Pocos editores revierten sus fracasos, especialmente cuando afectan la seguridad de sus servicios. Sin embargo, este es el ejercicio realizado por Jay Thoden van Velzen, asesor estratégico del CISO de SAVIA Sebastian Lange, que regresó en un publicación de blog en el intento de proteger los servicios en la nube del grupo con un EDR local histórico. "Existen limitaciones económicas y de tiempo para migrar sistemas y aplicaciones a entornos de nube, pero eso no significa que también deba trasladar su conjunto de herramientas de seguridad a la nube", afirma Jay Thoden van Velzen. Según su experiencia, los tres requisitos principales que surgieron antes incluso de considerar el valor de seguridad de una solución fueron si la herramienta era escalable, implementable y asequible.

Sin castigarse, el asesor estratégico de SAP analiza esta historia desde un ángulo educativo que bien podría servir de lección a las empresas tentadas a seguir el mismo camino. “Las herramientas de seguridad heredadas de los centros de datos aún pueden ofrecer valor a un nivel superior. Pero sin monitoreo y detección listos para la nube, uno se vuelve vulnerable a amenazas comunes que las herramientas existentes no pueden detectar”, afirma Jay Thoden van Velzen. “Las soluciones de seguridad existentes pueden brindar una falsa sensación de protección y al mismo tiempo carecer de visibilidad de los eventos de la nube y las malas configuraciones de la infraestructura. Ningún sistema heredado previene o detecta un depósito de almacenamiento abierto o una instantánea pública accidental, y mucho menos el impacto de una fuga de credenciales en la nube antes de que sea demasiado tarde. Cuando la solución está basada en agentes (y muchas soluciones de punto final lo están), ¿qué se hace con las bases de datos en la nube o los nodos de Kubernetes administrados? ".

Índice
  1. Un reemplazo completo en 2024
  2. Lógica de costes a favor de la seguridad en la nube
  3. Se debe garantizar el despliegue y la gestión operativa.

Un reemplazo completo en 2024

En este contexto, el proveedor optó por una plataforma de protección de aplicaciones nativa de la nube (CNAPP) sin agentes que monitorea la infraestructura nativa de la nube y los servicios administrados, así como las cargas de trabajo basadas en VM y contenedores. Contextualiza ambos hallazgos en alertas basadas en riesgos para configuraciones incorrectas, vulnerabilidades, alertas de IAM y malware basado en archivos que facilitan la priorización dentro de la organización. Tenga en cuenta que esta herramienta también admite el descubrimiento de activos, lo que SAP considera importante en un entorno dinámico y de rápido crecimiento.

"Debido a que la solución se implementa a través de proveedores de nube, como las barreras de seguridad, los empleados o los actores de amenazas no pueden evitarla", afirma Jay Yhoden van Velzen. En octubre de 2023, CNAPP reemplazó la solución CSPM desarrollada internamente y reemplazará por completo el analizador de vulnerabilidades basado en la red existente a principios de 2024. Para la seguridad en tiempo de ejecución, específicamente EDR y antivirus, SAP ha reunido una variedad de productos de seguridad diferentes seleccionados. mediante adquisiciones u otras entidades, respaldadas en gran medida por los centros de datos del grupo. Por lo tanto, estos productos se centralizaron mediante una solución EDR de 2021, pero esta solución finalmente no funcionó debido a su falta de adopción. En 2023, SAP comenzó a implementar una segunda solución de tiempo de ejecución, más adaptada a la nube, esta vez con cierto éxito, según Jay Thoden van Velzen.

Lógica de costes a favor de la seguridad en la nube

El asesor estratégico explica que las soluciones heredadas basadas en agentes se centran en la ejecución y la seguridad de la red, dos aspectos que pierden importancia en las nubes públicas. Esto se debe a que muchas redes empresariales y de centros de datos son redes grandes y abiertas, por lo que monitorearlas contra amenazas es comprensiblemente importante. Sin embargo, las cuentas en la nube brindan aislamiento de instancia donde los recursos en otras cuentas en la nube no están conectados a menos que estén configurados explícitamente para hacerlo, dice Jay Thoden van Velzen. “Entonces, cuando implementas un sistema mediante una cuenta en la nube, obtienes mucha más microsegmentación de redes que en el centro de datos. Cuando los sistemas necesitan comunicarse entre sí, lo hacen preferiblemente a través de llamadas API HTTPS, lo que reduce la necesidad de abrir puertos de red más allá de 443. La administración del paisaje, ya sea a través de canales de CI/CD o la consola web de administración de la nube, opera a través de la interfaz del proveedor de la nube. Las interfaces de programación de aplicaciones (API) y los administradores no inician sesión directamente en el sistema en circunstancias normales. Por lo tanto, una gran parte de la red sigue siendo un soporte para llamadas API cifradas”, explica el asesor.

Además, según el experto, las soluciones de seguridad nativas de la nube utilizan la API de los proveedores de la nube, lo que cambia radicalmente la lógica de los costes. “Nuestra solución CNAPP sin agentes es aproximadamente cinco veces más barata de operar que una solución de punto final basada en agentes para la misma cantidad de máquinas virtuales y hosts de contenedores. Este cálculo sólo podrá mejorar a medida que el negocio siga creciendo”, advierte Jay Thoden van Velzen. Y cuando sabemos que SAP ejecuta 30.000 máquinas virtuales cada 24 horas, es evidente que esto puede empezar a acumularse.

Se debe garantizar el despliegue y la gestión operativa.

Pero no basta con equiparse con una solución de seguridad dedicada a sus servicios en la nube, aún necesita poder implementarla y utilizarla con la mayor eficiencia y facilidad posibles. Y en este contexto SAP vio claramente una ventaja para la nube. “Por diversas razones, las herramientas de seguridad de los centros de datos a menudo se componen de un conjunto de las mejores soluciones puntuales de su clase. Además, como resultado de las adquisiciones, las organizaciones suelen tener una colección de herramientas superpuestas. Esto complica el trabajo de recopilar fuentes de datos, enriquecerlas con metadatos y correlacionarlas en plataformas SIEM. Cada fuente de datos adicional añade complejidad y esfuerzo de integración antes de dar como resultado detecciones efectivas”, afirma Jay Thoden van Velzen. Y para especificar: “las herramientas de seguridad nativas de la nube pueden implementarse mediante la API de la nube y pueden implementarse a nivel empresarial. Por lo tanto, la incorporación se puede centralizar y aplicar a todas las cuentas de la nube de la organización sin ningún esfuerzo por parte de los equipos de desarrolladores”.