Cómo mejoran las cloud públicas la seguridad de las empresas

Al igual que con la nube pública se reducen los esfuerzos en administración, también reducimos el esfuerzo en securizar gran parte de los elementos, quedando únicamente en nuestra responsabilidad ciertos elementos que serían los que son configurables por nuestra parte únicamente.

Descubre más sobre cómo mejoran las cloud públicas la seguridad de las empresas.
Pedro Morales

Pedro Morales Seguir

Tiempo de lectura: 4 min

El rol del proveedor de la nube en la seguridad

Juega un papel muy importante. De momento el proveedor de la nube es el responsable de la seguridad para toda la capa “as a Service” que nos ofrecen. Desde la seguridad en la virtualización en el caso de servicios IaaS, o hasta la seguridad en la capa de software para servicios PaaS, o incluso los protocolos del cifrado en la transmisión de datos.

Las ventajas de seguridad de las nubes públicas en comparación con los centros de datos on-premise

Tal y como acabamos de comentar, se reduce significativamente el esfuerzo de securizar, al haber tareas que realiza el propio proveedor, y por tanto la probabilidad de dejar algo en alguna de las capas que sea atacable. Por otra parte, los proveedores de nube van de manera proactiva actualizando las versiones de los elementos y protocolos a las versiones mas recientes. Esta actualización, se hace de forma transparente si no tiene impacto, o se le da a la organización un plazo para actualizar a las nuevas versiones, ya que de no hacerlo el proveedor lo discontinua y no se puede utilizar. Esto desde mi punto de vista, aunque pueda ser molesto, sobre todo porque a veces estas actualizaciones implican también tener que actualizar los aplicativos o los servidores, creo que ayuda mucho a las organizaciones a estar “up to date”, y reducir riesgos de tener ataques por vulnerabilidades.

Los riesgos principales de una organización al utilizar una cloud pública y la importancia de su supervisión

Creo que el primer riesgo sería el que la Cloud pública no cumpla tus expectativas. Las empresas tienen que hacer un ejercicio de cambio de mentalidad y metodologías cuando pasan a una Cloud pública. Por lo general una empresa que se va a nube pública es para eficientar procesos y ahorrar costes, y si no se hace ese ejercicio de cambio, es muy posible que la nube sea menos eficiente y más costosa. Por otro lado, diría también que otro riesgo (salvable con el tiempo) sería la incertidumbre que puede crear el delegar tus servicios que antes tenías localmente y eran “palpables” para ti, a un proveedor que desconoces como y donde los aloja. Es incertidumbre podría hacer que finalmente no migrases a nube pública, echando por tierra los beneficios que tendrías de hacerlo.

Cómo puede una organización asegurar el cumplimiento normativo en una cloud pública

La propia nube ya incluye en fase de diseño de sus servicios toda la normativa vigente para estar certificados en fase de comercialización. Actualmente prácticamente todos los servicios que se consumen en nube pública están certificados con la ISO correspondiente o con el ENS en el caso de España. Así mismo si estas normativas se actualizasen, el proveedor de la nube debe actualizar los servicios para que puedan seguir estando certificados. Esta es otra gran ventaja frente al on-premise, ya que delegamos el cumplimiento normativo de la infraestructura al proveedor de la nube.

Cómo se asegura que los datos sean confidenciales en la cloud pública

Los grandes hiperescalares ofrecen acuerdos de confidencialidad, que ya lo aseguran contractualmente. A nivel técnico, ya se ofrece a cada cliente su “espacio” de forma aislada. Si queremos que el aislamiento sea superior podemos optar por alojar nuestros servicios en infraestructura dedicada (por defecto es compartida con otros clientes, aunque esté aislada), con el correspondiente extra en el coste.

Tipos de herramientas o servicios que ofrecen las cloud públicas

Adicionalmente a todo lo que ofrece de base comentado en los puntos anteriores, algunas nubes tienen suites de seguridad más completas que pueden ir desde un simple “firewall as a service” a incluir ya políticas de acceso granularizadas a aplicaciones de terceros (SaaS) o una solución centralizada de gestión de antivirus de tus VMs o escaneo y análisis de vulnerabilidades en tiempo real. Un ejemplo de esta suite puede ser Defender for Cloud para Azure o AWS Security para la nube de Amazon.

También habría que añadir como parte de la seguridad, las suites de Identidad y Gestión de Acceso (IAM) en las cuales podemos aplicar políticas de acceso condicional, obligar a unas un segundo factor de autenticación o bloquear el acceso por país a cualquier usuario de la organización. Un ejemplo de estas suites podrían ser Oracle IAM para OCI, o Entra ID para Azure.


Medios de comunicación

Contacta con nuestro departamento de comunicación o solicita material adicional.

close-link
Logo Centenario Telefónica Celebra con nosotros el Centenario de Telefónica
EMPIEZA LA AVENTURA