La seguridad en la nube plantea desafíos importantes para las empresas a medida que se trasladan a la nube más cargas de trabajo y aplicaciones críticas para el negocio. XDR es una nueva categoría de seguridad que puede tener un gran impacto en estos desafíos al combinar datos de seguridad de la nube, redes corporativas y terminales y visualizar amenazas en los tres entornos.
En este artículo, presento la arquitectura moderna de seguridad en la nube y explico cómo XDR puede transformarla para mejorarla.
¿Qué es la seguridad en la nube?
La seguridad en la nube es un conjunto de prácticas y tecnologías que pueden ayudar a las organizaciones a proteger la información, las aplicaciones y la infraestructura, y cumplir con los requisitos de cumplimiento al mover sistemas a la nube. La seguridad en la nube es una responsabilidad compartida; por lo general, los proveedores de la nube son responsables de proteger su propia infraestructura y las organizaciones son responsables de proteger ciertas cargas de trabajo, datos y aplicaciones, así como de configurar correctamente los controles de seguridad de la nube.
La gestión de la identidad, la privacidad y el control de acceso son particularmente importantes debido a la naturaleza de la nube, que es un recurso compartido. A medida que más y más empresas utilizan la computación en la nube para aplicaciones y datos confidenciales, las empresas están dando prioridad a la seguridad en la nube. Las actividades críticas incluyen comprender las medidas de seguridad que ofrecen los proveedores de la nube, tomar las medidas necesarias para proteger los datos y las aplicaciones, y establecer planes sólidos de respaldo y continuidad del negocio.
Patrón de arquitectura de seguridad en la nube
Una arquitectura de seguridad en la nube, como una arquitectura de seguridad de la información tradicional, tiene como objetivo proteger la confidencialidad, la integridad y la disponibilidad (CIA). El objetivo principal de una arquitectura de seguridad en la nube es permitir una migración más rápida y segura a la nube y reducir el riesgo de las implementaciones existentes en la nube.
Los controles y las tecnologías de seguridad pueden integrarse en la nube pública (como AWS o Azure) o pueden ser proporcionados por terceros. Las soluciones de terceros se pueden utilizar como SaaS, como componentes de software instalados en sistemas en la nube o como dispositivos basados en la nube.
La arquitectura de seguridad en la nube debe abordar las siguientes preocupaciones:
- Defina los límites de confianza entre los servicios basados en la nube y los sistemas integrados y los métodos de acoplamiento (acoplamiento flexible o ajustado).
- Defina protocolos seguros para todas las comunicaciones en la nube, métodos de cifrado, algoritmos y pautas.
- Definir mecanismos de autenticación y autorización, administración de tokens y secretos de autenticación, registro y monitoreo de seguridad.
- Defina listas de verificación de seguridad para cada categoría de sistemas en la nube que se implementarán automáticamente mediante métodos de administración de configuración o infraestructura como código (IaC).
En los detalles de una arquitectura de seguridad en la nube, cualquier herramienta o servicio de seguridad utilizado para proteger la nube debe definirse de la siguiente manera:
- localización– ¿El servicio está de forma nativa en una nube pública, autogestionado en la nube o localmente? Si está en la nube, ¿en qué región geográfica? Esto puede afectar las políticas de gobernanza, rendimiento y acceso.
- protocolo—¿Cómo acceden los clientes o los sistemas integrados al servicio? Ejemplo: API REST, HTTPS.
- función—¿Cuál es el propósito de seguridad del servicio? Por ejemplo, registro, autenticación, monitoreo de seguridad.
- Entrada y salida—¿Cuál es la naturaleza, el tipo de datos y el formato de la entrada que recibe el servicio y qué devuelve?
- usuario—¿Quién operará y será propietario de este servicio en la organización?
¿Qué es XDR?
Las soluciones eXtended Detection and Response (XDR) se utilizan para detectar y corregir automáticamente problemas de seguridad en sistemas híbridos. Recopilan datos de todo el entorno de TI, incluidos los recursos en la nube, las redes, los puntos finales, los servidores de correo electrónico y las aplicaciones.
Servicios y aplicaciones.
Esto contrasta con las herramientas de seguridad tradicionales como firewalls, IPS / IDS y Endpoint Detection and Response (EDR), que estaban limitadas a un nivel de seguridad. En particular, las soluciones de detección y respuesta de red (NDR), que son similares a XDR, solo admiten la seguridad en las instalaciones y no se pueden utilizar para la nube o puntos finales remotos.
XDR proporciona un sistema para gestionar todos los incidentes de seguridad, independientemente de su origen. Simplifica la detección y reparación para los equipos de seguridad al permitirles ver todo el historial de ataques en un solo lugar y proporcionar automáticamente la información más relevante para una rápida investigación forense.
XDR no reemplaza la pila de seguridad existente, pero utiliza herramientas existentes y extiende la cobertura de seguridad a la interfaz entre redes, puntos finales, servicios en la nube y
entornos virtuales.
Según Gartner, una solución debe tener las siguientes capacidades para ser incluida en la categoría XDR:
- Análisis continuo de las actividades de la red, la nube y los terminales.
- Capacidad para crear bases de comportamiento utilizando inteligencia artificial y aprendizaje automático (AI / ML).
- Detección automatizada de amenazas y anomalías en un entorno híbrido.
- Permite investigaciones forenses tan pronto como se detecta un incidente de seguridad.
XDR para seguridad en la nube
La seguridad en la nube ya no es un campo aislado. En la mayoría de las organizaciones, la nube está estrechamente integrada con los sistemas locales y los incidentes de seguridad en un entorno pueden extenderse rápidamente a otros entornos. Ya no es efectivo tener controles y monitores de seguridad separados para cada entorno y tener equipos separados que analizan y responden a incidentes en las instalaciones y en la nube cuando muchos de ellos están interconectados.
Otro cambio es que la seguridad en la nube se está desplazando hacia la izquierda. Los equipos de seguridad participan en sprints de desarrollo y los CIO crean “Centros de excelencia en la nube” que incluyen tanto a expertos técnicos en la nube como a expertos en seguridad. Pero esta transformación no funcionará sin una herramienta de seguridad que brinde visibilidad y control completos sobre todo el entorno híbrido, y ahí es donde entra en juego XDR.
Hay tres formas clave en las que XDR puede contribuir a la seguridad de la nube: administración de identidad, registro y análisis del tráfico de la red.
Gestión de identidad en la nube
Se accede a los servicios en la nube tanto por identidades humanas como no humanas (por ejemplo, roles de servicio). Se deben recopilar datos de telemetría sobre el acceso a las consolas, el uso de cuentas de servicio, listas de control de acceso (ACL), cuentas de usuario y permisos para servicios SaaS y acceso a API. Sin embargo, la nube no está centralizada y, por lo general, el SOC no tiene información sobre estos sistemas, especialmente qué cuentas acceden a qué recursos.
Esta telemetría es crucial tanto para los servicios en la nube como para las aplicaciones SaaS y debe correlacionarse con el tipo y volumen de datos a los que se accede. Un usuario que accede a una aplicación SaaS para obtener un registro de cliente es diferente del mismo usuario que descarga un millón de cuentas de cliente. Los usuarios privilegiados en los sistemas de nube pública son el «santo grial» para los atacantes y deben ser monitoreados de cerca.
XDR puede ayudar al correlacionar toda esta información: qué identidades acceden a qué servicios y datos, y qué otros eventos relacionados con la seguridad en el entorno ocurrieron antes o después de una actividad sospechosa.
Análisis del registro de seguridad en la nube
Todos los proveedores de servicios en la nube ofrecen funciones de registro y auditoría. Esta es una función fundamental para las empresas que operan servicios en la nube en un entorno regulado. Sin embargo, debido a la naturaleza dinámica de los servicios en la nube, se registran tantos eventos en estos registros que es difícil asociar eventos con alertas procesables.
XDR puede ayudar eliminando el ruido y utilizando algoritmos de IA / ML para correlacionar los registros de auditoría en la nube con otras señales que indican actividad maliciosa. Puede ser particularmente útil para recopilar datos de telemetría de múltiples nubes y ver incidentes de seguridad en un solo panel de vidrio.
Flujos de tráfico en la red
Además de monitorear los datos de NetFlow en instancias específicas de la nube, el equipo de SOC debe realizar la telemetría de la red a los sistemas en la nube, desde los sistemas en la nube y entre las nubes en un entorno de múltiples nubes. El monitoreo de la red puede enfocarse en el nivel de nube privada virtual (VPC) en ciertas subredes.
En un entorno de múltiples nubes, el monitoreo de NetFlow debe incluir el tráfico de este a oeste y de norte a sur, es decir, el tráfico que fluye dentro del entorno de nube y entre la nube y otros entornos. XDR puede ayudar a recopilar y analizar estos datos, pero puede ir más allá del monitoreo. Al integrar XDR con la automatización de la red en la nube, puede crear automáticamente una segmentación de la red para aislar los sistemas infectados y bloquear el movimiento lateral.
graduación
En este artículo, analicé los desafíos de la seguridad en la nube moderna y un nuevo sistema de seguridad llamado XDR que ofrece un enfoque holístico de la seguridad para entornos híbridos. He cubierto tres formas en que XDR puede mejorar la seguridad en la nube:
- Análisis de datos de telemetría sobre identidades en la nube y acceso a sistemas en la nube.
- Asistencia en el análisis de registros de seguridad en la nube y pistas de auditoría.
- Análisis simplificado de los flujos de tráfico de la red hacia, desde y entre las nubes.
Espero que esto sea útil a medida que evalúa las nuevas herramientas de seguridad para mejorar la seguridad en el nuevo mundo de la nube nativa.