Compartir a través de

Planear una adopción segura de la nube

  • Artículo

Desarrollar un plan de adopción de la nube puede ser difícil y, a menudo, tener muchos desafíos técnicos. Debe planear cuidadosamente cada paso del proceso de adopción de la nube, específicamente al actualizar las cargas de trabajo heredadas para la infraestructura en la nube. Para crear un patrimonio de nube seguro desde cero, debe integrar consideraciones de seguridad en cada fase del plan de adopción. Este enfoque ayuda a garantizar que el nuevo entorno de nube sea seguro desde el principio.

Al tomar decisiones sobre la migración o la implementación, diseñe la postura de estrategia de seguridad más alta que sea factible para su negocio. Priorice la seguridad sobre el rendimiento y la eficacia de los costos al iniciar los diseños. Este enfoque garantiza que no introduce riesgos que podrían requerir que se rediseñarán las cargas de trabajo más adelante. Las instrucciones proporcionadas en este artículo pueden ayudarle a desarrollar un plan de adopción de la nube que tenga seguridad como principio fundamental.

Diagrama que muestra las metodologías implicadas en la adopción de la nube. El diagrama tiene cuadros para cada fase: equipos y roles, estrategia, plan, listo, adopción, gobernanza y administración. El cuadro de este artículo está resaltado.

Este artículo es una guía complementaria de la metodología del plan . Proporciona áreas de optimización de seguridad que puede tener en cuenta a medida que avanza por esa fase en el recorrido.

Planear la adopción de la zona de aterrizaje

Para crear los elementos fundamentales del patrimonio de la nube, use el enfoque de la zona de aterrizaje. Esta recomendación se aplica específicamente a las organizaciones empresariales y grandes. Es posible que las organizaciones más pequeñas y las start-ups no se beneficien de adoptar este enfoque al principio de su recorrido en la nube. Sin embargo, es importante comprender las áreas de diseño porque necesita incluir estas áreas en el plan de adopción de la nube, incluso si no crea una zona de aterrizaje completa.

Puede usar el enfoque de la zona de aterrizaje de Azure para establecer una base sólida para su patrimonio en la nube. Esta base ayuda a garantizar un entorno manejable que pueda proteger de forma más eficaz según los procedimientos recomendados.

  • Zonas de aterrizaje: una zona de aterrizaje es un entorno preconfigurado, de seguridad mejorada y escalable en la nube que sirve como base para las cargas de trabajo. Incluye topología de red, administración de identidades, seguridad y componentes de gobernanza.

  • Ventajas: las zonas de aterrizaje pueden ayudarle a estandarizar los entornos de nube. Este enfoque ayuda a garantizar la coherencia y el cumplimiento de las directivas de seguridad. Además, facilitan la administración y escalabilidad más fáciles.

Modernización de la posición de seguridad

Al desarrollar un plan de modernización de seguridad, es esencial centrarse en la adopción de nuevas tecnologías y prácticas operativas. Es igualmente importante alinear estas medidas de seguridad con sus objetivos empresariales.

Planear la adopción de Confianza cero

A medida que desarrolle el plan de adopción, incorpore los principios de Confianza cero en su plan para ayudar a estructurar las fases y los pasos que los equipos de toda la organización son responsables y de cómo pueden realizar sus actividades.

El enfoque de Microsoft Confianza cero proporciona instrucciones para siete pilares tecnológicos, incluidas las recomendaciones de implementación y configuración. A medida que cree su plan, explore cada pilar para ayudar a garantizar una cobertura completa de estas áreas.

Pilares tecnológicos de la Confianza cero

  • Identidad: guía para comprobar las identidades con autenticación segura y controlar el acceso bajo el principio de privilegios mínimos.

  • Puntos de conexión: guía para proteger todos los puntos de conexión, incluidos los dispositivos y las aplicaciones, que interactúan con los datos. Esta guía se aplica independientemente de dónde se conecten los puntos de conexión y cómo se conectan.

  • Datos: guía para proteger todos los datos mediante un enfoque de defensa en profundidad.

  • Aplicaciones: guía para proteger las aplicaciones y los servicios en la nube que consume.

  • Infraestructura: guía para proteger la infraestructura en la nube mediante directivas estrictas y estrategias de cumplimiento.

  • Red: guía para proteger la red en la nube a través de la segmentación, la inspección del tráfico y el cifrado de un extremo a otro.

  • Visibilidad, automatización y orquestación: guía para las directivas y prácticas operativas que ayudan a aplicar principios de Confianza cero.

Alineación empresarial

La alineación entre la tecnología y las partes interesadas empresariales es fundamental para el éxito de su plan de modernización de seguridad. Debe abordar el desarrollo de planes como un proceso colaborativo y negociar con las partes interesadas para encontrar la mejor manera de adaptar los procesos y las directivas. Las partes interesadas de la empresa deben comprender cómo afecta el plan de modernización a las funciones empresariales. Las partes interesadas en la tecnología deben saber dónde hacer concesiones para mantener las funciones empresariales críticas seguras e intactas.

Preparación y respuesta a incidentes

  • Planear la preparación: planee la preparación de incidentes mediante la evaluación de soluciones de administración de vulnerabilidades, sistemas de detección de amenazas e incidentes y soluciones de supervisión de infraestructura sólidas. Planee la protección de la infraestructura para reducir las superficies expuestas a ataques.

  • Planear la respuesta a incidentes: cree un plan de respuesta a incidentes sólido para ayudar a garantizar la seguridad en la nube. En la fase plan, empiece a redactar el plan de respuesta a incidentes mediante la identificación de los roles y las fases clave, como la investigación, la mitigación y las comunicaciones. Agregará detalles sobre estos roles y fases a medida que cree el patrimonio de la nube.

Planear la confidencialidad

  • Protección de pérdida de datos: para establecer la confidencialidad de los datos de la organización en toda la empresa, planee minuciosamente directivas y procedimientos específicos de prevención de pérdida de datos. Este proceso incluye la identificación de datos confidenciales, la determinación de cómo proteger los datos y el planeamiento de la implementación de tecnologías de cifrado y controles de acceso seguros.

  • Incluya los requisitos de protección de datos en los planes de desarrollo o migración a la nube:

    • Clasificación de datos: identifique y clasifique los datos en función de los requisitos normativos y de confidencialidad. Este proceso le ayuda a aplicar las medidas de seguridad adecuadas.

    • Cifrado: asegúrese de que los datos están cifrados en reposo y en tránsito. Use estándares de cifrado seguros para proteger la información confidencial.

    • Controles de acceso: implemente controles de acceso estrictos para ayudar a garantizar que solo los usuarios autorizados puedan acceder a datos confidenciales. Use la autenticación multifactor y el control de acceso basado en roles. Siga el principio de Confianza cero y compruebe explícitamente, autenticando y autorizando siempre en función de todos los puntos de datos disponibles. Estos puntos de datos incluyen la identidad del usuario, la ubicación, el estado del dispositivo, el servicio o la carga de trabajo, la clasificación de datos y las anomalías.

Planear la integridad

Además de las medidas recomendadas para la confidencialidad, considere la posibilidad de implementar medidas específicas de integridad del sistema y datos.

  • Plan para la observabilidad y gobernanza de la integridad del sistema y los datos: en los planes de adopción o desarrollo de la nube, incluya planes para supervisar los datos y los sistemas en busca de cambios y directivas no autorizados para la higiene de los datos.

  • Planear incidentes de integridad: en el plan de respuesta a incidentes, incluya consideraciones para la integridad. Estas consideraciones deben abordar los cambios no autorizados en los datos o sistemas y cómo corregir los datos no válidos o dañados detectados a través de las prácticas de supervisión e higiene de datos.

Planear la disponibilidad

El plan de adopción de la nube debe abordar la disponibilidad mediante la adopción de estándares para el diseño y las operaciones de arquitectura. Estos estándares guían la implementación y las fases futuras y proporcionan un plano técnico sobre cómo puede lograr los requisitos de disponibilidad. Tenga en cuenta las siguientes recomendaciones al crear el plan de adopción de la nube:

  • Estandarizar patrones de diseño de aplicaciones e infraestructura: normalice patrones de diseño de aplicaciones e infraestructura para ayudar a garantizar que las cargas de trabajo sean confiables. Evite la complejidad innecesaria para que los diseños sean repetibles y desalienten los comportamientos de TI en sombra. Siga los procedimientos recomendados para la infraestructura de alta disponibilidad y las aplicaciones resistentes a medida que defina los estándares de diseño.

  • Estandarizar las herramientas y prácticas de desarrollo: desarrolle estándares bien definidos y aplicables para las herramientas y prácticas de desarrollo. Este enfoque ayuda a garantizar que las implementaciones cumplan los principios de la Triad de la CIA e incorporen procedimientos recomendados para implementaciones seguras.

  • Estandarizar las herramientas y prácticas operativas: dependa de estándares bien definidos y estrictamente aplicados para que los operadores sigan con el fin de mantener la confidencialidad, la integridad y la disponibilidad. Siga los estándares de forma coherente y entrene en ellos de forma rutinaria para que los sistemas sean resistentes a los ataques y puedan responder de forma eficaz a los incidentes.

Planear el mantenimiento de la seguridad

Para el mantenimiento a largo plazo de su postura de seguridad, adopte una mentalidad de mejora continua en toda la organización. Este enfoque no solo incluye la conformidad con las normas operativas en las prácticas cotidianas, sino también la búsqueda activa de oportunidades para mejorar. Revise periódicamente sus estándares y directivas e implemente un programa de formación que fomente una mentalidad de mejora continua.

Para planear la línea de base de seguridad, primero debe comprender la posición de seguridad actual para establecer la línea base. Use una herramienta automatizada como Puntuación de seguridad de Microsoft para establecer rápidamente la línea de base y obtener información sobre las áreas para mejorar.

Paso siguiente

Preparación del patrimonio seguro en la nube