Seguridad

A medida que las empresas continúan adoptando tecnologías en la nube, la seguridad se ha convertido en una consideración crítica para las organizaciones de todos los tamaños. Con el aumento de las amenazas cibernéticas y las violaciones de datos, las organizaciones deben garantizar que la infraestructura en la nube sea segura y cumpla con los requisitos de cumplimiento. Oracle Cloud Infrastructure (OCI) proporciona una gama de herramientas y servicios de seguridad para ayudarle a proteger sus activos y mantener el cumplimiento normativo.

Utilice las siguientes mejores prácticas para garantizar que su infraestructura en la nube sea segura, fiable y compatible.

Gestión de identidad y acceso

En el panorama digital en constante evolución, la seguridad es de suma importancia. A medida que las organizaciones avanzan hacia la computación en la nube, se hace imperativo contar con un marco de seguridad sólido. OCI proporciona un conjunto completo de herramientas y servicios para garantizar la seguridad de sus datos y aplicaciones. Uno de los aspectos fundamentales de la oferta de seguridad de OCI es la Gestión de identidad y acceso (IAM).

IAM es la columna vertebral de la arquitectura de seguridad de OCI, que proporciona a los administradores la capacidad de gestionar el acceso de los usuarios y los permisos para los recursos de OCI. Permite controlar quién tiene acceso a qué, lo que garantiza que solo los usuarios autorizados puedan acceder a recursos críticos. IAM proporciona una plataforma centralizada para gestionar el acceso a los recursos de OCI, como los servicios informáticos, de almacenamiento y de redes.

Para garantizar la seguridad de los sistemas, implemente las mejores prácticas de IAM, como el acceso con privilegios mínimos y la autenticación multifactor. El acceso con privilegios mínimos garantiza que se otorgue a los usuarios solo el nivel mínimo de acceso necesario para realizar funciones de trabajo, lo que reduce el riesgo de acceso no autorizado a recursos confidenciales. La autenticación multifactor agrega una capa adicional de seguridad al solicitar a los usuarios que proporcionen más de una forma de autenticación, como una contraseña y un token.

Además de IAM, OCI proporciona otras herramientas y servicios de seguridad, como Cloud Guard, que proporciona supervisión continua y solución automatizada para las amenazas de seguridad. Just in Time Access (JIT) permite el acceso temporal y limitado a los recursos solo cuando sea necesario, lo que reduce la superficie de ataque. Las herramientas de seguridad de red, como listas de seguridad, grupos de seguridad de red (NSG) y filtrado de red de subred, permiten controlar el flujo de tráfico dentro de la red.

Para garantizar el cumplimiento de las normativas del sector y los requisitos de soberanía de datos, OCI proporciona funciones como los controles de residencia de datos y la capacidad de elegir la ubicación geográfica donde se almacenan los datos. La integración SIEM de OCI le permite centralizar los logs de seguridad y analizarlos en busca de incidentes de seguridad, mientras que la detección y prevención de intrusiones (IDP) proporciona supervisión en tiempo real para actividades maliciosas. La inspección SSL permite inspeccionar el tráfico cifrado en busca de contenido malicioso, mientras que la inspección de tráfico de subred entre VCN y la inspección de tráfico entre VCN proporcionan un control granular del flujo de tráfico entre las redes virtuales en la nube.

Cloud Guard

Cloud Guard de OCI es una herramienta de seguridad esencial que proporciona detección continua de amenazas y solución automatizada para proteger su infraestructura en la nube. Está diseñado para supervisar sus recursos de OCI en busca de amenazas de seguridad en tiempo real y notificar a los administradores sobre posibles riesgos. Cloud Guard incluye políticas predefinidas que permiten acciones de solución automatizadas, como desactivar claves de acceso o terminar instancias cuando se produce una infracción de política.

Por ejemplo, supongamos que ha configurado una política para supervisar los grupos de seguridad de red y detectar los cambios realizados en el grupo. En ese caso, Cloud Guard supervisa continuamente el grupo de seguridad en busca de cambios y le notifica si hay infracciones de políticas. Puede identificar cambios no autorizados en el grupo de seguridad, como agregar nuevas reglas, y realizar acciones correctivas para evitar infracciones de seguridad.

Cloud Guard se integra con plataformas SIEM, lo que le permite exportar eventos y logs de seguridad a plataformas de terceros para mejorar la visibilidad y las capacidades de detección de amenazas. Al aprovechar la integración de SIEM con Cloud Guard, puedes centralizar los eventos de seguridad y gestionarlos de manera más eficiente, proporcionando información de seguridad completa sobre tus recursos de OCI.

Acceso justo a tiempo

OCI proporciona acceso justo a tiempo (JIT) que permite a los administradores otorgar acceso temporal a recursos específicos en el entorno en la nube. Esto agrega una capa adicional de seguridad para reducir el riesgo de acceso no autorizado a los recursos al limitar la duración del acceso. El acceso de JIT se puede utilizar con Identity and Access Management (IAM) y Least Privilege Access para mejorar aún más la seguridad de su infraestructura en la nube.

Por ejemplo, un administrador puede configurar el acceso JIT para un desarrollador que necesita acceso temporal a una instancia para solucionar problemas. El administrador puede especificar la duración del acceso, el rol del usuario y los permisos necesarios para acceder a la instancia. Una vez que caduca la duración especificada, el acceso del usuario a la instancia se revoca automáticamente, lo que reduce el riesgo de acceso no autorizado.

El acceso a JIT se puede configurar mediante la consola de OCI, la CLI o la API de REST.

Punto de acceso de prueba virtual

El punto de acceso de prueba virtual (VTAP) es una función de seguridad que ofrece OCI que proporciona captura de paquetes para el tráfico de red y recopila datos para el análisis de red. Con VTAP, los administradores de red pueden detectar y prevenir amenazas de seguridad mediante la captura del tráfico de red para su revisión y análisis.

La captura de paquetes es el proceso de captura de tráfico de red para su revisión y análisis, lo cual es esencial para detectar amenazas de seguridad. Con VTAP, OCI proporciona un servicio nativo para la captura y el análisis completos de la red, lo que ayuda a mejorar la seguridad de su entorno en la nube.

En OCI, el VTAP de origen captura el tráfico basado en un filtro de captura, lo encapsula con el protocolo VXLAN y lo refleja en el destino designado. Esto permite la supervisión y el análisis en tiempo real del tráfico reflejado mediante herramientas de análisis de tráfico estándar. Además, los administradores pueden almacenar el tráfico para un análisis forense más completo en una fecha posterior.

VTAP puede reflejar el tráfico de varios orígenes, incluida una única VNIC de instancia informática en una subred, un equilibrador de carga como servicio (LBaaS), una base de datos OCI, un cluster de VM de Exadata y una instancia de Autonomous Data Warehouse a través de un punto final privado.

Listas de seguridad y grupos de seguridad de red

Las listas de seguridad y los grupos de seguridad de red (NSG) son componentes críticos de la oferta de seguridad de red de OCI. Las listas de seguridad proporcionan a los administradores una forma sencilla de crear listas de direcciones IP y aplicarlas a recursos específicos. Esto les permite restringir el tráfico de red hacia y desde esos recursos. Por ejemplo, un administrador puede crear una lista de seguridad que solo permita que el tráfico de un rango de IP específico acceda a una aplicación web alojada en OCI.

Los NSG permiten a los administradores definir reglas que regulan el tráfico de red entre recursos. Esto les permite controlar qué recursos se pueden comunicar entre sí y los tipos de tráfico que se permiten. Por ejemplo, un administrador puede crear una regla de NSG que solo permita el tráfico SSH desde un rango de IP específico a una instancia informática en OCI.

Mediante el uso de listas de seguridad y NSG, los administradores pueden reducir significativamente el riesgo de acceso no autorizado a sus recursos. Proporcionan un control granular sobre el tráfico de red y permiten a los administradores aplicar el principio de privilegio mínimo, que es una práctica recomendada de seguridad fundamental.

Filtrado de red de subred y firewalls

OCI proporciona funciones de seguridad de red para proteger sus recursos de amenazas externas y acceso no autorizado. Las funciones de Filtrado de red de subred y Firewalls funcionan conjuntamente para proporcionar un entorno de red seguro.

El filtrado de red de subred es una herramienta que permite a los administradores filtrar el tráfico de red en función de las direcciones IP o los puertos. Permite crear reglas de control de acceso para las subredes, que se pueden utilizar para bloquear o permitir el tráfico según criterios específicos. Al filtrar el tráfico en el nivel de subred, puede reducir el riesgo de acceso no autorizado y protegerlo contra amenazas externas.

Los firewalls son otra función de seguridad que ofrece OCI que le permite crear reglas para bloquear o permitir un tráfico de red específico. Con OCI, puede crear reglas de firewall para controlar el acceso a sus recursos en función de la dirección IP de origen, la dirección IP de destino, el protocolo y el número de puerto. Al crear reglas de firewall específicas, puede mejorar aún más la seguridad de la red y reducir el riesgo de acceso no autorizado a los recursos.

Por ejemplo, puede utilizar el filtrado de red de subred para bloquear todo el tráfico de un rango de direcciones IP específico y, a continuación, utilizar firewalls para permitir el tráfico solo de direcciones IP o puertos específicos. Este enfoque por capas de la seguridad de la red puede reducir significativamente el riesgo de acceso no autorizado y proteger sus recursos de amenazas externas.

Gateway

El gateway de Internet, el gateway de NAT y el gateway de servicio son funciones de red proporcionadas por OCI que desempeñan un papel fundamental en el mantenimiento de una infraestructura de red segura y sólida.

El gateway de Internet es un servicio que proporciona acceso a la red pública de Internet desde su red virtual en la nube (VCN). Un gateway de Internet permite el tráfico entre las instancias de su VCN e Internet, lo que le permite alojar sitios web, ejecutar aplicaciones que requieran acceso a Internet y conectarse a otros servicios en la nube.

Con la comodidad de Internet Gateway, aumentan los riesgos de seguridad. El tráfico no deseado y los posibles ataques pueden llegar a través de Internet. Es esencial proteger la comunicación y los datos compartidos a través de este gateway. El uso de protocolos de cifrado SSL/TLS es el mejor enfoque para esto.

El gateway de NAT permite que las instancias privadas de su VCN accedan a Internet mientras mantienen una postura segura. El gateway de NAT proporciona conectividad de Internet saliente para instancias privadas que no tengan direcciones IP públicas asignadas. Actúa como gatekeeper entre Internet y su VCN al traducir las direcciones IP privadas a una dirección IP pública. El gateway de NAT proporciona una forma segura y controlada de acceder a Internet sin exponer la red interna a amenazas externas.

Service Gateway permite el acceso a los servicios de OCI desde la infraestructura local u otros proveedores de nube. Proporciona una conexión segura entre su VCN y otros servicios en la nube o infraestructura local sin necesidad de un gateway de Internet. Service Gateway es una alternativa a las conexiones basadas en Internet y ofrece una forma segura y privada de conectarse a otros proveedores de nube o a una infraestructura local.

El gateway de Internet, el gateway de NAT y el gateway de servicio son funciones de red esenciales de OCI que permiten la conectividad a Internet y otros proveedores de servicios en la nube, al tiempo que mantienen una postura segura. Es importante asegurarse de que existen medidas de seguridad adecuadas, como el cifrado SSL/TLS, para evitar el acceso no autorizado y proteger sus datos.

Acceso privado

El acceso privado permite una comunicación segura entre los recursos de una red virtual en la nube (VCN) o desde redes locales sin recorrer Internet. Esto le ayuda a mantener un alto nivel de seguridad y control sobre su entorno en la nube.

El acceso privado ayuda a mantener la seguridad al evitar el acceso no autorizado a los recursos de Internet. Esto reduce el riesgo de ciberataques y filtraciones de datos. Private Access también garantiza que el tráfico de red permanezca dentro de la red de la organización y no esté expuesto a la red pública de Internet.

Por ejemplo, puede tener una instancia de base de datos en una subred privada a la que solo puedan acceder instancias específicas de la misma VCN o red local. Mediante el uso del acceso privado, puede asegurarse de que la base de datos no esté expuesta a la red pública de Internet y que solo los usuarios y aplicaciones autorizados puedan acceder a ella.

Además, Private Access puede ayudarle a cumplir con las regulaciones que requieren que los datos se almacenen y transmitan de forma segura, como el Reglamento General de Protección de Datos (GDPR) y la Ley de Portabilidad y Responsabilidad de Seguros Médicos (HIPAA).

Gateway de API

API Gateway es un servicio proporcionado por OCI que desempeña un papel crucial en el mantenimiento de la estrategia de seguridad de una organización. Permite publicar API con puntos finales privados a los que se puede acceder desde la red, lo que reduce la necesidad de tráfico de Internet. Este acceso privado a las API ayuda a proteger contra el acceso no autorizado y posibles infracciones de seguridad.

El servicio API Gateway también ofrece una gama de funciones de seguridad, como validación de API, transformación de solicitud y respuesta, uso compartido de recursos de origen cruzado (CORS), autenticación y autorización, y limitación de solicitudes. Estas funciones ayudan a proteger los puntos finales de API garantizando que solo los usuarios y dispositivos autorizados puedan acceder a ellos. API Gateway proporciona una autenticación sencilla con la funcionalidad nativa de OCI Identity and Access Management (IAM), que permite a los administradores gestionar el acceso de los usuarios y los permisos para los recursos de OCI.

Con el servicio de gateway de API, puede crear uno o varios puertas de enlace de API en una subred regional para procesar el tráfico de clientes de API y direccionarlo a servicios de backend. Este servicio puede enlazar varios servicios de backend, como equilibradores de carga, instancias informáticas y OCI Functions, en un único punto final de API consolidado, lo que facilita la gestión y la seguridad.

Por ejemplo, podría utilizar el servicio API Gateway para mostrar de forma segura una API RESTful que permita a sus clientes acceder a determinados datos y servicios, como la información de la cuenta, desde dispositivos móviles. El gateway de API se puede configurar para garantizar que solo los usuarios autorizados puedan acceder a los datos y servicios, y puede validar y transformar los datos para garantizar que cumplen los estándares necesarios.

Confianza cero

OCI admite un enfoque de seguridad de confianza cero que asume que todo el tráfico de red no es de confianza, independientemente del origen. El acceso a los recursos solo se otorga a los usuarios autorizados según la necesidad de conocer y con los permisos adecuados. Este enfoque implica verificar continuamente la identidad y la postura de seguridad de los dispositivos y los usuarios antes de otorgar acceso a los recursos.

Por ejemplo, el servicio Identity and Access Management (IAM) de OCI le permite aplicar políticas de control de acceso con privilegios mínimos, implantar la autenticación multifactor (MFA) y supervisar el acceso a los recursos en tiempo real. Además, el uso de VPN y opciones de acceso privado, como FastConnect y VPN Connect, ayudan a proteger el tráfico de red y proporcionan una capa adicional de protección contra el acceso no autorizado.

Las integraciones de OCI con socios de seguridad, como CrowdStrike y Check Point, también mejoran la seguridad al proporcionar capacidades de detección y respuesta de amenazas.

Detección y prevención de intrusiones e inspección SSL

OCI proporciona varias funciones de seguridad para protegerse contra amenazas de red, incluidas Detección y prevención de intrusiones (IDP) e inspección SSL. Con IDP, los administradores pueden supervisar el tráfico de red en tiempo real y recibir alertas cuando se detecta actividad sospechosa. Además, IDP puede tomar medidas automáticamente para evitar que las amenazas identificadas causen daño. SSL Inspection permite a los administradores inspeccionar el tráfico cifrado para asegurarse de que no se utiliza para distribuir malware u otro contenido malicioso. Estas funciones ayudan a mantener la estrategia de seguridad de los entornos en la nube, proporcionando capas adicionales de protección contra posibles amenazas.

Por ejemplo, puede configurar IDP para detectar y evitar ataques de fuerza bruta en sus recursos en la nube, al tiempo que utiliza SSL Inspection para supervisar el tráfico cifrado que fluye hacia y desde bases de datos confidenciales.

Inspección de tráfico de subred entre VCN e inspección de tráfico entre VCN

OCI proporciona dos potentes funciones de seguridad, Inspección de tráfico de subred entre VCN e Inspección de tráfico entre VCN, que permiten a los administradores supervisar e inspeccionar el tráfico entre redes virtuales en la nube (VCNs). La inspección de tráfico de subred entre VCN permite supervisar e inspeccionar el tráfico entre subredes de la misma VCN, mientras que la inspección de tráfico entre VCN proporciona la misma capacidad para el tráfico que atraviesa entre redes virtuales en la nube. Estas funciones proporcionan una visibilidad profunda de los flujos de tráfico de red, lo que le permite identificar posibles amenazas y tomar medidas para evitarlas. Al detectar y bloquear intentos de acceso no autorizados, la inspección de tráfico entre VCN y la inspección de tráfico entre subredes de VCN pueden ayudar a mantener la estrategia de seguridad de su entorno en la nube.

Por ejemplo, puede tener varias redes virtuales en la nube dentro del entorno de OCI, cada una de las cuales contiene diferentes recursos y aplicaciones. Al utilizar la inspección de tráfico entre VCN, puede asegurarse de que se inspeccione el tráfico entre estas redes virtuales en la nube y de que se detecte y evite cualquier actividad maliciosa.

Esta función puede ser especialmente valiosa en los casos en los que una VCN contiene datos confidenciales o aplicaciones que requieren medidas de seguridad adicionales para protegerlos del acceso no autorizado.

Residencia y soberanía de datos

La residencia de datos y la soberanía son esenciales para la seguridad de las empresas que operan en varios países. Las regulaciones sobre privacidad y protección de datos pueden variar de una región a otra, y es crucial cumplirlas para mantener la seguridad de los datos confidenciales. OCI proporciona opciones de residencia de datos que le permiten almacenar sus datos en regiones o países específicos para cumplir con los requisitos normativos. Esto garantiza que pueda cumplir con las leyes locales de protección de datos y reducir el riesgo de violaciones de datos o acceso no autorizado debido al incumplimiento. Además, las opciones de residencia de datos de OCI están respaldadas por controles de seguridad sólidos, como el cifrado estático y en tránsito, los controles de acceso y las funciones de seguridad de red, para proporcionar un entorno seguro para almacenar y procesar datos.

Registro y control de detección

Logging and Detection Control es una importante herramienta de seguridad que permite a los administradores supervisar y gestionar de forma eficaz logs dentro de OCI con fines de cumplimiento. Con esta función, puede realizar un seguimiento y analizar la actividad del usuario, incluidos los cambios en las configuraciones, los intentos de autenticación y autorización, y el tráfico de red, lo que proporciona una vista completa de la estrategia de seguridad general del sistema.

La función de registro y control de detección de OCI incluye políticas de registro preconfiguradas que le permiten identificar y responder rápidamente a posibles amenazas de seguridad. Puede personalizar estas políticas para que cumplan sus requisitos y activar alertas automáticas para eventos de alto riesgo. Los registros generados por Logging and Detection Control se pueden integrar con sistemas de gestión de eventos e información de seguridad de terceros (SIEM) para proporcionar un análisis de seguridad aún más completo.

Por ejemplo, el control de registro y detección de OCI se puede utilizar para supervisar y detectar amenazas en varios recursos, como instancias informáticas, equilibradores de carga y bases de datos. En caso de un posible incidente de seguridad, puede responder rápidamente a la amenaza y tomar las medidas adecuadas, como revocar el acceso o cambiar las configuraciones, para mantener la seguridad del sistema.

Responsabilidad compartida

La seguridad en la nube es un modelo de responsabilidad compartida en el que tanto el proveedor de servicios en la nube como el cliente tienen un papel en la garantía de la seguridad de los recursos. El proveedor de servicios en la nube es responsable de la seguridad de la infraestructura en la nube subyacente, mientras que el cliente es responsable de proteger sus aplicaciones y datos que despliegan en la nube.

Por ejemplo, en OCI, Oracle es responsable de la seguridad física de los centros de datos, la seguridad de la red y la disponibilidad de la infraestructura. Usted es responsable de proteger sus aplicaciones en la nube, máquinas virtuales y datos. Asegúrese de haber configurado correctamente los grupos de seguridad y las reglas de seguridad de red para evitar el acceso no autorizado.

Cifrado en tránsito y descanso

OCI proporciona herramientas y servicios esenciales, como el cifrado SSL/TLS y Oracle Key Management, para garantizar el cifrado en tránsito y en reposo, que son elementos vitales de una estrategia de seguridad completa. El cifrado ayuda a proteger los datos confidenciales del acceso no autorizado y mantiene la confidencialidad y la integridad de los datos tanto durante la transmisión como mientras están en reposo.

Por ejemplo, puede utilizar el cifrado SSL/TLS para proteger el tráfico de red entre sus clientes y servicios, garantizando que los datos intercambiados entre ellos estén cifrados y seguros.

Del mismo modo, Oracle Key Management proporciona una solución de gestión de claves segura y centralizada que le permite gestionar y proteger las claves de cifrado utilizadas para proteger sus datos en OCI.

Autenticación multifactor

La autenticación multifactor (MFA) es una práctica de seguridad que requiere que los usuarios proporcionen dos o más formas de autenticación antes de que puedan acceder a un sistema o aplicación. Esto ayuda a evitar el acceso no autorizado a datos y recursos confidenciales, incluso si la contraseña de un usuario se ve comprometida. La MFA es una parte importante de cualquier estrategia de seguridad, especialmente en la nube, donde a menudo se accede a datos y aplicaciones desde ubicaciones remotas.

OCI proporciona MFA como una función para que pueda mejorar su estrategia de seguridad. Con la MFA, los usuarios deben proporcionar una segunda forma de autenticación, como una contraseña de un solo uso o información biométrica, además del nombre de usuario y la contraseña. Esto significa que incluso si la contraseña de un usuario es robada o adivinada, un atacante aún tendría que tener acceso al teléfono del usuario u otro dispositivo físico para obtener acceso a su cuenta.

Además de mejorar la seguridad, MFA también puede ayudarlo a cumplir con las regulaciones y estándares de la industria. Por ejemplo, el estándar de seguridad de datos de la industria de tarjetas de pago (PCI DSS) requiere MFA para todo el acceso remoto a los datos del titular de la tarjeta. Al implementar MFA en su entorno en la nube, puede ayudar a cumplir estos requisitos y evitar posibles multas u otras sanciones.