De vez en cuando, pienso en mis primeros años en el amplio mundo de la informática y la seguridad cibernética. Yo era un adolescente recién salido de la escuela secundaria y ansioso de que el primer trabajo en una empresa. Aterricé un descanso como un contratista y fue arrojado de inmediato a los lobos. Fue nadar o hundirse, por lo que respecta ciberterrorismo estaban en su punto más alto. Mi empleador hubiera gastado millones en un esfuerzo por sentirse protegido, el aprovechamiento de todo, desde los servidores de seguridad Cisco PIX, a los routers de catalizadores y sistemas de detección / prevención de intrusiones, incluso. honeypots Heck, incluso desplegadas, firewalls basados en host, redes privadas virtuales y de FRV sólo para tratar de frustrar los que serían los malhechores. Sin duda, este tipo de dispositivos se encuentran todavía en uso hoy en día, y empresas como Cisco, Juniper y Barracuda continúan prosperando con los dispositivos de hardware que se implementan en las redes corporativas, pero el software de infraestructura definido (SDI) ha cambiado la forma en que los consumidores interactúan con ellos . Pensando en la cantidad de tecnología que tenía que aumentar rápidamente arriba enparece desalentador hoy. Es, sin embargo, a sentar las bases y los cimientos para futuras oportunidades. Realmente la suerte de conseguir la exposición a dicha tecnología de punta caro y corte y tener tan grandes mentores, que aceleró mi crecimiento. Uno palos de interrogación en la cabeza, aunque: Con el consumo de las soluciones en la nube y llave en mano disponible, haga la mayoría de los jugadores que aprovechan la tecnología de nube realmente entender cómo funciona la seguridad en la nube? ¿Es que aún necesitan tiempo para asegurarse de que están empleando las mejores prácticas al desplegar sus cargas de trabajo en la producción? Está bien, quizás estoy sonando como un anciano con sólo otro "en mis tiempos" cliché, pero parece que los profesionales y de seguridad en su conjunto tuvieron una mejor comprensión de las mejores prácticas de seguridad antes del aumento de la popularidad de las ejecutar cargas de trabajo de producción en la nube. Entonces, ¿cómo se gestiona la seguridad en la nube del mundo donde el acceso al poder de cómputo, almacenamiento, bases de datos y soluciones llave en mano más han visto los cualeshan consumo generalizado el mercado? Pues bien, detrás de las escenas de estos grandes proveedores de la nube siguen empleando la tecnología probada de edad, pero con algunos giros. Vamos a echar un vistazo a algunos de los principales actores que están utilizando la tecnología mencionada bajo el capó, pero al mismo tiempo han simplificado la gestión de los usuarios finales. Azure: Hasta el Q4 de 2014 Microsoft Azure era un poco atrás en términos de opciones de seguridad. Sólo tenían una única opción disponible para asegurar sus instancias de proceso, los puntos finales de instancia. Estos criterios de valoración son efectivamente un firewall basado en host que requiere que los administradores configurar la política de seguridad en una base de host-a-host. Son muy similares a los host basado en servidores de seguridad, y la gestión de los mismos no es muy escalable. Después de haber conseguido más de 1.500 servidores que ejecutan IPtables, puedo dar fe de que no es una experiencia divertida, incluso si se emplean medios programáticos para tratar de automatizar la gestión. Pero, por fin, en 2014, Microsoft introdujo Red de Seguridad Grupos (NSG de). Estos sonlas listas de acceso de manera efectiva glorificados que se aplica una capa de casos anteriores y operan a nivel de subred de la red. Lo bueno de estos es que usted puede configurar su política de seguridad en un lugar y luego asociar eso con múltiples subredes de la red. Ir con los grupos directivos nacionales como su principal medio de obtención de recursos Azure ciertamente escala mejor, pero tiene sus desventajas también. En primer lugar, una subred de la red sólo puede tener un grupo de seguridad de red asociado con ella. Esto puede dar lugar a listas de acceso voluminosos que serán difíciles de auditar. Más importante aún es la falta de apoyo portal de Azure para los grupos de seguridad de red. A pesar de que han existido desde hace más de un año, Microsoft todavía obliga a la administración de ellos a través de la API de programación o por medio. Esto puede ser un obstáculo y probablemente es por eso que esta característica no ha sido ampliamente adoptado por los clientes de Azure. Google Compute Engine: utiliza los servidores de seguridad para proteger los recursos de nube. Operan a nivel de red. Fuera de la caja- te dan un sólido nivelde la seguridad y la garantía de que sus casos están protegidos. Apoyan las etiquetas de origen y destino, que simplifican la gestión de reglas de firewall al escalar, eliminando la necesidad de volver a utilizar la misma fuente rangos de IP y otra vez. Un inconveniente del servicio de firewall de Google es que sólo el tráfico entrante puede ser filtrada. Esto significa que las organizaciones con las normas de seguridad y cumplimiento aumentadas tendrán que emplear una solución de firewall basado en host, como IPtables, para restringir el tráfico entre las instancias dentro de la nube de Google. Esto puede ser engorroso para huellas más grandes y es de esperar es algo que Google es probable que reforzar en el próximo año. Amazon Web Services: tiene unas cuantas formas diferentes para proteger los recursos de la nube: Grupos de seguridad, listas de acceso de red y los registros de flujo de VPC. El primero viene en dos sabores, clásico EC2 y Virtual Private Cloud (VPC). Los grupos de seguridad son similares a instancia de puntos finales que se aplican a nivel de instancia; sin embargo, tienen una ventaja enque se pueden aplicar a varias instancias. De hecho, los casos pueden tener hasta cinco grupos de seguridad asociados a cada interfaz de red (VPC casos soportan hasta cuatro interfaces de red). Los grupos de seguridad de VPC ir un paso más allá, ya que pueden estar asociadas y disociadas sobre la marcha con las instancias. Con casos clásicos EC2 los grupos de seguridad que se asocian en el lanzamiento están ligados a la instancia para todo el ciclo de vida. Listas de acceso de red (NaCl) de, como es de imaginar, operan a nivel de subred de la red. Al igual que en los grupos de Microsoft Network Security sólo una NACL se pueden asociar a una subred. Los usuarios finales pueden asociar metadatos personalizados utilizando el sistema de etiqueta para una mejor organización. Por último, VPC flujo de registros permiten a los administradores para auditar e inspeccionar el tráfico, ya que se comunica entre los recursos de VPC. Este tipo de red promiscua oler puede ser vital cuando se trata de identificar los recursos comprometidos, ataques DDoS y más. Uno de los inconvenientes de cada uno de estos elementos es que no se puededescripciones de metadatos asociados o en las propias reglas. Esto puede hacer que las cosas engorrosas para las grandes organizaciones con miles de reglas se extienden a través de una serie de regiones y de las cuentas de AWS. ¿Se imaginan tener que auditar 10.000 reglas sin descripciones de lo que cada una de las redes son? Más información se puede encontrar en las opciones de seguridad de AWS. Rackspace: Después de años de clamando de sus clientes, por último añadió soporte grupo de seguridad a su oferta de nube pública. Estos grupos de seguridad funcionan de manera similar a los grupos de seguridad de AWS; Sin embargo, sólo el tráfico de entrada se puede filtrar. Si bien este es un paso en la dirección correcta, hay que señalar que sólo los clientes de pago de la prima oferta de servicios gestionados de Rackspace son elegibles para aprovecharlas. Esto es lamentable, ya que las otras nubes públicas ofrecen soluciones de seguridad de forma gratuita a sus clientes. Si usted no paga por la prima que te queda de seguridad gestionada mediante firewalls basados en host que su equipo de TI tiene quegestionar. Conclusión: Detrás de las escenas cuando se trabaja con cualquiera de estos recursos que están haciendo cambios similares a lo que tenía que hacer de nuevo a finales de 1990 y principios de 2000, pero sin el dolor de cabeza. proveedores de la nube han emitido las ofertas de seguridad llave en mano sin el desorden y el potencial para el desastre debido a un error humano. Ya no tiene que preocuparse de detener a una red corporativa completa debido a un error tipográfico en la lista de acceso de su router de núcleo. No se puede negar que la creación de una política de seguridad bastante completa en la nube de hoy en día es mucho más fácil y accesible para los administradores, sin embargo, usted se sorprendería cuántos servidores se dejó abierta para que los usuarios maliciosos para establecer un "hotel de piratería informática." A pesar de la sencillez y numerosos artículos mejores prácticas que existen, los consumidores de servicios en la nube siguen simplemente haga clic en el botón de suministro y se olvide de asegurarse de que son seguras. Voy a dar seguimiento a este artículo con una más técnica reportaje que incluirá ejemplos de cómocrear e interactuar con estos recursos de seguridad y emplear las mejores prácticas en la obtención de sus recursos en la nube de hoy.
Compartir
