¿Qué es la seguridad de las aplicaciones cloud?
¿Qué es la seguridad de las aplicaciones cloud? En esta guía, analizaremos los cambios, desafíos y oportunidades asociados con la evolución de las soluciones de seguridad en cloud.
La seguridad de las aplicaciones se está convirtiendo en una cuestión cada vez más crítica a medida que las aplicaciones cloud ganan popularidad. El cloud permite un enfoque modular en la creación de aplicaciones al permitir a los equipos de desarrollo y operaciones crear e implementar rápidamente aplicaciones ricas en funciones. Si bien, las mismas características que hacen que las aplicaciones nativas cloud sean rápidas y ágiles, también pueden traer consigo una serie de riesgos de seguridad específicos. La incorporación de prácticas de seguridad es una forma eficaz para que las organizaciones puedan evitar los riesgos, garantizar un ciclo de vida de desarrollo del software que funcione sin problemas y establecer una postura general sólida en lo que respecta a seguridad. No obstante, implementar estas prácticas dentro de los equipos de DevSecOps a menudo puede resultar todo un reto para aplicaciones nativas del cloud complejas y basadas en microservicios.
¿Qué es la seguridad de las aplicaciones cloud?
La seguridad de las aplicaciones cloud es una combinación de políticas, procesos y controles cuyo objetivo es reducir el riesgo de exposición de las aplicaciones al riesgo o fallo a causa de amenazas externas o internas. Esta suele conllevar el control de acceso y autenticación, cifrado de datos, gestión de identidades y de usuarios, y gestión de vulnerabilidades. Asimismo, implica prácticas de desarrollo seguras, inicio de sesión y control de seguridad, cumplimiento de la normativa y gobernanza, y respuesta ante incidentes.
Muchas organizaciones disponen de aplicaciones distribuidas en entornos cloud híbridos, y cuentan con algún tipo de combinación de cloud privado, público, y on-premises. La seguridad es una responsabilidad compartida entre el proveedor de servicios cloud y la organización que usa los servicios. Si la aplicación funciona en un cloud público, como Amazon Web Services (AWS), Microsoft Azure o Google Cloud Platform (GCP), el proveedor garantiza la infraestructura. Al mismo tiempo, la organización es responsable de las medidas de seguridad dentro de la aplicación y las configuraciones. Si la aplicación funciona en servidores gestionados por la organización, ya sea a nivel local o en un cloud privado, esta es responsable de su seguridad, así como del sistema operativo, la infraestructura de red y el hardware físico.
¿Cuáles son las características clave de la seguridad de las aplicaciones en cloud?
Las aplicaciones en cloud tienen varias características importantes que requieren un enfoque específico para asegurarlas de forma eficaz y adecuada consiguiendo una buena postura de seguridad.
Software de código abierto
Para producir aplicaciones de forma rápida, los desarrolladores suelen confiar en software de código abierto para los principales bloques de creación de la aplicación. Se estima que casi todos los programas de software (96 %) incluyen algún tipo de componente de software de código abierto, y casi la mitad de dichas aplicaciones (48 %) muestran vulnerabilidades de alto riesgo. Usar software de código ayuda a agilizar el desarrollo ya que los desarrolladores no necesitan reinventar la rueda con cada nueva aplicación. Por ejemplo, si se crea una aplicación para gestionar flujos de datos de diferentes fuentes, se podrán utilizar interfaces de programación (API) de aplicaciones de código abierto que eliminan la necesidad de crear conectores clave desde cero. Sin embargo, el software de código abierto a menudo es un vector para las vulnerabilidades de seguridad. Para garantizar adecuadamente la seguridad de las aplicaciones, los desarrolladores deben poder identificar y eliminar estas vulnerabilidades.
Arquitectura basada en microservicios
Las aplicaciones creadas en arquitecturas basadas en microservicios pueden funcionar e interactuar en diferentes plataformas cloud. Esta difusión proporciona una gran flexibilidad, agilidad y resiliencia de la aplicación, pues las organizaciones pueden conectar e implementar las aplicaciones fácilmente en cualquier entorno. El reto es que las aplicaciones suelen tener múltiples interdependencias que las herramientas de seguridad tradicionales no pueden rastrear, supervisar o gestionar fácilmente.
Despliegue basado en contenedores
Los contenedores ofrecen una forma ideal de desplegar y operar aplicaciones modernas en el cloud, pero también presentan dos retos principales de visibilidad. En primer lugar, la corta vida útil de los contenedores dificulta a las herramientas tradicionales de seguridad poder controlarlos en los entornos de producción. En segundo lugar, suelen ser impenetrables para las herramientas tradicionales de seguridad, lo que genera puntos ciegos.
Rápido desarrollo e iteración
Las aplicaciones modernas en el cloud suelen desarrollarse con metodologías modernas como Agile y DevOps. La cadencia de lanzamiento es rápida, en ocasiones diariamente o incluso varias veces al día. Lamentablemente, el análisis de composición de software y la realización de pruebas de seguridad tradicionales requieren un tiempo significativo para obtener resultados. Además, suelen señalar demasiados problemas «críticos», lo que requiere una investigación manual de cada problema. Este proceso puede retrasar los despliegues o hacer que los desarrolladores se salten las pruebas de seguridad para poder cumplir con los plazos de entrega de los proyectos. De hecho, según un estudio reciente, el 34 % de los directores de información (CIO) encuestados informaron de que deben sacrificar la seguridad del código para cumplir con la demanda de los rápidos ciclos de innovación.
¿Por qué es tan fundamental la seguridad de las aplicaciones cloud?
Aunque las aplicaciones nativas cloud son transformadoras para las empresas, su naturaleza distribuida también aumenta la superficie de ataque. Esto proporciona a agentes maliciosos numerosos puntos potenciales de acceso a activos protegidos. Es fundamental garantizar que tu organización disponga de una estrategia consolidada de seguridad para establecer una posición de seguridad sólida. Los ataques contra las vulnerabilidades conocidas de aplicación son el tipo de ataque más habitual. Solo el sector de los servicios financieros vio un aumento de los ataques contra APIs y aplicaciones web del 257 % entre 2021 y 2022. Igualmente, los ataques contra bibliotecas de código abierto han aumentado. Algunos ejemplos recientes incluyen la vulnerabilidad de Heartbleed en 2014 y los ataques a Apache Struts en 2017 y a Log4Shell en 2021. En los casos anteriores, las vulnerabilidades en bibliotecas de código abierto permitieron a los atacantes poner en peligro las aplicaciones y provocar el caos en miles de organizaciones. Algunas de ellas sufrieron continuas pérdidas de ingresos y de reputación, además de una disminución en la confianza de los usuarios. La interoperabilidad también juega un papel esencial en la seguridad de las aplicaciones cloud. El volumen de conexiones que aprovechan las aplicaciones cloud y el uso de las API para comunicarse entre microservicios no deja de aumentar. Las organizaciones necesitan formas mejoradas de controlar y gestionar su stack de aplicaciones, independientemente de donde resida.
Retos para una seguridad eficaz de las aplicaciones cloud
Entre los retos habituales de seguridad se incluyen:
Dificultad para identificar vulnerabilidades de código abierto
Tal y como hemos mencionado, en torno al 70 % del código base de las aplicaciones modernas se compone de software de código abierto. Gran parte del software de código abierto contiene vulnerabilidades conocidas. Las herramientas habituales de los desarrolladores, tales como el análisis de composición de software, producen con frecuencia una gran cantidad de alertas que son falsos positivos (librerías que no se llegan a utilizar, etc.). La investigación de estas alertas tiende a ralentizar el desarrollo. Además, las herramientas habituales de producción, como los escáneres de red, no pueden detectar correctamente vulnerabilidades de código abierto dentro de contenedores.
Falta de automatización de seguridad y madurez de DevSecOps
Las herramientas de seguridad que requieren pasos manuales, configuraciones y scripts personalizados ralentizan el ritmo de desarrollo. Las herramientas que requieren tiempo para ejecutar y producir resultados hacen lo mismo. En una encuesta reciente a directores de seguridad de la información (CISO), el 86 % afirma que la automatización y la IA son fundamentales para una práctica de DevSecOps de éxito y para superar los retos relacionados con recursos. Si bien, solo el 12 % dice contar con una cultura de DevSecOps madura. Por consiguiente, el 81 % de los CISO afirma estar preocupado de que surjan más vulnerabilidades de seguridad si no encuentran la forma de mejorar la eficacia de DevSecOps.
Demasiadas soluciones de seguridad puntuales
Las herramientas de seguridad de las aplicaciones cloud solo funcionan si los desarrolladores pueden integrar sus hallazgos en otras áreas igualmente importantes como la observabilidad. La misma investigación a los CISO revela que el 97 % dice que el uso de demasiadas soluciones puntuales para tareas específicas de seguridad genera problemas por falta de integración de la información. Otro 75 % informa de que los silos de equipos y la proliferación de soluciones de seguridad de nicho a lo largo de todo el ciclo de vida de DevSecOps aumenta el riesgo de que lleguen vulnerabilidades a la producción.
Las prácticas modernas de desarrollo obstaculizan la detección de vulnerabilidad de día cero
Aunque las herramientas de desarrollo modernas —tales como el software de código abierto y la arquitectura de aplicaciones basadas en microservicios— hacen que las aplicaciones sean más flexibles, también aumentan el horizonte de amenazas por vulnerabilidades. En la investigación a los CISO, el 68 % de los encuestados afirma que la gestión de la vulnerabilidad es ahora más complicada debido a que ha aumentado la complejidad de la cadena de suministro de software y de los ecosistemas en el cloud. De forma similar, el 76 % declara que el tiempo transcurrido entre que se descubre un ataque de día cero y se revisan todas las instancias de software vulnerable supone un auténtico reto para minimizar el riesgo.
Visibilidad aislada
Las herramientas de seguridad tradicionales tienen una perspectiva aislada de las vulnerabilidades. Estas herramientas no pueden valorar adecuadamente los riesgos de las aplicaciones basadas en microservicios y no pueden ver más allá de los límites del cloud. Por tanto, no pueden ofrecer una imagen completa de la aplicación. Tampoco permiten reforzar políticas de seguridad de forma coherente. En su lugar, los equipos adoptan varios productos para los distintos entornos, y luego lo unen todo de forma ad-hoc. El resultado habitual es una comunicación deficiente entre las herramientas y los equipos.
Amenazas a la seguridad de las aplicaciones cloud
Las aplicaciones cloud también son vulnerables a una serie de amenazas de seguridad. Las más comunes son:
- Configuración incorrecta se refiere a un error o fallo en los ajustes de la configuración de una aplicación cloud que puede potencialmente introducir vulnerabilidades de seguridad o exponer datos confidenciales. Las configuraciones incorrectas son habituales y pueden tener lugar en varios niveles dentro de un stack de aplicaciones, incluido el sistema operativo, el servidor web, el servidor de aplicaciones o la base de datos, entre otros.
- El acceso no autorizado se produce cuando un atacante accede a un recurso o aplicación cloud sin autorización. Esto puede ocurrir a través de contraseñas robadas, una autenticación no segura o vulnerabilidades de la propia aplicación.
- Las amenazas internas se centran específicamente en riesgos de seguridad que se originan desde individuos dentro de una organización que tienen acceso autorizado a un recurso o una aplicación cloud y que hacen un mal uso de dicho acceso. Esta acción podría llevarse a cabo para robar datos o lanzar ataques.
- Los ataques de negación de servicio (DoS) pueden utilizarse para desbordar con tráfico una aplicación cloud, de forma que no esté disponible para los usuarios legítimos. Esto puede hacerse enviando grandes cantidades de spam o tráfico malicioso a la aplicación.
- Las API no seguras se producen cuando las API interactúan con recursos y aplicaciones cloud. Si una API no cuenta con la seguridad adecuada, los atacantes podrían aprovechar para acceder de forma no autorizada a los datos o los sistemas.
- El malware puede infectar recursos y aplicaciones cloud, dando el control a los atacantes. Esto podría utilizarse para robar datos, lanzar ataques de negación de servicio o interrumpir operaciones.
- Los ataques de día cero aprovechan las vulnerabilidades del software de las que el vendedor del software no es consciente. Defenderse de estos ataques suele ser complicado porque no hay parches disponibles.
- Las infracciones de datos tienen lugar cuando los datos no están protegidos de forma adecuada. Las aplicaciones cloud a menudo almacenan datos confidenciales, como información personal o financiera de los clientes.
Amenazas a la seguridad de las aplicaciones cloud
Mejores prácticas de seguridad de las aplicaciones cloud
A continuación, indicamos algunas de las mejores prácticas de seguridad para ayudarte a proteger tus datos y aplicaciones:
1. Usar métodos de autenticación y contraseñas seguros.
Las contraseñas no seguras son una de las formas más habituales que tienen los atacantes para acceder a las aplicaciones cloud. Los métodos de autenticación y las contraseñas seguras, tales como la autenticación MDA o multifactor, son necesarios para proteger tus cuentas.
2. Mantener las bibliotecas y dependencias actualizadas.
Los vendedores de software lanzan con regularidad parches de seguridad para arreglar vulnerabilidades en sus bibliotecas. Instalar dichos parches tan pronto como estén disponibles es fundamental para proteger tus aplicaciones cloud de los ataques.
3. Implementar control de acceso con privilegios mínimos.
El control de acceso con privilegios mínimos es un principio de seguridad que establece que los usuarios solo deberían tener el acceso que necesitan para realizar sus trabajos. Esto ayuda a reducir el riesgo de acceso no autorizado a datos y aplicaciones cloud.
4. Controlar que no haya actividad sospechosa en las aplicaciones cloud.
Controlar que no haya actividad sospechosa en las aplicaciones cloud es un proceso continuo que implica una combinación de herramientas automatizadas, conocimientos especializados humanos y detección proactiva de amenazas. Esto puede ayudarte a adaptarte a la evolución de las amenazas y responder rápidamente a los incidentes de seguridad.
5. Usar una solución de seguridad sólida para protegerte ante amenazas.
Una solución de seguridad en el cloud sólida puede ayudarte a proteger tus aplicaciones de amenazas como infracciones de datos, malware y ataques de negación de servicio. Requiere una combinación de herramientas técnicas y políticas de seguridad, y un enfoque proactivo para proteger tus datos y recursos en el cloud de la evolución de las amenazas de ciberseguridad.
Seguridad de las aplicaciones modernas en el cloud con Dynatrace
Con la evolución constante y el acelerado ritmo de la transformación digital, a las organizaciones les resulta cada vez más difícil mantenerse al día. Al tiempo que garantizan aplicaciones seguras de alto rendimiento, las organizaciones deben evolucionar de las prácticas de seguridad tradicionales y manuales a un enfoque más inteligente y automatizado. Combinar la seguridad de las aplicaciones con los datos de observabilidad en una plataforma de análisis unificada resulta una ventaja para las organizaciones que quieren mejorar su posición general ante la seguridad de las aplicaciones. En el caso de las organizaciones que buscan asegurar sus aplicaciones en tiempo de ejecución y garantizar un rendimiento perfecto, Dynatrace puede ayudarles a abordar los retos clave que les permitan ofrecer seguridad de aplicaciones de última generación. Dynatrace OneAgent proporciona a los equipos un enfoque basado en la observabilidad para el control de seguridad, que informa a los equipos de cualquier vulnerabilidad o ataque que pueda surgir en tiempo real. Dynatrace incorpora seguridad en cada fase del ciclo de vida de desarrollo del software y ofrece una plataforma unificada para análisis de vulnerabilidades en tiempo real y automatización de tareas de resolución. Con tecnología de IA causal, basada en la automatización y optimizada para trabajar dentro de los marcos de DevSecOps y Kubernetes, la plataforma de Dynatrace puede salvar la distancia entre las arquitecturas monolíticas y las basadas en microservicios en cualquier cloud.
Consulta más información sobre los problemas a los que se enfrentan los CISO en cuanto a ineficiencias de DevSecOps y seguridad de las aplicaciones cloud en el Informe Global sobre CISO 2023 de Dynatrace.