El acceso a los datos, mientras se garantiza la seguridad de los mismos, es la dualidad que compone los desafíos que presentan actualmente los CTO al trabajar en la nube. Y lo que es peor, dentro de ese panorama se encierran una serie de pequeños desafíos para asegurarte de que la configuración del software de ciberseguridad sea correcta.

A continuación te daremos algunos datos de interés sobre medidas y softwares de ciberseguridad que toda empresa debe implementar. Acompáñanos.

Seguridad en tu sistema de acceso a datos con Google BigQuery

BigQuery es el almacén de datos sin necesidad de servidor, que forma parte de las soluciones de Google Cloud Platform (GCP), producto comercializado por Nuva, partner oficial de Google en Latinoamérica.

Enfocándonos en la ciberseguridad, la atención que dedica Google a la seguridad de los datos es bien conocida. Pero analicemos los hechos:

• Todos los datos de los discos están encriptados según el estándar AES 128.
• La seguridad de los datos cumple con la certificación ISO 27001 (estándar de seguridad de la información sensible).
• La seguridad de los datos cumple con los estándares SOC 2, SOC 3 (controla la información financiera de los servicios).
• La ciberseguridad de los datos cumple con los estándares PCI DSS (estándar de seguridad de la información para tarjetas de marca, incluidas Visa y MasterCard).
• Las operaciones de intercambio de datos se realizan mediante el protocolo HTTPS.

En cualquier caso de industria o caso de estudio, lo único que garantiza la ciberseguridad en el almacenamiento de los datos, es que se accederá a ellos si tú lo facilitas. Ahora probablemente quieras saber cómo acceder a los permisos.

• El acceso a Google Cloud Platform se puede otorgar tanto a usuarios como a aplicaciones. Para las aplicaciones, se otorga acceso a la cuenta de servicio y la autorización funciona a través de claves en formato PKCS12:
• En cuanto a los usuarios, puede utilizar diferentes roles:
• Visor: solo puede ver los datos. Este acceso es suficiente para los usuarios que necesitan ver datos y crear informes.
• Editor: puede editar y cambiar los datos. Por ejemplo, un usuario con este permiso puede crear tablas agregadas o agregar datos de fuentes externas.
• Propietario: tiene acceso total a la administración de la cuenta, incluida la adición/eliminación de usuarios y el control de sus permisos de acceso.
• El acceso se puede emitir tanto a nivel de proyecto como de conjunto de datos. Puedes usarlo para delimitar el acceso de los compañeros de trabajo, a los datos.

Apps como Google Authenticator, sirven para configurar una verificación de dos pasos para las cuentas de Google. En este caso, incluso si un atacante logra adivinar la contraseña, no pasará por alto el segundo paso del proceso de verificación por teléfono móvil.

Es importante que no uses tu dirección personal de Gmail para dar acceso, así sea al más mínimo dato. Mantén una política donde puedes registrar cualquier correo electrónico, siempre que sea el de tu dominio corporativo, como una cuenta de Google. Úsalo de esta manera y recomiéndalo también a tus colegas y equipo.

Sensibilidad de los software de seguridad integrados

Al evaluar un proveedor de servicios en la nube, deseas saber que ayuda a mantener tu información segura 24/7.

La confianza debe mantenerse a partir del hardware y el firmware, así como de los sistemas operativos de host e invitados. 

Por ejemplo, un BIOS puede verse comprometido dinámicamente por un mal NetBoot, o actuar como un «asistente confuso» en función de una entrada no confiable transmitida por los parámetros de configuración del BIOS, lo que deja al sistema operativo vulnerable a los ataques. 

Un sistema operativo invitado también puede verse comprometido dinámicamente al atacar sus componentes del kernel a través de un ataque remoto, mediante un código local que obtiene privilegios por parte de personas internas (por ejemplo, los empleados).

Es por eso que GCP introdujo máquinas virtuales protegidas, para que puedas estar seguro de que las cargas de trabajo que se ejecutan en Google Cloud Platform no han sido penetradas por malware de arranque o rootkits de firmware.

Máquinas virtuales confidenciales

Las medidas de software de ciberseguridad recopiladas como parte del arranque medido que están disponibles a través de Stackdriver, ayudan a identificar cualquier discrepancia entre la línea de base y el estado de tiempo de ejecución actual.

El arranque seguro y medido ayuda a garantizar que inicie el firmware y software de kernel conocido. Con las máquinas virtuales blindadas, el principal objetivo es proteger el sistema de los siguientes vectores de ataque:

• Personas internas malintencionadas dentro de tu organización: con las máquinas virtuales blindadas, las personas internas malintencionadas dentro de tu empresa no pueden manipular una máquina virtual invitada sin que esas acciones se registren. 
• Tampoco pueden alterar operaciones criptográficas confidenciales ni filtrar fácilmente secretos sellados con vTPM.
• Firmware del sistema invitado a través de firmware invitado malicioso, incluidos los controladores UEFI.
• Sistema operativo invitado a través de vulnerabilidades de modo de usuario o kernel de máquina virtual invitada maliciosa.

El sistema operativo optimizado para contenedores se usa activamente en varios productos de GCP, incluidos Google Kubernetes Engine, Cloud Machine Learning, Cloud Dataflow y Cloud SQL.

Kubernetes Engine: contenedores de alta confianza

Google lanzó Kubernetes Engine (GKE) en 2015. Kubernetes Engine se basa en la experiencia de Google de ejecutar servicios como Gmail y YouTube en contenedores durante más de 12 años. 

Kubernetes se ha convertido en tecnología de punta para microservicios y su popularidad está aumentando. Ahora los proveedores de la nube están incorporando Kubernetes y lo están brindando como un servicio importante. 

Kubernetes se ha convertido en una herramienta de orquestación de contenedores líder en la industria.

Los contenedores permiten que los equipos de desarrollo se muevan rápido, implementen software de manera eficiente y operen a una escala sin precedentes dentro de un entorno de ciberseguridad. 

Los contenedores son livianos y arrancan mucho más rápido, por lo que se han convertido en una opción estándar para implementar y entregar aplicaciones. Sin embargo, la seguridad de los contenedores es un desafío con respecto a la autenticación y la autorización, la auditoría, el registro, las redes, la seguridad de los nodos, etc. 

Con respecto a GCP y GKE, GCP proporciona API para obtener datos de Kubernetes alojados en GCP.

Cloud IDS

Cloud IDS, no es más que el sistema de detección de intrusos de GCP, y ofrece una detección de amenazas nativa en la nube.

Su rango de detección incluye software malicioso, software espía y ataques de otros servidores invitados.

Su alto rendimiento y un despliegue sencillo es su principal ventaja, ya que es la que permite monitorear el tráfico y el historial de seguridad de manera rápida y sencilla.

Cloud Key Management

Cloud Key Management Service es otro servicio en la nube que permite importar y gestionar claves encriptadas y operaciones criptográficas. Todo en la nube.

Puedes usar estas claves directamente en Cloud HSM, Cloud External Key Manager, o mediante a otras integraciones de Google Cloud.

Conclusión

Ya sabemos que la mayor defensa es la prevención. Configura una verificación de dos pasos para las cuentas de Google. En este caso, incluso si un atacante logra adivinar la contraseña, no pasará por alto el segundo paso del proceso de verificación por teléfono.

No permitas el acceso a los datos desde correos personales y comparte el acceso mínimo razonable. No otorgues el nivel de acceso de Editor a aquellos usuarios que solo necesitan crear informes basados ​​en los datos.

A su vez, mantén el acceso a datos confidenciales en diferentes proyectos y diferentes conjuntos de datos. Por ejemplo, los datos personales del usuario o el margen del producto se mantienen mejor por separado con el acceso limitado de aquellos empleados y aplicaciones que realmente lo necesitan.

Por último, no guardes los resultados de las consultas de Google BigQuery en formato CSV en tu disco local. Esto aumenta el riesgo de fuga de datos en caso de pérdida de tu computador o portátil. En su lugar, crea informes directamente en Hojas de cálculo de Google. Todos los datos se transferirán a Google Cloud Platform y el acceso se controlará desde tu cuenta de Google.

¿Estás listo para empezar a implementar Google Cloud Platform en tu empresa?