Gobernanza de antipatrones
A menudo, los clientes experimentan antipatrones durante la fase de gobernanza de la adopción de la nube. Dedicar tiempo a comprender las responsabilidades compartidas le ayuda a evitar estos antipatrones, ya que crea su estrategia de seguridad según los marcos existentes en lugar de crear el suyo propio.
Antipatrón: malinterpretar las responsabilidades compartidas
Cuando adopte la nube, no siempre está claro dónde termina su responsabilidad y dónde comienza la responsabilidad del proveedor de la nube con respecto a los diferentes modelos de servicio. Los conocimientos y las aptitudes de la nube son necesarios para crear procesos y prácticas en relación con los elementos de trabajo que usan modelos de servicio.
Ejemplo: suposición de que el proveedor de nube administra las actualizaciones
Los miembros del departamento de recursos humanos (RR. HH.) de una empresa configuran muchos servidores Windows en la nube mediante la infraestructura como servicio (IaaS). Dan por sentado que el proveedor de nube administra las actualizaciones, ya que el personal de TI local suele controlar la instalación de actualizaciones. El departamento de RR. HH. no configura las actualizaciones porque no son conscientes de que Azure no implementa ni instala las actualizaciones del sistema operativo de forma predeterminada. Como resultado, los servidores no son compatibles y suponen un riesgo para la seguridad.
Resultado preferido: creación de un plan de preparación
Comprenda la responsabilidad compartida en la nube. Diseñe y elabore un plan de preparación. Un plan de preparación puede ser un impulso continuo para aprender y desarrollar experiencia.
Antipatrón: suponer que las soluciones integradas proporcionan seguridad
A menudo, las empresas perciben la seguridad como un elemento integrado en la nube. Aunque esta suposición suele ser correcta, la mayoría de los entornos también deben satisfacer los requisitos del marco de cumplimiento, que pueden diferir de los requisitos de seguridad. Azure proporciona seguridad básica y Azure Portal puede proporcionar seguridad más avanzada mediante Microsoft Defender for Cloud. Sin embargo, la aplicación de un estándar de cumplimiento y seguridad no es una experiencia integrada cuando se crea una suscripción.
Ejemplo: negligencia de la seguridad de la nube
Una empresa desarrolla una nueva aplicación en la nube. Elige una arquitectura basada en muchos servicios de plataforma como servicio (PaaS), además de algunos componentes de IaaS con fines de depuración. Después de enviar la aplicación a producción, la empresa se da cuenta de que uno de sus servidores de salto estaba en peligro y extraía datos en una dirección IP desconocida. La empresa detecta que el problema se encuentra en la dirección IP pública del servidor de salto y en una contraseña fácil de adivinar. La compañía podría haber evitado esta situación si se hubiera centrado más en la seguridad de la nube.
Resultado preferido: definición de una estrategia de seguridad en la nube
Defina una estrategia de seguridad de la nube adecuada. Para obtener más información, consulte Guía de preparación de CISO para la nube y remita a su oficina de seguridad de la información (CISO) a esta guía. En esta, se describen temas como los de recursos de la plataforma de seguridad, privacidad y controles, cumplimiento y transparencia.
Obtenga información sobre las cargas de trabajo seguras en la nube en Azure Security Benchmark. Básese en CIS Controls v7.1 del Center for Internet Security y en NIST SP800-53 del National Institute of Standards and Technology, que abordan la mayoría de los riesgos y las medidas de seguridad.
Use Microsoft Defender for Cloud para identificar riesgos, adaptar los procedimientos recomendados y mejorar la posición de seguridad de su empresa.
Implementar o apoye los requisitos de cumplimiento y seguridad automatizados específicos de la empresa mediante Azure Policy y Azure Blueprints.
Antipatrón: usar un marco de cumplimiento o gobernanza personalizado
La introducción de un marco personalizado de cumplimiento y gobernanza que no se basa en los estándares del sector puede aumentar considerablemente el tiempo de adopción de la nube, ya que puede ser difícil convertir el marco personalizado a la configuración de la nube. Este escenario puede aumentar el esfuerzo necesario para convertir las medidas y los requisitos personalizados en controles de seguridad implementables. La mayoría de las empresas deben satisfacer conjuntos similares de requisitos de seguridad y cumplimiento. Como resultado, la mayoría de los marcos de seguridad y cumplimiento personalizados solo se diferencian ligeramente de los marcos de cumplimiento actuales. Las empresas con requisitos de seguridad adicionales pueden considerar la creación de nuevos marcos.
Ejemplo: uso de un marco de seguridad personalizado
La oficina CISO de una empresa asigna a los empleados de seguridad de TI la tarea de proporcionar una estrategia y un marco de seguridad de la nube. En lugar de basarse en los estándares del sector, el departamento de seguridad de TI crea un nuevo marco que se basa en la directiva de seguridad local actual. Después de completar la directiva de seguridad de la nube, los equipos de AppOps y DevOps tienen dificultades para implementar dicha directiva.
Azure ofrece una estructura de seguridad y cumplimiento más completa que difiere del marco de la empresa. El equipo de CISO considera que los controles de Azure no son compatibles con sus propias reglas de cumplimiento y seguridad. Si hubiera basado su marco en controles estandarizados, no habría llegado a esa conclusión.
Resultado preferido: dependencia de marcos existentes
Use o desarrolle marcos existentes, como CIS Controls v7.1 o NIST SP800-53, antes de establecer o introducir un marco de cumplimiento personalizado de la empresa. Los marcos existentes hacen que la transición a la configuración de seguridad de la nube sea más sencilla y más mensurable. Busque más implementaciones de marcos en la página Ejemplos de Azure Blueprints. Los planos técnicos para los marcos de cumplimiento comunes también están disponibles para Azure.
Pasos siguientes
Comentarios
Próximamente: A lo largo de 2024 iremos eliminando gradualmente GitHub Issues como mecanismo de comentarios sobre el contenido y lo sustituiremos por un nuevo sistema de comentarios. Para más información, vea: https://aka.ms/ContentUserFeedback.
Enviar y ver comentarios de