La falta de conocimiento y el exceso de dependencia en procesos de cambio manuales lleva a muchas empresas a poner en peligro la seguridad de su despliegue cloud.
Un reciente estudio publicado por McAfee desvelaba que la empresa media tiene aproximadamente 14 instancias IaaS mal configuradas operando en cualquier momento y uno de cada 20 buckets de S3 en AWS se dejan públicos. Además, los investigadores calculan que un 5,5% de todas las instancias de almacenaje S3 en AWS se encuentran en modo “world read”, permitiendo a cualquiera que sepa la dirección del bucket S3 ver sus contenidos. Hablamos con nuestros compañeros de AWS para que nos expliquen cuáles son los errores más comunes que suelen encontrarse en entornos de cloud público y cómo evitarlos.
Los retos de seguridad cloud destacados en el informe poco tienen que ver con la plataforma en si, pero sí todo con la gente que la utiliza y, según nuestra experiencia, las personas representan el mayor punto débil aquí.
Los principales proveedores cloud como AWS cuentan con configuraciones predeterminadas sensatas – por ejemplo, los buckets de S3 ahora son por defecto privados – pero, lamentablemente, es muy fácil equivocarse si no sabes cómo usar la plataforma.
Vemos muchas configuraciones desarrolladas por las propias empresas o sus partners, que, a menudo, no tienen experiencia suficiente. Y estas configuraciones, francamente, son incoherentes. Cuando equipos de TI internos crean estos entornos, pueden cometer errores si no poseen el conocimiento profundo o experiencia necesarios para cumplir las buenas prácticas.
Hacer clic en un botón o un pequeño cambio de configuración puede tener un gran impacto en tu seguridad, por lo que es importante conocer bien los controles de acceso y mantener los planes de contingencia a punto para detectar errores antes de subir a producción.
Desarrollar infraestructura como código – efectivamente, scripts con plantilla que crearán infraestructura en cualquier entorno de public cloud – ayuda porque hace más difícil que se cometan errores. Cualquier cambio en el código necesita ser revisado en el ciclo de desarrollo, haciendo menos probable que los errores pasen a producción y asegurando que los cambios son rastreados y auditados. También es una buena práctica operar el código desde una ubicación centralizada – como un servidor CICD, por ejemplo –, de manera que solo la máquina pueda crear configuraciones y no haya ningún modo de realizar cambios manualmente.
El equipo de AWS de Claranet concluye afirmando que AWS Well-Architected Framework, programa diseñado para ayudar a los usuarios de AWS a construir una infraestructura más segura, de alto rendimiento, resistente y eficiente para sus aplicaciones, es la clave para que los usuarios puedan alcanzar la paz y tranquilidad con sus despliegues.
AWS ha configurado un esquema de revisión, el AWS Well-Architected Framework, como soporte para solucionar estos problemas y ofrecer a los usuarios la garantía de que todo está configurado con seguridad y como debería. Los partners de AWS cualificados también ofrecen revisiones completas de las arquitecturas AWS existentes, examinando aspectos como las políticas de acceso y procesos de cambio, y aconsejando acerca de la mejor manera de salvaguardar la seguridad de nuestro cloud público.