Skip to content
NGTEdu Logo

NGTEdu

A PRODUCT OF NGTECH.CO.IN

NGTEdu Logo

NGTEdu

  • Home
  • Cyber Attacks
  • Malware
  • Vulnerabilities
  • Data Breach
  • Home
  • Data Breach
  • Configuración segura en la nube – Explicación de IaaS, PaaS y SaaS
  • Data Breach

Configuración segura en la nube – Explicación de IaaS, PaaS y SaaS

5 years ago Denisse Vega
Configuración segura en la nube – Explicación de IaaS, PaaS y SaaS

Si le preguntara qué productos de seguridad tenía para administrar el riesgo dentro de su organización de TI hace 10 años, probablemente enumeraría media docena de herramientas diferentes y confianza mencionar que la mayor parte de su infraestructura estaba cubierta por un conjunto de productos clave como antivirus, DLP, firewalls, etc. Pero en un mundo con IaaS, PaaS y SaaS, mantener un solo set se vuelve mucho más difícil.

Muchos servicios alojados en la nube tienen una funcionalidad superpuesta y, por lo tanto, pueden compartir requisitos de seguridad específicos, la mayoría típicamente limitará el control de los componentes subyacentes hasta cierto punto en un esfuerzo por reducir la sobrecarga general de administración. (Esto es, en efecto, el beneficio de pagar un servicio en lugar de alojar sus propias instancias, después de todo, es parte de la flexibilidad obtenida de las diferentes ofertas de servicios disponibles en el mercado hoy en día). Como resultado, muchas requerirán un método completamente diferente para evaluar la seguridad y el cumplimiento.

Si está comenzando con los servicios en la nube o está diversificando su oferta de servicios, es importante tener en cuenta los requisitos de seguridad / cumplimiento para cada tipo de servicio agregado a su cartera. Para aquellos que conocen estas abreviaturas, echemos un vistazo a las tres ofertas de servicios más comunes y sus requisitos de seguridad.

IaaS (Infraestructura como servicio)

IaaS (Infraestructura como servicio) es, en efecto, donde un proveedor de la nube aloja los componentes de infraestructura tradicionalmente presentes en un data center local que incluye servidores (sistemas operativos), hardware de almacenamiento y redes, así como la capa de virtualización o hipervisor.

Desde una perspectiva de seguridad, esta oferta es probablemente la más cercana a la infraestructura de TI interna tradicional (de hecho, muchas compañías moverán efectivamente las cargas útiles de servidores existentes a IaaS, ya sea parcial o completamente, dando como resultado una solución híbrida) y requerirá en gran medida de las mismas herramientas de seguridad como resultado.

Sin embargo, las herramientas que reconocen / conocen el estado de la infraestructura alojada pueden ofrecer beneficios significativos ya que las instancias de servidor IaaS pueden “ir y venir” dinámicamente (aprovechando la facilidad de hacerlo en un entorno alojado). Esto significa que las licencias y el registro de datos deben ser lo suficientemente flexibles como para registrar el estado de cumplimiento de una máquina virtual temporalmente “activa” que se pone en línea solo unas pocas horas antes de ser eliminada sin que, por ejemplo, le cueste los costos de licencia continuos.

PaaS (Plataforma como servicio)

PaaS (Plataforma como servicio) se basa efectivamente en el modelo IaaS porque, además de los servicios de infraestructura subyacentes discutidos anteriormente, el proveedor de servicios alojará y administrará los sistemas operativos tradicionales, middleware, etc. para sus usuarios.

PaaS simplifica el manejo de cargas por sus configuraciones pre-definidas. Esto a su vez puede limitar la flexibilidad disponible para que los administradores creen el entorno que desean, incluidas algunas opciones de seguridad que podrían ser apropiadas para sus objetivos particulares de seguridad y cumplimiento.

PaaS también cambia el modelo de seguridad de cierta forma, ya que las herramientas de seguridad pueden integrarse en el servicio. Para las empresas con una combinación de PaaS e infraestructura tradicional, esto puede crear un desafío para garantizar que la cobertura cumpla con los mismos estándares en todos los dispositivos. Los equipos de cumplimiento, en particular, deben asegurarse de que todas las opciones de seguridad requeridas (particularmente en torno a las opciones de autenticación) estén disponibles y configuradas de manera consistente. Las herramientas de cumplimiento que lo ayudan en ambos entornos le brindarán una ventaja significativa a la hora de evaluar todo su patrimonio para asegurarse que no haya brechas.

SaaS (software como servicio)

Finalmente, los proveedores de SaaS (software como servicio) alojarán y administrarán infraestructuras de TI completas, incluidas las aplicaciones. Un usuario de SaaS en efecto no instala nada; simplemente inician sesión y utilizan la instancia de la aplicación del proveedor, que se ejecuta en la infraestructura del proveedor. Por lo general, esto restringe el nivel de personalización, pero reduce significativamente el “área de superficie de configuración” para las aplicaciones, ya que el proveedor de SaaS es responsable de la configuración inicial de la aplicación.

Con SaaS, generalmente hay mucho menos visibilidad de las opciones de seguridad, pero esto no significa que deba darse por sentado. Sigue siendo clave garantizar que las evaluaciones de cumplimiento y seguridad no asuman simplemente que la seguridad “funciona”. Se debe tener cuidado tanto durante la selección inicial del servicio (asegurándose de que tenga controles de seguridad que puedan ayudarlo a evaluar su postura de seguridad) como de que haya suficiente información disponible para volver a evaluar la seguridad con el tiempo.

Iaas, PaaS o SaaS? Desafíos clave a considerar

Asegurarse de que sus herramientas de seguridad y cumplimiento cubran estas áreas es clave. Quedaron atrás los días de asegurarse de tener únicamente un “antivirus en todas las máquinas”. En cambio, cada categoría de servicio puede requerir diferentes enfoques para tener en cuenta sus propias fortalezas y debilidades particulares. Para el cumplimiento, en particular, esto puede requerir una gran cantidad de “tareas” adicionales antes de tomar la decision de compra para garantizar que los equipos puedan demostrar el cumplimiento de los conjuntos de herramientas a estándares particulares, especialmente si su herramienta de seguridad actual no puede o no proporciona la funcionalidad de evaluación para los servicios administrados por su proveedor de nube.

Un último desafío que queda es el obtener informes consistentes para la evaluación, y uno que los proveedores actuales aún trabajan por resolver por completo. Hoy por hoy, muchos equipos tienen que crear sus propias soluciones para reunir diferentes fuentes de datos para ofrecer una visión general de alto nivel o informes detallados consistentes; esa es la clave para hacer que los datos sean más accesibles en toda la empresa. Pero tengo la esperanza de que los futuros proveedores aprovechen las API disponibles en estas plataformas para ofrecer información de informes que satisfaga esta necesidad.

Como ya se señaló, hay muchos desafíos nuevos en el área de cumplimiento y seguridad para proporcionar protección y garantizar la coherencia entre estos entornos variados. Aun así, el potencial de estos servicios para tener “seguridad predeterminada” significa que incluso con estos desafíos, es muy tentador seguir de cerca nuevos servicios, ya que pueden impulsar su seguridad a estándares cada vez más altos. ¡No olvide que una herramienta puede no ser adecuada para todos mientras la industria sigue creciendo rápidamente!

Este blog se publicó originalmente en inglés aquí: Secure Configuration in Cloud – IaaS, PaaS and SaaS Explained

The post ” Configuración segura en la nube – Explicación de IaaS, PaaS y SaaS” appeared first on TripWire

Source:TripWire – Denisse Vega

Tags: Cloud, TripWire

Continue Reading

Previous 2021 Healthcare Cybersecurity Priorities: Experts Weigh In
Next Hacking Christmas Gifts: Putting IoT Under the Microscope

More Stories

  • Cyber Attacks
  • Data Breach

AISURU/Kimwolf Botnet Launches Record-Setting 31.4 Tbps DDoS Attack

9 hours ago [email protected] (The Hacker News)
  • Critical Vulnerability
  • Cyber Attacks
  • Data Breach
  • Malware
  • Vulnerabilities

ThreatsDay Bulletin: Codespaces RCE, AsyncRAT C2, BYOVD Abuse, AI Cloud Intrusions & 15+ Stories

14 hours ago [email protected] (The Hacker News)
  • Data Breach

The Buyer’s Guide to AI Usage Control

15 hours ago [email protected] (The Hacker News)
  • Cyber Attacks
  • Data Breach
  • Malware
  • Vulnerabilities

Infy Hackers Resume Operations with New C2 Servers After Iran Internet Blackout Ends

16 hours ago [email protected] (The Hacker News)
  • Critical Vulnerability
  • Cyber Attacks
  • Data Breach
  • Vulnerabilities

Critical n8n Flaw CVE-2026-25049 Enables System Command Execution via Malicious Workflows

21 hours ago [email protected] (The Hacker News)
  • Critical Vulnerability
  • Cyber Attacks
  • Data Breach
  • Vulnerabilities

Malicious NGINX Configurations Enable Large-Scale Web Traffic Hijacking Campaign

22 hours ago [email protected] (The Hacker News)

Recent Posts

  • AISURU/Kimwolf Botnet Launches Record-Setting 31.4 Tbps DDoS Attack
  • ThreatsDay Bulletin: Codespaces RCE, AsyncRAT C2, BYOVD Abuse, AI Cloud Intrusions & 15+ Stories
  • The Buyer’s Guide to AI Usage Control
  • Infy Hackers Resume Operations with New C2 Servers After Iran Internet Blackout Ends
  • Critical n8n Flaw CVE-2026-25049 Enables System Command Execution via Malicious Workflows

Tags

Android APT Bug CERT Cloud Compliance Coronavirus COVID-19 Critical Severity Encryption Exploit Facebook Finance Google Google Chrome Goverment Hacker Hacker News High Severity Instagram iPhone Java Linux Low Severity Malware Medium Severity Microsoft Moderate Severity Mozzila Firefox Oracle Patch Tuesday Phishing Privacy QuickHeal Ransomware RAT Sim The Hacker News Threatpost TikTok TripWire VMWARE Vulnerability Whatsapp Zoom
Copyright © 2020 All rights reserved | NGTEdu.com
This website uses cookies to improve your experience. We'll assume you're ok with this, but you can opt-out if you wish. Read More here.Cookie settingsACCEPT
Privacy & Cookies Policy

Privacy Overview

This website uses cookies to improve your experience while you navigate through the website. Out of these cookies, the cookies that are categorized as necessary are stored on your browser as they are essential for the working of basic functionalities of the website. We also use third-party cookies that help us analyze and understand how you use this website. These cookies will be stored in your browser only with your consent. You also have the option to opt-out of these cookies. But opting out of some of these cookies may have an effect on your browsing experience.
Necessary
Always Enabled
Necessary cookies are absolutely essential for the website to function properly. This category only includes cookies that ensures basic functionalities and security features of the website. These cookies do not store any personal information.
Non-necessary
Any cookies that may not be particularly necessary for the website to function and is used specifically to collect user personal data via analytics, ads, other embedded contents are termed as non-necessary cookies. It is mandatory to procure user consent prior to running these cookies on your website.
SAVE & ACCEPT