La Agencia de Seguridad Nacional (NSA) de los Estados Unidos ha elaborado un breve documento de orientación sobre la mitigación de vulnerabilidades para la computación en la nube [PDF]. Con solo ocho páginas, es un manual muy accesible y un excelente lugar para comenzar antes de asumir algo como los controles integrales de seguridad NIST 800-53.

Como es un documento de orientación, no intenta ser profundamente técnico; en su lugar, proporciona una visión general de las tecnologías, amenazas y vulnerabilidades que son comunes en entornos de nube y enfoques para reducir el riesgo de nube. Esta es una referencia valiosa, y se alinea con donde deberían comenzar todas las discusiones de seguridad: el tratamiento del riesgo.

Al adoptar un enfoque basado en el riesgo para la adopción de la nube, las organizaciones pueden beneficiarse de manera segura de las amplias capacidades de la nube

Para el éxito de una organización, tanto en la transición a la nube como en el mantenimiento de los recursos de la nube, es fundamental el apoyo de un liderazgo informado, que garantice la gobernanza, el presupuesto y la supervisión adecuados".

Para aquellos que ya trabajan en el espacio de ciberseguridad, esto abordará algunos temas familiares.
Lo que es diferente con la nube es que muchas responsabilidades se comparten con un tercero, lo que significa que también se comparte el riesgo. Esto se refleja en el esquema de los atacantes, que, además de las amenazas externas maliciosas habituales y las amenazas internas, también incluye las amenazas a nivel del proveedor de servicios en la nube (CSP).

La NSA enumera cuatro clases de vulnerabilidades:

  • configuración incorrecta
  • control de acceso deficiente
  • tenencia compartida
  • cadena de suministro


Los dos primeros constituyen la responsabilidad principal del cliente. Los dos últimos son los CSP.



La configuración segura y el acceso con privilegios mínimos son componentes clave de cualquier programa de seguridad. El desafío al abordar estos riesgos en la nube es que la tecnología evoluciona rápidamente, es opaca y, a menudo, es más compleja que un centro de datos tradicional. Los controles de acceso pueden tener una curva de aprendizaje empinada con varios roles y niveles que no siempre dejan en claro los niveles de exposición que puede tener un servicio.

Al comenzar el movimiento a la nube, las consideraciones importantes cuando se trata de seguridad son:

  • Asegurar que los servicios estén configurados y reforzados adecuadamente,
  • Manejar adecuadamente los datos utilizando el acceso con privilegios mínimos,
  • Implementación de autenticación multifactor, y
  • Realización de monitoreo y análisis de seguridad continuo.


Sin lugar a dudas, esto es solo la punta del iceberg, y la seguridad es un proceso en evolución y complejo que requiere una mejora constante. Comenzar con el pie derecho acelera el viaje de seguridad en la nube.

La orientación completa e información adicional se pueden encontrar en US-Cert.gov.

Fuente: Tripwire