Las infraestructuras híbridas en las que combinamos servidores físicos, on premise, o plataformas IaaS de cloud privado, con uno o varios servicios de cloud público son cada vez más comunes.
Es una modalidad que ofrece una serie de ventajas, ya que ofrece flexibilidad, versatilidad y escalabilidad, a la vez que conseguimos diversificar proveedores para evitar dependencias. Y todo ello sin necesidad de grandes inversiones en infraestructura IT y manteniendo un alto grado de control sobre tus datos y aplicaciones críticos.
Es una modalidad de infraestructura con un alto nivel de adopción. Según un estudio realizado por O’Reilly en 2020, un 39% de las organizaciones utiliza una infraestructura cloud híbrida. El estudio apunta a un uso cada vez mayor de la nube por parte de las empresas, por lo que este tipo de combinación entre nube pública y equipos on premise o nube privada irá en aumento.
Desafíos de seguridad de las infraestructuras híbridas
Aunque una infraestructura híbrida ofrece muchas ventajas, para poder aprovecharlas es necesario un despliegue que tenga en cuenta consideraciones de seguridad. Este tipo de infraestructuras son más complejas, por lo que presentan una serie de desafíos a la hora de gestionar su seguridad.
Migración, interoperabilidad y configuración
Configurar todos los sistemas y componentes de forma segura es clave para evitar fugas y accesos no deseados. Una estrategia de migración a la nube en fases te ayudará a mantener un control sobre el proceso y configurar y testear cada elemento para mantener un alto nivel de seguridad.
Para poder aprovechar las ventajas de la flexibilidad y escalabilidad de la nube es necesario poder integrar bien todas las diferentes tecnologías con las que has construido tu infraestructura. Asegurar la interoperabilidad de los diferentes elementos es fundamental para poder aprovechar las ventajas de la infraestructura híbrida, por lo que es algo a determinar al principio de la fase de arquitectura. Así, la ejecución del plan será más sencilla y se podrán alcanzar tanto los objetivos de negocio como de seguridad.
Monitorización y visibilidad
La diversificación de servicios que conforman una arquitectura híbrida no ha de ser un impedimento para la monitorización de equipos críticos. Una solución de monitorización te permite integrar diferentes sistemas, centralizar la captura de datos de diferentes entornos y gestionar alertas y respuestas automáticas a eventos.
La escala a la que opera un entorno híbrido hace necesaria una solución que permita integrar diversas fuentes de datos, procesarlas y analizarlas para conseguir visualizar en tiempo real anomalías y posibles amenazas. La automatización de respuestas a través de cambios de configuración y ejecución de código es fundamental para responder lo más rápidamente posible para mitigar posibles daños y evitar caídas de servicio.
Evaluación de riesgo
La elaboración de un perfil de riesgo te permitirá evaluar y cuantificar los riesgos a los que se enfrenta tu infraestructura e identificar los recursos y el presupuesto de seguridad necesarios para afrontarlos.
Con un perfil de riesgo podrás implementar políticas proactivas para la mitigación de esos riesgos, reduciendo las posibles amenazas.
Errores humanos
Según un estudio realizado por Gartner en 2019 y citado por el Wall Street Journal, el 95% de las fugas de datos en la nube son culpa de errores humanos, como por ejemplo errores de configuración, en políticas de acceso, sistemas no actualizados o incluso errores de diseño de arquitectura.
La seguridad en la nube sigue un principio de responsabilidad compartida. Aunque los proveedores de cloud público proporcionen un cierto nivel de seguridad, es responsabilidad de cada cliente el asegurar sus instancias, comunicaciones y servidores.
Eliminar las amenazas de seguridad provenientes de errores humanos requiere tomar ciertas medidas. Es recomendable una política de formación para que cada miembro de tu equipo sepa cómo gestionar e implementar medidas de seguridad y evitar los errores más típicos que puedan poner en riesgo tu infraestructura. Contar con un equipo propio de especialistas bien formados, permitirá reducir el riesgo de errores y de amenazas internas.
Protección de datos
Otro de los desafíos clave en infraestructuras híbridas es la protección de los datos. La transferencia de datos entre la nube privada o los equipos on premise y la infraestructura en uno o varios cloud públicos es un riesgo potencial, sobre todo si se utilizan conexiones abiertas. Lo mejor en este caso es utilizar un servicio de interconexión con clouds públicos que permita una conectividad segura, directa, privada y fiable, evitando la internet pública.
Mantener los datos cifrados es también necesario para garantizar su seguridad, tanto mientras están alojados como cuando se transmiten. Esto puede suponer tener que decidir si sacrificar algo de rendimiento en favor de la seguridad.
En cualquier caso, por motivos de seguridad y de cumplimiento de normativas, los datos más críticos deberían estar ubicados en la parte privada de la infraestructura, ya sea en una plataforma IaaS o en servidores on premise, solucionando de ese modo cualquier cuestión referente a la ubicación legal de los datos.
Mejores prácticas de ciberseguridad en infraestructuras híbridas
- Aplicar el principio del mínimo privilegio. Servicios, aplicaciones y usuarios solo deberían tener privilegio de acceso a los datos y servidores que necesitan. De esa manera, limitamos los daños que puedan producirse si un atacante consigue acceder de manera fraudulenta. Configurar políticas de identidad y acceso te permitirá regular el acceso a la información de forma granular. Implementar estas políticas de forma correcta requiere prestar atención a las diferencias en la manera de gestionar acceso en infraestructura cloud y on premise, pero permite aumentar la seguridad al implementar la política de mínimo privilegio de forma estricta.
- Auditar constantemente tus sistemas. Establecer un sistema de auditorías periódicas te permitirá identificar problemas de configuración y adaptar tus sistemas a las necesidades de cada momento, optimizando tus recursos, eliminando cuellos de botella y asegurando el cumplimiento legal de normativas como la GDPR.
- Asegurar todos los equipos públicos. Servidores, routers, dispositivos inteligentes, sensores… en una infraestructura híbrida, el número de equipos accesibles públicamente aumenta. Esto supone aumentar también la superficie de ataque, incrementando el riesgo. Controles de acceso, firewalls y otras medidas de seguridad de tu red te permitirán mantener tus equipos seguros de forma escalable a medida que tu infraestructura crece.
- Implementar estrategias de recuperación ante desastres. Como en cualquier otra tipología de infraestructura, disponer de un sistema de copias de seguridad y una estrategia de continuidad de negocio y recuperación ante desastres te permitirá recuperar tus sistemas y datos en caso de desastre o ataque. Aunque muchas soluciones cloud tienen sistemas de backup y recuperación incorporados, es necesario configurar soluciones de este tipo también para los equipos on premise o el cloud privado donde tendremos los datos y aplicaciones más críticos y sensibles. Lo ideal es que las copias de seguridad estén en una ubicación geográfica diferente de tu infraestructura, para un nivel de protección más alto.
Infraestructuras híbridas: entornos complejos con necesidades concretas de seguridad
La complejidad de una infraestructura híbrida viene determinada por su combinación de diferentes entornos. Tener en cuenta los desafíos de seguridad que esto implica, no muy diferentes del resto de tipologías de infraestructura teniendo en cuenta el nivel de amenaza por actores maliciosos en el entorno actual, y aplicar mejores prácticas de ciberseguridad te permitirá mantener un entorno seguro y fiable.
Este artículo ha sido escrito por
Emilio Moreno
Arquitecto Soluciones Cloud - IaaS