Cómo maximizar la seguridad de la nube con zonas de aislamiento
Las zonas de seguridad mantienen las aplicaciones y datos a salvo de los cibercriminales y pueden ayudar a limitar el impacto de una brecha de seguridad.
Mantener las aplicaciones seguras y protegidas es fundamental para toda empresa. Ya utilice arquitecturas nativas en la nube o sistemas locales, o cualquier otra opción, se considera que dividir las infraestructuras por zonas de seguridad es una práctica de éxito. Estas proporcionan un aislamiento que mantiene los datos y las aplicaciones a salvo de ciberdelincuentes externos. Una brecha de seguridad en un área puede limitarse y afectar solo a los recursos de esa misma área. Realizado correctamente, este proceso podría evitar vulnerabilidades con impactos masivos y hacer del problema algo mucho menos, incluso algo prácticamente insignificante.
Comprender las zonas de seguridad
Si bien hay muchas formas de diseñar las zonas de seguridad, un modelo común es usar tres áreas. Estas brindan segmentación entre la Internet pública (zona pública) y los servicios internos y almacenes de datos (zona privada), insertando una capa de aislamiento (DMZ) entre las dos.
Los usuarios interactúan con su aplicación desde la Internet pública accediendo a los servicios en la zona pública, que está expuesta y conectada, y sus servicios son accesibles directamente desde la web. Estos se ejecutan a través de varios cortafuegos, pero, por lo demás, reciben tráfico directo de los usuarios en Internet.
Estos servicios públicos hacen el menor trabajo posible, pero una de sus tareas más importantes es regular e inspeccionar los datos recibidos de Internet para asegurarse de que sean válidos y apropiados. Estos servicios deben filtrar los ataques de denegación de servicio (DDoS), la infiltración de externos y las entradas no válidas de los usuarios finales.
El grueso de la aplicación reside en la zona privada. Aquí es donde se almacenan los datos, así como los servicios que acceden y los manipulan, y es donde está la mayor parte del backend. De hecho, la mayor parte posible de la aplicación debe estar en esta zona, la más alejada de la Internet pública, en la cual no hay servidores públicos y está aislada. Para mantener segura la zona privada, nadie puede acceder directamente a los servicios de esta área. Ni siquiera los de la zona pública de la aplicación. En cambio, estos acceden a través de la tercera zona, la DMZ o zona desmilitarizada, una capa intermedia que brinda un nivel de aislamiento y seguridad adicional entre las zonas pública y privada, protegiendo aún más la mayor parte de la aplicación contenida en la privada.
El propósito de este modelo de tres áreas es mantener al “internet salvaje sin procesar” alejado de las partes sensibles de la aplicación. Dos zonas aisladas, la zona pública y la DMZ, brindan una capa de protección entre la Internet pública y la mayor parte de los servicios de backend.
Las zonas están aisladas unas de otras mediante el uso de segmentos de red privados e independientes que tienen cortafuegos a nivel de aplicación y de red específicos que los conectan. Si bien el tráfico suele fluir libremente dentro de la zona pública en el frontend, está restringido en el backend, de modo que solo los servicios que están diseñados para comunicarse entre sí lo pueden hacer. No se permite ninguna comunicación innecesaria entre los servicios de backend. Todas estas restricciones están diseñadas para limitar el área de impacto de un ataque. Si parte del sistema está comprometido, estas protecciones dificultarán que el atacante profundice en la aplicación. Los datos confidenciales, almacenados en lo profundo de las entrañas de la zona privada, están separados de cualquier malhechor por muchas capas de seguridad.
Controles estándar de seguridad en la nube
En la nube, Amazon Web Services (AWS), Microsoft Azure y Google Cloud ofrecen mecanismos de seguridad estándar que ayudan en la construcción y administración de estas zonas. Por ejemplo, AWS proporciona herramientas y servicios específicos que ayudan a crear estas zonas de seguridad y brindan el aislamiento necesario entre ellas.
Las VPC, o nubes privadas virtuales, proporcionan rangos de direcciones IP y reglas de enrutamiento aisladas. Cada zona de seguridad se puede crear como una VPC independiente. Luego, se crean reglas de enrutamiento específicas para controlar el flujo de tráfico entre las VPC. Al convertir cada zona en una VPC independiente, se pueden crear fácilmente las zonas y mantenerlas aisladas. Estos cortafuegos a nivel de red son la primera línea de defensa para mantener estas zonas aisladas.
Por otra parte, los grupos de seguridad proporcionan firewalls a nivel de servidor que controlan el tráfico que fluye hacia instancias individuales. Por lo general, se adjuntan a cada instancia de servidor que se asigne, junto con otras de componentes de la nube, como bases de datos. Los grupos de seguridad se pueden utilizar para evitar el acceso no autorizado a cualquier componente determinado. Por ejemplo, podrían asegurarse de que el tráfico que llega al servidor de un servicio de transición debe haberse originado en un conjunto específico de servicios frontend y no en ningún otro servidor de Internet.
Por último, los ACL de red proporcionan controles de acceso. Evitan que el tráfico no deseado fluya a cualquier lugar dentro de una VPC determinada entre servidores y servicios individuales. Los ACL de red no tienen estado, lo que significa que administran tráfico IP de bajo nivel y no canales de comunicación específico punto a punto.
Cada zona de seguridad normalmente establece diferentes reglas de seguridad. En la zona pública, por ejemplo, puede ser razonable permitir que los servicios dentro de esta zona menos segura se comuniquen de manera muy abierta. Sin embargo, en la zona privada, las comunicaciones entre servicios pueden verse severamente limitadas. Por supuesto, dependiendo de la aplicación, los requisitos de seguridad específicos que utilice para cada zona pueden variar ampliamente.
