Se suele decir que el eslabón más débil en cualquier proceso tecnológico recae en el componente humano. Y en un momento en el que afrontar el reto hacia el Cloud es tan necesario si se quiere, no solo avanzar en estos los tiempos tan convulsos sino sobrevivir como negocio, hay que tenerlo en cuenta más que nunca. Si todavía quedaba alguna duda, conocidas compañías dedicadas a la seguridad como Trend Micro y McAfree han hecho una llamada a la atención sobre el impacto del factor humano en la migración a entornos Cloud.
Los fabricantes dan la voz de alarma
La ciberseguridad debe tener un papel prioritario en todos los aspectos de una migración a la nube pero queda todavía camino por recorrer debido a los errores que se cometen. Trend Micro Research identificó 230 millones de configuraciones erróneas de media cada día. Unos datos que ponen sobre la mesa un problema que no es puntual ni acotado, sino más bien la causa principal de los problemas de seguridad de despliegue en la nube.
McAfee, por su parte, entra en materia con algunas cifras que llaman la atención. Destacan que una empresa media tiene unas 14 instancias IaaS mal configuradas operando en cualquier momento y uno de cada 20 buckets de S3 en AWS se dejan públicos. A esto se suma que hasta un 5,5% de todas las instancias de almacenaje S3 en AWS están en lo que se conoce como modo “world read”, lo que implica que quien conozca la dirección del bucket S3 puede visualizar lo que contiene.
La mayoría de problemas provienen de una falta de conocimientos y la excesiva dependencia en procesos de carácter manual. Así pues, el error humano (y los despliegues complejos), y no tanto la plataforma en sí, se revela como el mayor factor de riesgo para los entornos Cloud.
Unas conclusiones que adquieren más relevancia si tenemos en cuenta que la consultora Gartner estima que para 2021 más del 75% de las organizaciones medianas y grandes habrán adoptado una estrategia de TI multicloud o híbrida.
La solución empieza con las buenas prácticas
Los fabricantes siempre están poniendo en marcha mejoras para evitar errores causados por un mal uso de sus sistemas. Así, apuestan por el diseño de configuraciones más seguras (como por ejemplo AWS haciendo que los bucket de S3 sean privados por defecto), pero no se acaba con el problema de raíz. La ya mencionada falta de conocimientos, a la que se suma la experiencia, terminan alejando a las empresas del cumplimiento de buenas prácticas.
Desde AWS hacen recomendaciones como desarrollar infraestructura como código, por ejemplo mediante scripts con plantilla para crear infraestructura en cualquier entorno de Cloud pública. Con ello se reduce la probabilidad de que se produzcan errores, ya que al tener que revisarse los cambios en el código durante el ciclo de desarrollo se auditan y rastrean posibles fallos, lo que hace muy difícil que lleguen a producción.
Otra sugerencia pasa por operar el código desde una ubicación centralizada con el fin de que la creación de configuraciones esté sujeta a la máquina (por ejemplo un servidor CI/CD) y se elimine la posibilidad de hacer modificaciones a mano.
A nivel de seguridad se aconseja emplear controles de privilegios mínimos para dar acceso solo a aquellos usuarios que realmente los requieran, o comprender el modelo de responsabilidad compartida (tanto los proveedores Cloud como los clientes son responsables de proteger sus datos). Y no hay que olvidar reforzar la supervisión de los sistemas para detectar configuraciones incorrectas.
La clave: elegir socios de confianza para la migración
Como hemos avanzado, las empresas deben apoyarse en partners de garantías y con experiencia contrastada. Un cambio mal aplicado, por pequeño que parezca, puede tener consecuencias desastrosas. Por ese motivo hay que conocer muy bien la plataforma a la que planee migrar, e intentar automatizar al máximo los procesos para evitar fallos de carácter humano.
La responsabilidad del partner es ayudar a los usuarios de las distintas plataformas a construir una infraestructura segura, resistente y eficiente a la hora de correr aplicaciones, sin olvidar que también debe garantizar un alto rendimiento. Esto es lo que, a la postre, transmitirá confianza a los usuarios. Una confianza que brindará seguridad en los despliegues.
En Ausum Cloud lo sabemos y por eso apostamos por ser tu socio tecnológico, acompañándote en la migración a Cloud con todas las garantías. Si quieres saber más sobre cómo podemos ayudarte, ponte en contacto con nosotros.
