Gobernanza de antipatrones
Es posible que encuentre antipatrones durante la fase de gobernanza de la adopción de la nube. Comprenda las responsabilidades compartidas y cómo crear su estrategia de seguridad en los marcos existentes para ayudarle a evitar estos antipatrones.
Antipatrón: malinterpretar las responsabilidades compartidas
Cuando adopte la nube, no siempre está claro dónde termina su responsabilidad y dónde comienza la responsabilidad del proveedor de la nube con respecto a los diferentes modelos de servicio. Los conocimientos y las aptitudes de la nube son necesarios para crear procesos y prácticas en relación con los elementos de trabajo que usan modelos de servicio.
Ejemplo: suposición de que el proveedor de nube administra las actualizaciones
Los miembros del departamento de recursos humanos (RR. HH.) de una empresa configuran muchos servidores Windows en la nube mediante la infraestructura como servicio (IaaS). Dan por sentado que el proveedor de nube administra las actualizaciones, ya que el personal de TI local suele controlar la instalación de actualizaciones. El departamento de RR. HH. no configura las actualizaciones porque no son conscientes de que Azure no implementa ni instala las actualizaciones del sistema operativo (SO) de forma predeterminada. Como resultado, los servidores no son compatibles y suponen un riesgo para la seguridad.
Resultado preferido: creación de un plan de preparación
Comprenda la responsabilidad compartida en la nube. Diseñe y elabore un plan de preparación. Un plan de preparación puede ser un impulso continuo para aprender y desarrollar experiencia.
Antipatrón: suponer que las soluciones integradas proporcionan seguridad
Las empresas tienden a ver la seguridad como una característica inherente a los servicios en la nube. Aunque esta suposición suele ser correcta, la mayoría de los entornos deben satisfacer los requisitos del marco de cumplimiento, que pueden diferir de los requisitos de seguridad. Azure proporciona seguridad básica y Azure Portal puede proporcionar seguridad más avanzada mediante Microsoft Defender for Cloud. Al crear una suscripción, debe personalizar la solución para aplicar un estándar de cumplimiento y seguridad.
Ejemplo: negligencia de la seguridad de la nube
Una empresa desarrolla una nueva aplicación en la nube. Elige una arquitectura basada en muchos servicios de plataforma como servicio (PaaS), además de algunos componentes de IaaS con fines de depuración. Después de enviar la aplicación a producción, la empresa se da cuenta de que uno de sus servidores de salto estaba en peligro y extraía datos en una dirección IP desconocida. La empresa detecta que el problema se encuentra en la dirección IP pública del servidor de salto y en una contraseña fácil de adivinar. La compañía podría haber evitado esta situación si se hubiera centrado más en la seguridad de la nube.
Resultado preferido: definición de una estrategia de seguridad en la nube
Defina una estrategia de seguridad de la nube adecuada. Consulte la Guía de preparación de CISO para la nube para más información. Remita a su responsable de seguridad de la información (CISO) a esta guía. En la Guía de preparación de CISO para la nube se describen temas como los de recursos de la plataforma de seguridad, privacidad y controles, cumplimiento y transparencia.
Obtenga información sobre las cargas de trabajo seguras en la nube en Azure Security Benchmark. Básese en CIS Controls v7.1 del Center for Internet Security y en NIST SP800-53 del National Institute of Standards and Technology, que abordan la mayoría de los riesgos y las medidas de seguridad.
Use Microsoft Defender for Cloud para identificar riesgos, adaptar los procedimientos recomendados y mejorar la posición de seguridad de su empresa.
Implemente o respalde los requisitos de cumplimiento y seguridad automatizados específicos de la empresa mediante Azure Policy y la solución de directiva como código de Azure.
Antipatrón: usar un marco de cumplimiento o gobernanza personalizado
La introducción de un marco personalizado de cumplimiento y gobernanza que no se basa en los estándares del sector puede aumentar considerablemente el tiempo de adopción de la nube. Esto se debe a que la traducción del marco personalizado a la configuración de la nube puede ser compleja. Esta complejidad puede aumentar el esfuerzo necesario para convertir las medidas y los requisitos personalizados en controles de seguridad implementables. Para la mayoría de las empresas suele ser necesario satisfacer conjuntos similares de requisitos de seguridad y cumplimiento. Como resultado, la mayoría de los marcos de seguridad y cumplimiento personalizados solo se diferencian ligeramente de los marcos de cumplimiento actuales. Las empresas con requisitos de seguridad adicionales pueden considerar la creación de nuevos marcos.
Ejemplo: uso de un marco de seguridad personalizado
La oficina CISO de una empresa asigna a los empleados de seguridad de TI la tarea de proporcionar una estrategia y un marco de seguridad de la nube. En lugar de basarse en los estándares del sector, el departamento de seguridad de TI crea un nuevo marco que se basa en la directiva de seguridad local actual. Después de completar la directiva de seguridad de la nube, los equipos de AppOps y DevOps tienen dificultades para implementar dicha directiva.
Azure ofrece una estructura de seguridad y cumplimiento más completa que difiere del marco de la empresa. El equipo de CISO considera que los controles de Azure no son compatibles con sus propias reglas de cumplimiento y seguridad. Si hubiera basado su marco en controles estandarizados, no habría llegado a esa conclusión.
Resultado preferido: dependencia de marcos existentes
Utilice marcos existentes, como CIS Controls, versión 7.1, o NIST SP 800-53 (o básese en ellos), antes de establecer o introducir un marco de cumplimiento personalizado de la empresa. Los marcos existentes hacen que la transición a la configuración de seguridad de la nube sea más sencilla y más mensurable. Para más información sobre las implementaciones del marco, consulte Opciones de implementación de zonas de aterrizaje de Azure.
Pasos siguientes
Comentarios
Próximamente: A lo largo de 2024 iremos eliminando gradualmente las Cuestiones de GitHub como mecanismo de retroalimentación para el contenido y lo sustituiremos por un nuevo sistema de retroalimentación. Para más información, consulta: https://aka.ms/ContentUserFeedback.
Enviar y ver comentarios de