GDPR y AZURE – Guía de Seguridad



El mercado de IaaS está en auge y tres proveedores dominan el mercado: Microsoft, Amazon y Google. Si bien Amazon Web Services (AWS) tiene la mayor cuota de mercado, Azure está en plena forma para alcanzar a AWS y actualmente disfruta de la mayor tasa de crecimiento, casi el doble de la tasa de crecimiento de AWS. De acuerdo el informe “State of the Cloud report” de RightScale, Azure aumentó la adopción del 43% al 58%.

Retos de seguridad de Azure

A medida que aumenta la adopción de Azure, también aumentan los retos de seguridad que conlleva el uso de la nube. Sin embargo, las empresas no pueden permitirse el riesgo de que su entorno Azure o las aplicaciones que se ejecutan en Azure se vean comprometidas. El 72,2% de las empresas tiene aplicaciones críticas de negocio, definidas como una aplicación que, si experimentara un tiempo de inactividad, representaría un impacto muy importante en la capacidad de la organización para operar.

Si bien Microsoft ha creado un conjunto robusto de capacidades de seguridad nativas para Azure, todos los usuarios deben ser conscientes que, en última instancia, el modelo de responsabilidad compartida de la seguridad en la nube requiere que el cliente sea responsable de una parte importante de la seguridad de Azure. Sin embargo, esta no es una tarea fácil, como lo demuestra un informe de Gartner, hasta 2020, el 95% de los incidentes de seguridad en la nube serán culpa del cliente.

Modelo de responsabilidad compartida para Azure de un vistazo

Al igual que la mayoría de los proveedores de servicios en la nube, Azure opera bajo un modelo de responsabilidad compartida. Azure asume la responsabilidad de la seguridad de su infraestructura y ha hecho que la seguridad de la plataforma sea una prioridad para proteger la información y las aplicaciones críticas de los clientes. Azure detecta fraude y abuso y responde a los incidentes mediante notificación a los clientes. Sin embargo, el cliente es responsable de garantizar que su entorno Azure esté configurado de forma segura, que los datos no se compartan con nadie con los que no debe compartirse dentro o fuera de la empresa, identificar cuándo un usuario hace mal uso de Azure y aplicar políticas de cumplimiento y gobierno.

Cumplimento normativo, clasificación de datos y responsabilidad

Mientras que soluciones SaaS como Office 365 proporcionan cierto nivel de clasificación de datos y capacidades de prevención de pérdida de datos de manera nativa (aunque siempre existe una zona de responsabilidad del cliente de la que hablaremos en posts posteriores), cuando se trata de servicios IaaS como Azure, la responsabilidad de identificar y proteger datos confidenciales para cumplir con los requisitos de cumplimiento es propiedad exclusiva del cliente.

Protección de cliente y end-Point

Los end-point que se conectan a las plataformas IaaS deben estar protegidos por el cliente. Si bien Microsoft ofrece Intune para administrar dispositivos, sigue siendo responsabilidad del cliente configurarlos adecuadamente y proteger los datos que se mueven entre Azure y el end-point.

Gestión de identidad y acceso

Azure, a través de Azure AD, proporciona una plataforma robusta para administrar usuarios e identidades. Sin embargo, depende del cliente asegurarse de que la gestión de identidades y accesos esté configurada correctamente. Cosas como habilitar la autenticación multi factor, prevenir el acceso no autorizado e implementar controles de acceso basados ​​en roles son responsabilidad del cliente.

Control a nivel de aplicación

Las aplicaciones administradas (PaaS) como los servicios web, IoT, etc. quitan parte de la responsabilidad de seguridad de los hombros del cliente, pero estos servicios aún deben ser configurados correctamente por el cliente. Cuando se trata del sistema operativo y las capas de aplicación dentro de una Máquina Virtual, el cliente es responsable de su protección y seguridad.

Control de red

A diferencia del modelo de seguridad SaaS, donde el proveedor de servicios en la nube es totalmente responsable de la seguridad de la red, el cliente comparte la responsabilidad de la seguridad de la red con Microsoft cuando utiliza los servicios de red de Azure como redes virtuales, balanceo de carga, etc. Por ejemplo, el cliente es responsable de configuración de seguridad y administración de grupos de seguridad de red y puertas de enlace.

Infraestructura de host

La infraestructura de host se relaciona con servicios de cómputo como hosts virtuales, contenedores, etc. o servicios de almacenamiento como almacenamiento de objetos o almacenamiento de archivos. Microsoft comparte la responsabilidad de seguridad de la infraestructura de host con los clientes de Azure.

Si bien Microsoft es responsable de la seguridad del sistema operativo de los servicios de host, por ejemplo, configurar correctamente el servicio es responsabilidad del cliente.

Seguridad física

Uno de los principales beneficios de la nube es que los clientes no tienen que administrar el elemento físico de su infraestructura de tecnología de la información. Como tal, la seguridad física de la infraestructura de la nube es una responsabilidad del proveedor de servicios en la nube. Esto incluye seguridad de acceso físico, recuperación de desastres y disponibilidad

Para conocer más sobre el modelo de responsabilidad compartida y como cumplir GDPR pincha aquí

Dejar un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *