Las malas configuraciones siempre nos sigue.
El control y bloqueo de la nube será el otro foco-objetivo. Las compañías están tendiendo a desplazar el contenido de sus servidores a la nube, un espacio que se considera extremadamente protegido pero cuya ruptura de barreras y descubrimiento de vulnerabilidad se ha convertido en uno de los bienes más preciados.
Realizar ciberataques contra la nube es un proceso más complejo que hacerlo contra servidores o dispositivos propios, pero también lo son las acciones para descubrir y poder bloquear este tipo de acciones.
2. Luciano Moreira
• Chief DevSecOps strategy Officer en Cloud Legion
• seleccionado por la gente de peerlyst como uno de los "50 Influential
DevSecOps Professionals“
• Embajador del DevOps Institute
• Instructor acreditado de los cursos (DevSecOps Foudation, DevSecOps
Enginier y DevSecOps Master Professional)
• Master en Ciberseguridad por la Universidad Camilo José Cela.
• Primer Auditor CSA STAR certificado en la región SOLA
• Elegido Cybersecurity Consultant of the Year en los premios
Cybersecurity Excellence Awards del 2016 al 2019,
• MVP - Most Valuable Professional Microsoft Azure
• Auditor Líder ISO 27001:2013, 27018, 27017 y 9001:2015,
• Co-Fundador y Tribe lider de DevSecOps Argentina y Latam,
• Presidente del capítulo argentino de la CSA Cloud Security Alliance.
3. INTRODUCCIÓN
Las tecnologías “Cloud Native” empoderan a
las organizaciones para construir y correr
aplicaciones escalables en ambientes
dinámicos modernos, como lo son hoy las
nubes públicas, privadas o hibridas. Temas
como contenedores, colas de servicios,
microservicios, infraestructura inmutable y
APIs declarativas son ejemplos de este
enfoque.
Estas técnicas permiten crear sistemas de bajo
acoplamiento que son resilentes,
administrables y observables, esto combinado
con técnicas de automatización robusta les
permite a los ingenieros realizar cambios de
alto impacto de manera frecuente y
predecible con un mínimo esfuerzo.
La "Cloud Native Computing Foundation,
Cloud Security Alliance y otras organizaciones”
buscan impulsar la adopción de este
paradigma mediante el fomento y
mantenimiento de un ecosistema de
proyectos de código abierto y neutro con
respecto a los proveedores. Democratizamos
los patrones modernos para que estas
innovaciones sean accesibles para todos.
De la Virtualization al Cloud Native
4. Kubernetes en tendencias de búsqueda
Google Trends
Kubernetes OpenStack Docker Swarm Cloud Foundry
7. Beneficios de Cloud Native
Evitar el bloqueo de proveedores
• La pila de software de código abierto permite la implementación en
cualquier nube pública, privada o híbrida
Habilitar escalabilidad ilimitada
• Escala desde varios nodos en su computadora portátil a decenas de miles
de nodos multiinquilinos autorreparables
Aumenta la agilidad y la mantenibilidad
• Al dividir las aplicaciones en microservicios con dependencias descritas
explícitamente
Lograr Resilencia
• A fallas de contenedores individuales, máquinas e incluso centros de
datos y a diferentes niveles de demanda
Mejorar la eficiencia y la utilización de recursos
• A través de un proceso central de orquestación que gestiona y programa
dinámicamente microservicios
11. Principales Amenazas
1. Violaciones de datos
2. Configuración incorrecta y control inadecuado del cambio
3. Falta de arquitectura y estrategia de seguridad en la nube
4. Gestión insuficiente de identidades, credenciales, accesos y claves
5. Secuestro de cuentas
6. Amenaza interna
7. Interfaces y APIs inseguras
8. Plan de control débil
9. Fallas de la metraestructura y de la aplicación
10. Visibilidad limitada del uso de la nube
11. Abuso y uso nefasto de los servicios en la nube
12. Riesgos de seguridad en la nube durante la
crisis de COVID-19
• Los nuevos dispositivos y patrones de acceso pueden crear vulnerabilidades adicionales en la nube
• A medida que la gran mayoría de las empresas realizo el rápido cambio al 100% de trabajo desde casa para
frenar la propagación de COVID-19. Un porcentaje significativo de profesionales de TI y de la nube (84%)
están preocupados por mantener la seguridad de sus entornos de nube durante la transición.
• El 96% de los equipos de ingeniería en la nube están ahora totalmente distribuidos y trabajan desde casa
en respuesta a la crisis, y más de ocho de cada diez han hecho la rápida transición desde la colocación total
o parcial.
13. La amenaza invisible
La mala configuración de la nube elude las herramientas
tradicionales de seguridad y visibilidad
• Las vulnerabilidades de configuración incorrecta de la nube
pueden ser extremadamente difíciles de detectar utilizando
las herramientas de análisis de seguridad tradicionales,
incluso después de los hechos.
• Al 84% de los profesionales de TI les preocupa que su
organización ya haya sufrido una brecha en la nube que aún no
han descubierto.
• Más de una cuarta parte de los profesionales afirma haber
sufrido ya una violación de datos críticos en la nube de datos
en la nube de la que tienen conocimiento.
14. Uno de las amenazas mas importante de la nube
La gran mayoría de los profesionales de TI están preocupados por la desconfiguración de la nube
• La Mala configuración de la nube sigue siendo una de las primeras causas de violación de datos
para todas las organizaciones que utilizan la nube. A más de 9 de cada 10 profesionales les
preocupa que su organización sea vulnerable a una violación de datos importante relacionada con
la una mala configuracion de la nube.
15. La amenaza interna más peligrosa
La Mala configuración de la nube es totalmente evitable, pero rara vez lo es
La Mala configuración de la nube es un problema que nace de muchas causas, todas ellas resultado
de los errores de los usuarios. Las principales causas citadas son la falta de concienciación, controles
y supervisión.
16. El ritmo desbocado de la mala configuración de
las nubes
Todos los equipos que operan en la nube tienen un grave problema de configuración incorrecta
17. Incidentes críticos de mala configuración de la nube
Los encuestados
citaron una serie de
eventos críticos de mala
configuración que
han sufrido, incluyendo
violaciones de almacenamiento
de objetos y tráfico no autorizado
a instancias de servidores
virtuales y servicios de bases de
datos de bases de datos.
18. Las múltiples facetas de la mala configuración
de la nube
La mala configuración de la nube no es un problema singular
• La explosión de nuevos tipos de servicios en la nube y la correspondiente complejidad de la nube y la
correspondiente complejidad de su control seguro significa que los equipos están experimentando una gran
variedad de tipos peligrosos de mala configuración.
19. Cómo trabajan los equipos para prevenir la mala
configuracion de la nube
Los encuestados citan una variedad de métodos y herramientas para la prevención
• Si pensamos en que la nube es IAC su seguridad debería ser una preocupación de ingeniería de software, no de
análisis de seguridad tradicional.
Sin embargo, sólo el 31% de los equipos utilizan
políticas como código para dar a los ingenieros el
control programático de las políticas de seguridad en
la nube y emplean el control de versiones y las
revisiones de código adecuadas.
El 39% sigue confiando en las revisiones manuales
antes del despliegue.
20. Desafíos
La excesiva dependencia de los procesos manuales está creando nuevos problemas
• Mientras que los actores maliciosos utilizan herramientas de automatización para escanear Internet y
encontrar configuraciones erróneas en la nube a los pocos minutos de su creación, la mayoría de los equipos
de la nube siguen confiando en procesos lentos y manuales para solucionar el problema, creando otros
nuevos por el camino.
21. Tiempo medio de remediación (MTTR) real
frente al ideal
El MTTR es el tiempo que transcurre desde que se produce un error de configuración hasta que se
solucionado. Hay una gran diferencia entre lo que es el MTTR real y lo que las organizaciones creen
que debería ser el MTTR ideal.
22. La mala configuración de la
infraestructura en la nube es
totalmente evitable
Un vistazo a algunos de los tipos más comunes de mala
configuración en infraestructura en la nube y las
violaciones de datos resultantes.
¿Nuestras
infraestructuras
son más
seguras?
25. Mejores prácticas para evitar la configuración
errónea
COMPRUEBE LOS CONTROLES
DE PERMISOS
•Dar un acceso generalizado a
los empleados y a las cuentas
de servicio de su organización
que sólo necesitan permisos
limitados para realizar su
trabajo crea un eslabón débil
en su seguridad general.
•Permitir a los usuarios un
acceso excesivo expone a la
organización a riesgos. Aplique
el principio de mínimo
privilegio, dando a los usuarios
y a las cuentas de servicio sólo
el conjunto mínimo de
permisos para realizar sus
tareas necesarias.
AUDITAR CONTINUAMENTE
PARA DETECTAR ERRORES DE
CONFIGURACIÓN Y
CUMPLIMIENTO
•Configurar los recursos de la
nube correctamente y de
acuerdo con la política es sólo
el principio.
•Garantizar que estos recursos
sigan cumpliendo con la
normativa a lo largo de su ciclo
de vida es un reto mucho
mayor. Las organizaciones
deben implementar auditorías
regulares para comprobar si
hay signos de mala
configuración y para mantener
la política de seguridad y
cumplimiento
APLICAR MEDIDAS DE
SEGURIDAD COMO EL REGISTRO
•Puede ser difícil gestionar el
número de usuarios que
realizan cambios en su entorno
de nube.
•Activar el registro le permitirá
rastrear los cambios realizados
en sus recursos y le ayudará a
identificar la causa de una
mala configuración. Sin un
registro adecuado, las
actividades de un atacante
pueden pasar desapercibidas
o no quedar registradas
APLICAR MEDIDAS DE
SEGURIDAD COMO EL CIFRADO
•La activación del registro
rastrea todos los cambios,
mientras que el cifrado le
permite proteger los datos de
forma segura contra la
visualización no autorizada.
No es infrecuente que se
desactive accidentalmente la
configuración del cifrado de las
bases de datos y los recursos
de almacenamiento de
objetos. El registro le ayudará
a identificar la causa de tales
incidentes.
26. Mejores prácticas para evitar la configuración
errónea
COMPRUEBE EL CUMPLIMIENTO DE LAS
POLÍTICAS ANTES DEL APROVISIONAMIENTO
•Las organizaciones pueden tener políticas
de seguridad sólidas, pero a menudo éstas
no están bien integradas en los procesos
de TI que los equipos utilizan para crear
aplicaciones y desplegar la infraestructura
de la nube. Es posible que los miembros
del equipo no conozcan todas las políticas
y que, por desconocimiento, configuren
mal los ajustes desde el principio. Utilizar
una solución de seguridad que ofrezca
una función de política como código
puede ayudar a garantizar que las
configuraciones sean conformes antes del
despliegue.
ELEGIR LA SOLUCIÓN DE SEGURIDAD
ADECUADA
•Las organizaciones que buscan reforzar su
seguridad en la nube deben buscar
soluciones de seguridad que incluyan la
corrección automática. La aplicación en la
nube debe hacerse a nivel de la API. Las
herramientas tradicionales de supervisión
y alerta no suelen ser suficientes, ya que
no hay lugar para el error humano y la
lentitud.
REMEDIACIÓN AUTOMATIZADA.
•Hay tres enfoques comunes para la
remediación automatizada. El enfoque más
completo, Baseline Enforcement, remedia
automáticamente las violaciones de las
políticas y la seguridad. Las revertirá a un
buen estado conocido (o línea de base)
asegurando que su infraestructura esté
siempre en conformidad.
27. REMEDIACIÓN ASISTENCIAL
La Remediación Asistencial es el enfoque más común para abordar la mala configuración, aunque no es una
remediación verdaderamente automatizada.
Con la Remediación Asistencial, una herramienta escanea su infraestructura en la nube y genera una alerta que
le notifica los problemas potenciales. No se lleva a cabo ninguna otra acción, pero se proporciona a los
usuarios información que puede ayudar a los equipos a priorizar los problemas críticos que necesitan ser
remediados.
28. RESPUESTA ESTRUCTURADA
La respuesta estructurada se basa en el enfoque de la remediación asistencial. Con este enfoque, una
herramienta de escaneo proporciona "ganchos" para scripts de automatización adicionales o bots que pueden
remediar automáticamente algunos problemas de mala configuración con una respuesta estructurada.
La ventaja de este enfoque es que permite tiempos de respuesta más rápidos para eventos específicos de mala
configuración predefinidos con un sólido registro de auditoría.
La contrapartida es que la escalabilidad puede ser un reto, ya que los scripts de automatización deben
actualizarse y ampliarse para hacer frente a nuevas cargas de trabajo.
29. BASELINE ENFORCEMENT
La aplicación de la línea de base es el más completo de los tres enfoques. Con este enfoque, todos los cambios
no autorizados se identifican y se comparan con una línea de base establecida.
En lugar de aplicar una acción definida basada en un problema definido, la aplicación de la línea de base
restaura la configuración de los recursos a una línea de base establecida y conocida. Este enfoque elimina los
problemas de mantenimiento y escalabilidad.
30. Recomendaciones
OBTENGA VISIBILIDAD DE SU NUBE
•La nube está definida al 100% por el
software y, por lo tanto, todo lo que se
ejecuta en su nube es conocible en
todo momento mediante las API de su
proveedor de nube. Incluso si sus
desarrolladores están constantemente
construyendo y modificando la
infraestructura de la nube, usted puede
monitorear continuamente el estado
para identificar problemas de
cumplimiento y mala configuración casi
en tiempo real, y actuar rápidamente
para remediar los problemas.
CAPACITE A SUS INGENIEROS
•Dado que la nube está definida al 100%
por el software, también es totalmente
programable, lo que hace que la
seguridad de la nube sea el ámbito
ideal para los ingenieros. seguridad de
la nube el dominio ideal para los
ingenieros. "Cambie a la izquierda" y
mueva la seguridad en la nube en una
etapa anterior del ciclo de vida del
desarrollo de software, cuando hacer
cambios correctivos es más rápido y
menos costosos. Adoptar la política de
código abierto como código para
ayudar a los desarrolladores a
encontrar y solucionar los problemas
de seguridad en la nube con las
herramientas que utilizan. de la nube
con las herramientas que utilizan.
ADOPTE LA AUTOMATIZACIÓN DE LA
SEGURIDAD
•La seguridad en la nube es una tarea
demasiado amplia y compleja para los
humanos, pero ideal para los
ordenadores.
•Todos los procesos manuales de la
seguridad en la nube y el cumplimiento
de la normativa deberían ser
candidatos de automatización,
incluidas las certificaciones de
despliegue, las auditorías de
infraestructura, los informes de
informes de cumplimiento y remedios
para los recursos críticos de seguridad.
Se moverá más rápido, estará más
seguro y ahorrará dinero.
32. CLOUD ZOMBIES
La causa número uno de las violaciones de datos en la nube es la mala configuración.
Sin embargo, los recursos zombis de la nube, por definición, no son rastreados por los equipos de
seguridad y de la nube, lo que supone un riesgo real de mala configuración de la seguridad.
33. CLOUD ZOMBIES
¿QUÉ SON LOS ZOMBIS DE LA NUBE? (¿o deberíamos decir qué no son?)
Los recursos de la nube zombi son:
- no están incluidos en sus herramientas de gestión y seguridad
- no se analizan en busca de vulnerabilidades de mala configuración
- no están parcheados con las últimas actualizaciones de seguridad
- no están validados para su cumplimiento
- no se eliminan mediante prácticas de infraestructura inmutable
34. ENTONCES, ¿CÓMO SE ARREGLAN?
ESTABLECER LA VISIBILIDAD
• Encuentre una herramienta que le ofrezca
una visibilidad completa y continua de la
nube.
IDENTIFICAR Y TERMINAR
• Utilice diagramas visuales de sus entornos
para ayudar a identificar a los zombis
APLICAR ETIQUETAS
• Utilice etiquetas para rastrear y gestionar
los recursos de la nube y establezca
convenciones de etiquetado eficaces para
hacerlas cumplir.
ADOPTE LA INFRAESTRUCTURA COMO
CÓDIGO Y LAS CANALIZACIONES
AUTOMATIZADAS
• Adoptar una herramienta de infraestructura
como código y pipelines automatizados
rastreará las modificaciones de los recursos,
incluso fuera de su pipeline.
INCLUYA EL DESARROLLO EN SU SEGURIDAD
• Los entornos de desarrollo pueden suponer
un riesgo de seguridad para la
infraestructura y los datos de producción,
por lo que hay que incluirlos en los planes
de seguridad sin restricciones indebidas.
REALIZAR AUDITORÍAS E INFORMES
• Realice los pasos 1 a 5 (incluyendo los
recursos huérfanos/zombies) y las
auditorías y los informes de cumplimiento
que ya está realizando serán mucho más
fáciles.