Arrancamos con esta entrada de blog la primera de una serie en la que nos centraremos en identificar y destapar diferentes mitos todavía vigentes en el mundo IT sobre la seguridad de entornos cloud.
Esto lo hacemos confiando en que sirva para evitar muchos fallos que por desconocimiento o por no comprender nuevas tecnologías de nuestro entorno IT generan unos riesgos fácilmente evitables para nuestros negocios.
Aunque no suele ser el primer elemento que se pone en marcha en un despliegue nativo en la nube, sí es una de las preocupaciones, si no la principal, de los equipos que se unen a la nube, ya que la seguridad nativa en la nube forma parte de la arquitectura, el diseño y la funcionalidad del propio entorno. Por lo tanto, entender cuanto antes lo que requiere puede ayudar a superar las dificultades que puedan surgir durante la cooperación entre los equipos necesarios en este tipo de arquitectura y «mentalidad nativa en la nube», ayudando a todos los equipos a establecer expectativas y límites realistas en torno al camino que les queda por delante.
Cuando tener la mentalidad apropiada es tan importante y, además, la tecnología cambia constantemente, aprender sobre las falsas creencias de los demás en cuanto a la seguridad nativa en la nube proporciona un contexto crítico en torno a lo que, de otro modo, podría parecer un reto insuperable.
Existe la idea errónea de que las aplicaciones nativas en la nube son más seguras por defecto.
Mito #1: No es necesario tener una estrategia concreta de seguridad nativa en la nube.
Una de las ventajas que más se relacionan, de buena fe, con tener una estrategia de seguridad nativa en la nube es que dicha seguridad se ve reforzada.
Esto se debe a conceptos como la inmutabilidad y la separación de los componentes informáticos discretos en contenedores, funciones sin servidor, microservicios e infraestructura de la nube. Desgraciadamente, existe la idea errónea de que las aplicaciones nativas en la nube son más seguras por defecto, sin necesitar de controles de seguridad adicionales.
Por ejemplo, resulta muy fácil dar por sentado que los contenedores ‘contienen’ y es imposible que accedan a otros contenedores y al sistema operativo en el que se ejecutan. Pero, en realidad, se está confundiendo el concepto de raíz con el de privilegio. Ejecutar un contenedor con privilegios de raíz podría dar acceso a todos los recursos que se encuentran en el sistema anfitrión, por lo que, en pocas palabras, un atacante podría tomar el control del sistema. Para evitar que esto suceda, es preciso controlar el acceso con privilegios antes de desplegar el contenedor y comprobarlo de nuevo usando las capacidades de ejecución nativas en la nube (en próximas entregas trataremos el mito sobre la protección durante el tiempo de ejecución).
Tener una seguridad adecuada es crucial para el negocio, y la idea errónea de que una estrategia nativa en la nube ya es segura por sí misma o que basta con implementar las herramientas de seguridad tradicionales lleva a malinterpretar una realidad que, en sí, es muy positiva y optimista.
La incorporación de seguridad nativa en la nube en iniciativas del mismo tipo puede, en efecto, hacer que las aplicaciones y la infraestructura sean más seguras que nunca, pero un despliegue nativo en la nube sin una estrategia de seguridad no goza necesariamente de protección adicional. Al contrario, puede generar riesgos aún mayores.
