Joan Taulé, Vice President Sales, Southern EMEA at CrowdStrike

Las aplicaciones nativas de la nube, creadas en la nube y para la nube, están impulsando la transformación digital y creando nuevas oportunidades para que las empresas aumenten sus niveles de eficiencia, velocidad y escalabilidad en un momento en el que se enfrentan a los terribles efectos de la pandemia de COVID-19 y a amenazas las cuales evolucionan con una gran rapidez.

En elinforme del estudio de informática en la nube de IDG de 2020 se observa claramente la adopción masiva de los servicios en la nube, donde el 92 % de las empresas encuestadas afirmaron que su entorno de TI se encuentra actualmente, al menos en cierta medida, en la nube —ya sea pública, privada o híbrida—.

Todos los modelos de nube responden al mismo fin: compartir recursos informáticos en una red y facilitar la prestación de servicios basados en la nube. En última instancia, esto está ayudando a las empresas a ofrecer a los empleados la experiencia online de categoría comercial que ya demandan.

Suena todo perfecto, ¿verdad? Y en muchos aspectos, lo es, sin embargo, la ventaja que ofrece la computación en la nube conlleva también su principal inconveniente. Los usuarios pueden acceder a entornos en la nube desde cualquier lugar con una conexión a Internet y, por la misma regla de tres, también pueden hacerlo los ciberdelincuentes y los atacantes.

Así pues, ¿cómo pueden las empresas garantizar la seguridad de sus entornos de TI al tiempo que aprovechan todas las ventajas de un enfoque nativo de la nube?

El problema de proteger la nube

Adoptar un enfoque nativo de la nube aporta un incremento de la velocidad y la escalabilidad, atributos que a todas luces son deseables, si bien el término "nativo de la nube" no es algo inamovible en la comunidad informática.

Básicamente, las tecnologías nativas de la nube se han creado específicamente para dicho entorno y su arquitectura saca partido de las capacidades especiales que este ofrece.

La computación en la nube requiere que tanto clientes como proveedores apliquen medidas de seguridad, ya que ambos trabajan bajo un modelo de seguridad compartido. Tanto el proveedor de servicios de computación en la nube como el cliente tienen la responsabilidad de garantizar la seguridad dentro de su área de control.

En general, el proveedor es responsable de la seguridad de la nube: el acceso físico y la infraestructura. Y, por otra parte, el cliente es responsable de la seguridad en la nube: sus aplicaciones, la gestión de identidades, los datos y el cifrado.

El problema es que la arquitectura para las aplicaciones nativas de la nube requiere su propio enfoque de la seguridad en cuanto a directivas y controles del cliente. Sin embargo, la adopción de despliegues en la nube ha sido rápida y muchas empresas dependen de estrategias obsoletas que se diseñaron para proteger redes locales y sus recursos asociados.

Las principales dificultades en cuanto a laprotección de los entornos nativos de la nube están relacionadas con el uso de las tecnologías en la sombra (sistemas desplegados por otros departamentos, en lugar de por el departamento central de TI), las complejidades adicionales debido a la "dispersión" provocada por las empresas al adoptar y desplegar soluciones antes de haber implementado una estrategia de seguridad integral, y la ausencia de una protección de los contenedores en tiempo de ejecución.

En respuesta a estos retos, las empresas deben diseñar e implementar una solución de seguridad integral destinada a proteger el entorno en la nube frente a una serie de amenazas y ataques que van en aumento y son cada vez más sofisticados.

Más vale prevenir que curar

En el caso de las arquitecturas nativas de la nube, no se puede esperar al despliegue para abordar la seguridad. Vistos los cambios drásticos en los objetivos de los atacantes, la seguridad se debe integrar durante el desarrollo. La mejor manera de conseguirlo es implementar una estrategia de seguridad en las primeras fases, lo que se conoce como "desplazada a la izquierda".

En términos sencillos, desplazar la seguridad a la izquierda consiste en integrar la seguridad dentro del proceso de desarrollo lo antes posible. Actualmente la integración continua (IC) y la entrega continua (EC) constituyen normalmente un proceso de varias etapas, y los equipos de seguridad se involucran en los pasos finales de las operaciones y la supervisión, cuando es demasiado tarde.

El enfoque de desplazamiento a la izquierda ofrece numerosas ventajas, ya que reduce no solo los riesgos de ciberseguridad, sino también los costes. Según The System Sciences Institute de IBM, abordar los problemas de seguridad en la fase de diseño resultaseis veces más barato que durante la implementación y quince veces más barato que durante las pruebas.

Es primordial que en la adopción de la nube, los equipos de seguridad dispongan de tiempo y espacio para planificar e integrar los procesos y las herramientas de seguridad en la planificación de IC/EC.

CNAPP: una historia de colaboración

Tradicionalmente, se ha aplicado a la seguridad en la nube un enfoque basado en tres sectores, constituido por tres fases diferentes: CASB (Cloud Access Security Broker), unintermediario de seguridad de acceso a la nube que actúa como puesto de control entre el usuario y una aplicación; CPSM (Cloud Security Posture Management),gestión del estado de seguridad en la nube, para evitar configuraciones incorrectas y facilitar el cumplimiento normativo durante las fases de prueba y compilación; y CWP (Cloud Workload Protection),protección de cargas de trabajo en la nube, que incluye el despliegue y el funcionamiento de una aplicación.

No obstante, la integración de estos productos independientes de diferentes proveedores (o incluso, a veces, del mismo proveedor) supone un quebradero de cabeza para los equipos de TI, ya que las soluciones no se integran como deberían o incluso ni siquiera funcionan juntas. Esto deriva también en una falta de visibilidad integral en la nube, lo que crea ángulos muertos que los ciberdelincuentes pueden aprovechar.

Para superar las dificultades de seguridad inherentes a la adopción de las aplicaciones nativas de la nube, cada vez más empresas están optando para la nube por un nuevo modelo de seguridad en capas, que ofrece lo mejor de la CSPM y la CWP. Las plataformas de protección de aplicaciones nativas de la nube (CNAPP, del inglés Cloud Native App Protection Platforms) están cambiando el paradigma.

Las CNAPP, relativamente nuevas en el mercado de la seguridad de la nube, proporcionan un excelente nivel de protección para la infraestructura de la nube a lo largo de su ciclo de vida, desde su compilación hasta su ejecución.

Esta consolidación ofrece muchas ventajas, como una mayor sencillez en cuanto a las competencias necesarias, ya que los usuarios no tienen que correlacionar ya la información de diferentes plataformas de análisis, se eliminan los errores humanos, se proporciona más contexto sobre las amenazas de seguridad y se reducen los costes por el empleo de diversos productos de seguridad de la nube. En definitiva, esto se traduce en un entorno de la nube más seguro y, además, se reduce la carga de trabajo para los equipos de TI, que ya están sobrepasados.

A la hora de buscar una solución CNAPP, hay que prestar atención a determinados criterios. El primero es la integración total de la CSPM y la CWP en una sola consola de gestión que sea completamente nativa de la nube. El segundo es que aproveche las posibilidades que ofrecen el aprendizaje automático, la inteligencia artificial, los indicadores de ataque, y las detecciones y análisis basados en el comportamiento, junto con los equipos de Threat Hunters con el fin de proporcionar una protección continua en tiempo de ejecución. El tercero es la visibilidad integral desde el endpoint hasta la nube y, por último, que la plataforma ofrezca el mismo nivel de protección a los contenedores locales y a los contenedores sin servidor.

El segmento de las CNAPP es un área interesante que está desarrollándose rápidamente. Cada vez se incorporan al mercado más proveedores que ofrecen innovadoras soluciones cada año y ayudan a las empresas a conseguir una seguridad total y a cumplir las normativas referentes a las aplicaciones nativas de la nube. No lo perdamos de vista.