Debido a la necesidad de muchas empresas debido a la crisis de la corona, se han trasladado a aplicaciones basadas en la nube. Esto se debe a que ha aumentado el número de trabajadores remotos. El problema es la seguridad. Menlo Security apunta a 200 gerentes de TI. EncuestaEn la encuesta, el 40% de los encuestados dijo que aumentó la amenaza de atacar aplicaciones en la nube e Internet de las cosas (IoT).
Hay ventajas y desventajas de migrar a la nube, y también existen problemas de seguridad en los que es fácil caer durante el proceso de migración. Por ejemplo, en una reunión de Gartner en 2019, dos gerentes de TI explicaron que su lote de Office 365 se instaló debido a la necesidad de actualizar equipos más antiguos.
Pero ahora la forma en que usa y comparte la computadora de su hogar es diferente, su computadora personal ya no es personal. En otras palabras, la computadora que admite las clases en línea de su hijo o las aplicaciones comerciales de su cónyuge puede ser la misma. Realizado este verano por CyberArk EncuestaEn la encuesta, más de la mitad de los encuestados encontraron que sus contraseñas estaban almacenadas en el navegador de la PC de la empresa. Este comportamiento no es coherente con ninguna política de seguridad.
Echemos un vistazo a los 7 errores principales que afectan negativamente la seguridad durante la transición a las aplicaciones en la nube y veamos algunos consejos para evitarlos.
1. Acceso remoto con VPN
Para todos esos trabajadores remotos, una VPN puede no ser el mejor enfoque remoto. Al observar el incidente de piratería de FireEye en diciembre de 2020, la cuenta VPN pirateada fue el punto de entrada para la piratería. En el pasado, las VPN eran el método de trabajo remoto seguro líder, pero ahora es mucho mejor reemplazarlas con una red de confianza cero, donde la identidad es el dominio de control y proporciona contexto de acceso. Además, se debe establecer una nueva política de seguridad de la información para el hogar que refleje la situación en la que se utilizan varias PC para el hogar después de la crisis de la corona.
2. Configuración incorrecta de la cartera de servicios en la nube
Hay varios factores a considerar. Por ejemplo, ¿necesita una nube cerrada para mantener los datos críticos de su negocio separados del resto? ¿Existe alguna subversión del sistema operativo adecuada para ejecutar aplicaciones específicas que dependen de configuraciones específicas de Windows y Linux? ¿Existen conectores y protecciones de autenticación adecuados para ejecutar con aplicaciones y dispositivos locales que no se están moviendo a la nube? Si tiene una aplicación de mainframe más antigua, es una buena idea ejecutarla primero en una nube cerrada y encontrar el entorno que mejor se adapte a esta configuración de mainframe existente.
3. La postura de seguridad no es apropiada para la nube
Los errores comunes de seguridad en la nube no protegen el contenedor de almacenamiento, no configuran correctamente los derechos de acceso y los parámetros de autenticación, y dejan muchos puertos abiertos. Ya sea que esté en las instalaciones o con una sesión iniciada desde Timbukku en Mali, África, es una buena idea mantener una postura de seguridad constante.
También es una buena idea aplicar la seguridad desde cero antes de migrar cualquier aplicación a la nube. De hecho, Johnson & Johnson trasladó la mayoría de sus cargas de trabajo a la nube hace unos años y centralizó su modelo de seguridad. Hay otras cosas que pueden resultar útiles. Netflix lanzó recientemente una herramienta de código abierto llamada ConsoleMe, que le permite administrar múltiples cuentas de Amazon Web Services (AWS) desde una sola sesión de navegador.
4. No probar su plan de recuperación ante desastres
¿Cuánto tiempo ha probado por última vez su plan de recuperación ante desastres (DR)? Probablemente demasiado mayor. Este es especialmente el caso si ha estado ocupado trabajando para apoyar a los trabajadores a domicilio todos los días. El hecho de que una aplicación esté en la nube no significa que no dependa de ciertos elementos de la infraestructura, incluidos los servidores web y de bases de datos. Un buen plan de recuperación ante desastres debe documentar estas dependencias y realizar modificaciones, incluida la descripción de los flujos de trabajo más importantes.
Otra parte importante de su plan de recuperación ante desastres es realizar pruebas continuas para detectar fallas parciales en la nube. Esto se debe a que existe la posibilidad de tiempo de inactividad. Incluso en la nube de Amazon, Google y Microsoft, a veces ocurren fallas. Netflix fue el primero en popularizar la ingeniería del caos general hace unos años con una herramienta llamada Chaos Monkey. El objetivo de Chaos Monkey es probar la infraestructura de AWS de Netflix cerrando de forma continua y aleatoria varios servidores de producción.
Debe utilizar estas lecciones y herramientas para crear un caos y poner a prueba su discapacidad. En particular, se deben utilizar pruebas relacionadas con la seguridad que revelen debilidades en la configuración de la nube. La clave es ejecutar la tarea de forma automática y continua, revelando cuellos de botella y fallas de infraestructura. Además de las herramientas de código abierto de Netflix, existe una variedad de productos comerciales que puede utilizar. Por ejemplo, autenticación de seguridad Verodin / Mandiant (SV), simulación de piratería y ataque SafeBreach (BAS), herramienta de simulación Simulate, optimización de seguridad AttackIQ. Plataforma (SOP).
5. No optimizar la certificación para carteras dominadas por la nube
En situaciones en las que lo compró en las instalaciones, pero ahora en su mayoría basado en la nube y en su mayoría acceso remoto, puede haber herramientas de administración de identidad y acceso, SIEM, CASB o autenticación integrada (SSO) que no son las más adecuadas para sus necesidades de autenticación. Debe examinar más de cerca estas herramientas y ver si pueden cubrir su entorno de nube y toda su cartera de aplicaciones, y proteger sus sistemas en consecuencia. Por ejemplo, CASB es muy bueno para administrar el acceso a aplicaciones en la nube y puede vincularse con aplicaciones personalizadas internas específicas, vincularse con autenticación basada en riesgos y protegerse contra amenazas híbridas más complejas.
6. Active Directory desactualizado
En un anuncio de David Mardy y Steve Riley de Gartner, “Now ID es el nuevo límite y los datos fluyen por todas partes. “Hay que dar a las personas adecuadas el acceso adecuado a los recursos adecuados, en el momento adecuado y por las razones adecuadas”. Ciertamente, hay mucho que hacer bien. En otras palabras, significa que tanto el usuario actualmente autenticado de Active Directory (AD) como la aplicación y el servidor actualmente autenticados pueden no reflejar la realidad. Lo que no necesitas debe ser superado. Tener la información más precisa hace que el cambio a la nube sea más fluido.
7. No busco ayuda
Hay muchos proveedores de servicios de seguridad administrados (MSSP) que se especializan en este tipo de migración y no dude en pedirles ayuda. Esto se debe a que está tan ocupado que es difícil prestar toda la atención al proceso de migración, y partes importantes pueden omitirse involuntariamente. O tal vez dejó algunas puertas traseras abiertas o surgieron vulnerabilidades mientras las movía todas a la nube rápidamente. [email protected]
Source: ITWorld Korea by www.itworld.co.kr.
*The article has been translated based on the content of ITWorld Korea by www.itworld.co.kr. If there is any problem regarding the content, copyright, please leave a report below the article. We will try to process as quickly as possible to protect the rights of the author. Thank you very much!
*We just want readers to access information more quickly and easily with other multilingual content, instead of information only available in a certain language.
*We always respect the copyright of the content of the author and always include the original link of the source article.If the author disagrees, just leave the report below the article, the article will be edited or deleted at the request of the author. Thanks very much! Best regards!
