una estrategia de nubes múltiples en 2018.1
Sin embargo, a pesar de esta tendencia, aún existen barreras que retrasan su
adopción, y la seguridad continúa siendo la principal preocupación. Además,
a pesar de que los controles de seguridad nativa en la nube pública proveen
cierto grado de control de acceso y gestión de la identidad, las brechas en
la seguridad suelen ser consecuencia de un uso incorrecto, de errores de
configuración o de amenazas avanzadas.

Para poder apresurarse en la transición a la nube con seguridad, se requiere de

una protección automatizada y consistente a través de las implementaciones
de Nubes Múltiples, que evite la pérdida de datos y el tiempo de inactividad
comercial. Este documento destaca un enfoque de seguridad novedoso que
elimina un amplio rango de riesgos en la nube que pueden causar vulneraciones
de seguridad, mientras que permite a las organizaciones lograr obtener
protección consistente y sin fricción para los entornos de Nubes Múltiples.

Palo Alto Networks | Cómo Brindar Seguridad a su Negocio en un Mundo de Nubes Múltiples | Documentación Técnica 1
Los Enfoques Tradicionales de Seguridad en la Nube No Son Suficientes
Hay muchas opciones de seguridad para elegir al pasarse a la nube. Sin embargo, los enfoques que se utilizan generalmente
en la actualidad demostraron no ser suficientes para responder al criterio integral de la nube que se requiere para detectar
y evitar amenazas avanzadas y brechas de datos.

Seguridad Nativa en la Nube Pública

La seguridad en la nube es una responsabilidad compartida entre el proveedor y el cliente en la nube. En IaaS, los clientes
son responsables de la protección de sus aplicaciones y los datos que se encuentran en toda la nube pública, mientras
que, en SaaS, son responsables únicamente de la seguridad de sus datos. Para ayudar con la protección, los proveedores
de servicio en la nube ofrecen servicios básicos de seguridad nativa, como controles de acceso y herramientas para la
protección de datos. Sin embargo, este nivel de seguridad no cumple con los requisitos de la organización y está limitado
a un solo proveedor en la nube. Como las organizaciones tienden a usar diversas nubes, que abarcan a IaaS, PaaS y SaaS,
suelen generan una seguridad fragmentada y gastos administrativos adicionales e innecesarios.

Productos Puntuales
El uso de múltiples herramientas de seguridad de diferentes proveedores para resolver casos de uso específicos genera
un entorno de seguridad fragmentada en el que los equipos de TI deben correlacionar los datos de manera manual para
implementar las protecciones de seguridad aplicables. Este nivel de intervención humana aumenta la probabilidad de un error
humano, y deja así a las organizaciones expuestas a amenazas y brechas de datos. Por ejemplo, aunque los intermediarios
de seguridad de acceso a la nube sean útiles para atenuar los riesgos dentro de un entorno SaaS, estos intermediarios se
han convertido en otra herramienta de seguridad puntual a ser administrada, sensible al error humano, y cuya complejidad
operativa y con costos elevados impactan de forma negativa en los gastos administrativos generales de TI.

Seguridad Tradicional de Redes y Contenidos

Los proveedores de seguridad de hoy en día sostienen que ofrecen el nivel de protección requerido para brindar seguridad
a sus entornos de nube. Sin embargo, a lo que se refieren generalmente es a una instancia virtualizada de hardware que se
coloca en la nube pública. Este enfoque de seguridad no se encuentra realmente integrado en la nube, lo que invalida la
naturaleza de “bajo demanda” de la nube y los beneficios de agilidad. Además, carece de la automatización requerida para
habilitar una seguridad consistente y sin fricción a través de todo su entorno de Nubes Múltiples.

Prevención de brechas Protección consistente Implementación y

de datos y aplicaciones a través de todas las gestión sin fricción
avanzadas ubicaciones y nubes
Figura 1: Brindar seguridad a los entornos de nubes múltiples

¿Qué se Necesita para Brindar Seguridad a los Entornos de Nubes Múltiples?

Idealmente, la seguridad en la nube debería acelerar
el desarrollo de aplicaciones y el crecimiento del Aplicación en la nube
negocio, a la vez que evita la pérdida de datos y el
tiempo de inactividad comercial. Esto requiere tres Internet Aplicación
capacidades clave: prevención avanzada de brechas de Servidor
Servidor
de
aplica-
web Servidor
datos y aplicaciones, protección consistente a través Servidor
web
cionesde
aplica-
Servidor
ciones
de en todas las ubicaciones y nubes, e implementación
Servidor de
web aplica-
ciones
y gestión sin fricción.
Para eliminar la interrupción del negocio, IaaS
las organizaciones deben proteger sus activos en Instalada
la nube. En estos tiempos de ataques sofisticados, localmente PaaS
la seguridad a nivel empresarial es la única forma
Almacenamiento Base de
de evitar brechas exitosas. Más importante aún, de objeto
Caché datos
las capacidades de la seguridad deben ser consistentes
a través de todos los entornos de nubes múltiples
(nubes privadas, IaaS, PaaS y SaaS), sin fricción y con Figura 2: Desarrollo de aplicaciones en IaaS y PaaS
un impacto mínimo en el ciclo de vida de desarrollo.

Palo Alto Networks | Cómo Brindar Seguridad a su Negocio en un Mundo de Nubes Múltiples | Documentación Técnica 2
Requisitos de Seguridad en la Nube Pública
En un principio, cuando las Aplicación en la nube
organizaciones iniciaban la
transición a la nube, directamente HOST
EN LÍNEA Brindar seguridad al Sistema
virtualizaban sus aplicaciones Proteger y segmentar Internet Aplicación Operativo y a las Aplicaciones
empresariales, utilizando solo los las cargas de trabajo
en la nube Servidor
Servidor
de
en las cargas de trabajo

componentes básicos de IaaS: web

Servidor
Servidor
aplica-
cionesde
aplica-
Servidor
web
cómputo, red y almacenamiento. Servidor
web
ciones de
aplica-
ciones
Con el tiempo, se desarrollaron
aplicaciones para aprovechar API
la eficiencia de la nube. Ahora, IaaS Seguridad
Instalada y cumplimiento
las aplicaciones consumen múltiples localmente PaaS continuos
componentes de los servicios IaaS
y PaaS (ver Figura 2). Los servicios Almacenamiento
Caché
Base
de datos
API
de objeto
PaaS reducen significativamente el
tiempo del desarrollo y permiten que
las aplicaciones aumenten de manera
eficiente de acuerdo con la demanda. Figura 3: Protecciones críticas en la nube para IaaS y PaaS

Para brindar la seguridad de nivel empresarial que requieren las aplicaciones dentro de entornos de nube pública, se necesita
un enfoque multidimensional que incluya componentes para la protección en línea del host y API (ver Figura 3).
• En Línea: Proteja y segmente las cargas de trabajo en la nube para resguardarse frente a amenazas internas y externas.
Al investigar las comunicaciones en su entorno de nube, obtendrá un nivel de visibilidad de aplicaciones en el tráfico
norte-sur que fluye hacia y desde el entorno de la nube, así como también del tráfico este-oeste entre cargas de trabajo.
Las políticas de segmentación garantizan niveles adecuados de interacción entre diferentes cargas de trabajo en la nube
(p. ej., aplicaciones web y cargas de trabajo de base de datos).
• API: Brinde monitoreo continuo de datos, seguridad y cumplimiento. El enfoque basado en API es transparente para
los desarrolladores, y habilita a los equipos de seguridad para detectar y monitorear los recursos y activos en la nube
que podrían tener alguna actividad maliciosa, brindar seguridad a los servicios de almacenamiento al evitar errores
de configuración, y habilitar el cumplimiento con informes que destaquen las brechas en las mejores prácticas de
seguridad.
• Host: Brinde seguridad al sistema operativo y a las aplicaciones en las cargas de trabajo. Un agente ligero de host
implementado en la instancia de nube detecta todos los exploits de día cero y garantiza la integridad del sistema
operativo y de las aplicaciones. A medida que los atacantes descubren las vulnerabilidades, el enfoque basado en agente
puede brindar protección hasta que las organizaciones puedan aplicar parches a los componentes.
Para brindar una postura de seguridad consistente y sin fricción a través de toda la infraestructura de nubes
múltiples, la seguridad debe pasar a formar una parte esencial del proceso de desarrollo mediante la automatización.
Los desarrolladores no tienen que ser expertos en seguridad, siempre y cuando se puedan implementar protecciones
automatizadas y consistentes en el entorno. Además, es fundamental entender que los requisitos de seguridad para la nube
pública se deben cumplir mediante una postura de seguridad consistente que sea compatible con las aplicaciones y los datos
de los tres principales proveedores de servicios en la nube. Amazon® Web Services, Microsoft® Azure® y Google® Cloud
Platform.

Dispositivos no Visibilidad de las aplicaciones SaaS

gestionados y cumplimiento minucioso
entregado en línea
API
Dispositivos
gestionados

Usuarios remotos Aprobada Monitorear la

actividad en la
nube y proteger
los datos a
Servicio en la nube través de API

Sucursal Tolerada

Aplicativo

Sede central No aprobada

Figura 4: Enfoque SaaS

Palo Alto Networks | Cómo Brindar Seguridad a su Negocio en un Mundo de Nubes Múltiples | Documentación Técnica 3
Requisitos de Seguridad en SaaS
Las aplicaciones SaaS son fáciles de configurar y usar para la colaboración, y prácticamente cambiaron la forma en que las
organizaciones hacen negocios. También introdujeron nuevos riesgos de seguridad en el proceso, como la propagación
de malware y la exposición de datos confidenciales, que frecuentemente provienen del uso sin control de las aplicaciones
SaaS. El impulso para abordar estas brechas de seguridad llevó a la creación de la categoría cloud access security brokers
(intermediarios de seguridad de acceso a la nube – CASB). A continuación, se encuentran los modos de implementación
de las funciones CASB, junto con recomendaciones adicionales para brindar seguridad integral para sus aplicaciones
y datos SaaS.
• La implementación en línea brinda visibilidad y control de las aplicaciones SaaS. Cuando se la lleva a cabo como un
servicio de entrega en la nube, resulta simple extender una implementación NGFW ya implementada para evitar la
exfiltración de datos confidenciales a través de las aplicaciones, estén basadas en SaaS o no. Esto ayuda a reducir
la complejidad y el costo de gestión de las implementaciones globales, así como también provee una protección
consistente a través de todos los entornos en la nube.
• La implementación API provee protecciones más profundas para las aplicaciones declaradas con aprobación
empresarial, y lleva a cabo varias funciones CASB como una minuciosa inspección de seguridad de datos sobre todos
los datos en reposo en la aplicación o servicio en la nube, así como también el monitoreo continuo de la actividad del
usuario y de las configuraciones administrativas.
De la misma forma en la que los componentes IaaS y PaaS en la nube deben ser protegidos, las aplicaciones SaaS (p. ej.,
Box, Dropbox®, GitHub®, Google Drive, Salesforce®) también deben protegerse con una postura de seguridad consistente,
independientemente del proveedor de aplicaciones y de servicios en la nube.
Brindar Seguridad a su Nube Privada
Las organizaciones están incorporando rápidamente arquitecturas de nubes múltiples (no incluyen solo nubes públicas).
Muchas organizaciones continuarán apoyando a las aplicaciones instaladas localmente en los centros de datos tradicionales
o nubes privadas. La protección de estos centros de datos requiere una estrategia de seguridad consistente e integral. Para
obtener más información, por favor visite https://www.paloaltonetworks.com/solutions/initiatives/private-cloud.

Uso de la Inteligencia Colectiva para Evitar Amenazas

La seguridad consistente a través de todo el entorno de nubes múltiples es esencial para el crecimiento y la productividad
de su negocio. La única forma de lograr esto es mediante el uso compartido, coordinado y continuo de la información sobre
amenazas a través de una plataforma de seguridad integrada. Además de brindar seguridad a su entorno de nubes múltiples,
una plataforma de seguridad integral también se expande a la red y los endpoints. Estos mecanismos de seguridad, en nubes,
redes y endpoints, actúan fundamentalmente como puntos de sensores y cumplimiento, que trabajan juntos para equipar su
negocio con la inteligencia colectiva necesaria para evitar ciberataques exitosos.
Para obtener más información, por favor visite nuestra cloud security page (página de seguridad en la nube):

1. IDC FutureScape: Predicciones De Nubes A Nivel Mundial De 2017

3000 Tannery Way
Santa Clara, CA 95054
Línea principal: +1.408.753.4000
Ventas: +1.866.320.4788
Soporte técnico: +1.866.898.9087
www.paloaltonetworks.com
© 2018 Palo Alto Networks, Inc. Palo Alto Networks
es una marca registrada de Palo Alto Networks.
Encuentre una lista de nuestras marcas comerciales en
https://www.paloaltonetworks.com/company/trademarks.html.Todaslasdemás
marcas aquí mencionadas pueden ser marcas comerciales de sus respectivas
compañías.how-to-secure-your-business-ina-multi-cloud-world-wp-020218