Determinación de los requisitos de propiedad
Este artículo es una de las series que proporciona instrucciones al diseñar una solución de administración de posturas de seguridad en la nube (CSPM) y protección de cargas de trabajo en la nube (CWP) en recursos multinube con Microsoft Defender for Cloud.
Objetivo
Identificar los equipos que participan en la solución de seguridad multinube y planear cómo se alinearán y trabajarán en conjunto.
Funciones de seguridad
En función del tamaño de la organización, serán equipos independientes quienes administrarán las funciones de seguridad. En una empresa compleja, las funciones pueden ser numerosas.
| Función de seguridad | Detalles |
|---|---|
| Security Operations (SecOps) | Reducir el riesgo para la organización mediante una reducción del tiempo durante el que los actores malintencionados tienen acceso a los recursos corporativos. Detección reactiva, análisis, respuesta y corrección de ataques. Búsqueda proactiva de amenazas. |
| Arquitectura de seguridad | Diseño de seguridad que resume y documenta los componentes, las herramientas, los procesos, los equipos y las tecnologías que protegen el negocio frente al riesgo. |
| Administración del cumplimiento de la seguridad | Procesos que garantizan que la organización cumple con los requisitos normativos y las directivas internas. |
| Seguridad de las personas | Protección de la organización frente a riesgos de origen humano para la seguridad. |
| Seguridad de las aplicaciones y DevSecOps | Integración de la seguridad en aplicaciones y procesos de DevOps. |
| Seguridad de datos | Protección de los datos de la organización. |
| Infraestructura y seguridad de los puntos de conexión | Proporcionar protección, detección y respuesta para infraestructuras, redes y dispositivos de punto de conexión que aplicaciones y usuarios utilizan. |
| Administración de identidades y claves | Autenticación y autorización de usuarios, servicios, dispositivos y aplicaciones. Proporcionar distribución segura y acceso para operaciones criptográficas. |
| Información sobre amenazas | Toma de decisiones y actuación en virtud de la inteligencia sobre amenazas de seguridad que proporciona información práctica y de contexto respecto de ataques activos y amenazas posibles. |
| Administración de la posición | Informe continuo sobre la posición de seguridad de la organización y cómo mejorarla. |
| Preparación de incidentes | Creación de herramientas, procesos y experiencia para responder a incidentes de seguridad. |
Alineación de los equipos
A pesar de que son muchos los distintos equipos que administran la seguridad en la nube, resulta fundamental que trabajen en conjunto para averiguar cuál de ellos es responsable de la toma de decisiones en el entorno multinube. La falta de propiedad genera fricción que puede dar lugar a proyectos estancados e implementaciones no seguras que no pudieron esperar la aprobación de seguridad.
El liderazgo de seguridad, que suele ser responsabilidad del director de seguridad de la información, debe especificar quién es responsable del proceso de toma de decisiones relacionadas con la seguridad. Por lo general, las responsabilidades se alinean como se resume en la tabla.
| Category | Descripción | Equipo habitual |
|---|---|---|
| Seguridad de los puntos de conexión de servidor | Supervisión y corrección de la seguridad del servidor, que incluye la aplicación de revisiones, la configuración, la seguridad de los puntos de conexión, etc. | Responsabilidad conjunta de los equipos de operaciones de TI central y de infraestructura y seguridad de los puntos de conexión. |
| Supervisión de incidentes y respuesta | Investigación y corrección de incidentes de seguridad en la consola de origen o SIEM de la organización. | Equipo de operaciones de seguridad. |
| Administración de directivas | Establecimiento de la dirección del control de acceso basado en roles de Azure (RBAC de Azure), Microsoft Defender for Cloud, la estrategia de protección del administrador y Azure Policy, a fin de controlar los recursos de Azure, las recomendaciones personalizadas de AWS/GCP, etc. | Responsabilidad conjunta de los equipos de directivas y estándares y de arquitectura de seguridad. |
| Administración de amenazas y vulnerabilidades | Mantener una visibilidad y control completos de la infraestructura para garantizar que se detecten y corrijan los problemas críticos de la manera más eficaz posible. | Responsabilidad conjunta de los equipos de operaciones de TI central y de infraestructura y seguridad de los puntos de conexión. |
| Cargas de trabajo de aplicaciones | Centrarse en controles de seguridad para cargas de trabajo específicas. El objetivo es integrar las garantías de seguridad en los procesos de desarrollo y en las aplicaciones personalizadas de línea de negocio (LOB). | Responsabilidad conjunta de los equipos de desarrollo de aplicaciones y de operaciones de TI central. |
| Seguridad y estándares de identidad | Comprender el índice de acumulación de permisos (PCI) de las suscripciones de Azure, las cuentas de AWS y los proyectos de GCP, a fin de identificador los riesgos asociados con los permisos excesivos o no utilizados en distintas identidades y recursos. | Responsabilidad conjunta de los equipos de administración de identidades y claves, de directivas y estándares y de arquitectura de seguridad. |
Procedimientos recomendados
- Aunque la seguridad multinube puede dividirse en diferentes áreas de la empresa, los equipos deben administrar la seguridad de todo el patrimonio multinube. Es mejor que tener equipos distintos para proteger entornos de nube diferentes. Por ejemplo, en los que un equipo administra Azure y otro equipo administra AWS. Los equipos que trabajan en entornos multinube ayudan a evitar la dispersión dentro de la organización. También ayuda a garantizar que las directivas de seguridad y los requisitos de cumplimiento se apliquen en todos los entornos.
- A menudo, los equipos que administran Defender for Cloud no cuentan con los privilegios necesarios para corregir las recomendaciones en las cargas de trabajo. Por ejemplo, es posible que el equipo de Defender for Cloud no pueda corregir vulnerabilidades en una instancia de AWS EC2. El equipo de seguridad puede ser responsable de mejorar la posición de seguridad, pero no de corregir las recomendaciones de seguridad resultantes. Para solucionar este problema:
- Es imprescindible implicar a los propietarios de las cargas de trabajo de AWS.
- La asignación de propietarios con fechas de vencimiento y la definición de reglas de gobernanza crean responsabilidad y transparencia a medida que se impulsan los procesos para mejorar la posición de seguridad.
- Es imprescindible implicar a los propietarios de las cargas de trabajo de AWS.
- En función de los modelos de la organización, solemos ver estas opciones para los equipos de seguridad central que operan con los propietarios de las cargas de trabajo:
Opción 1: Modelo centralizado. Un equipo central define, implementa y supervisa los controles de seguridad.
- El equipo de seguridad central decide qué directivas de seguridad se implementarán en la organización y quién tiene permisos para controlar la directiva establecida.
- El equipo también puede tener la capacidad de corregir los recursos que no son compatibles y aplicar el aislamiento de recursos en caso de un problema de configuración o una amenaza de seguridad.
- Por otro lado, los propietarios de las cargas de trabajo son responsables de administrar sus cargas de trabajo en la nube, pero deben seguir las directivas de seguridad que el equipo central ha implementado.
- Este modelo es más adecuado para las empresas que tienen un nivel alto de automatización a fin de garantizar procesos de respuesta automatizados ante vulnerabilidades y amenazas.
Opción 2: Modelo descentralizado. Los propietarios de las cargas de trabajo definen, implementan y supervisan los controles de seguridad.
- Los propietarios de las cargas de trabajo implementan el control de seguridad, ya que son propietarios del conjunto de directivas y, por lo tanto, pueden decidir qué directivas de seguridad se pueden aplicar a sus recursos.
- Los propietarios deben tener en cuenta y entender la recomendaciones y alertas de seguridad para sus propios recursos, y tomar medidas en consecuencia.
- Por otro lado, el equipo de seguridad central solo actúa como una entidad controladora, sin acceso de escritura a ninguna de las cargas de trabajo.
- Por lo general, el equipo de seguridad suele tener información sobre la posición de seguridad general de la organización y puede hacer que los propietarios de las cargas de trabajo se hagan responsables de mejorar su propia posición de seguridad.
- Este modelo es más adecuado para las organizaciones que necesitan visibilidad de su posición de seguridad general pero que, al mismo tiempo, quieren mantener la responsabilidad de la seguridad en los propietarios de las cargas de trabajo.
- Actualmente, la única manera de lograr la opción 2 en Defender for Cloud es asignar a los propietarios de las cargas de trabajo permisos de lector de seguridad a la suscripción que hospeda el recurso del conector multinube.
Pasos siguientes
En este artículo, aprendió a determinar los requisitos de propiedad al diseñar una solución de seguridad multinube. Continúe con el paso siguiente para determinar los requisitos de control de acceso.