Las plataformas de nube pública sin DDI no son sumergibles

Ronan David, Senior VP Strategy de EfficientIP

23 mayo, 2019
19 Compartido 2,276 Visualizaciones

Migrar a infraestructuras híbridas y confiar en la nube pública es la opción cada vez más habitual de las empresas para su transformación digital y en su transición a nuevos patrones de desarrollo de arquitecturas y de software.

Ronan David, Senior VP Strategy de EfficientIP

Según confirman diversos estudios a nivel internacional, dos tercios de las empresas ya dependen de la potencia de la nube, y el 50% de las organizaciones ya ha comprobado las ventajas de la nube pública en una tendencia alcista. Sin embargo, desplegar una nube pública implica una estrategia de seguridad que incorpore una DDI flexible que proteja la integridad de las empresas, y, por supuesto, sus datos.

Uno de los principales beneficios de la nube pública es, sin duda, su capacidad para administrar íntegramente tanto la infraestructura y como el alojamiento de los componentes de la aplicación. Ya sea la red, el acceso a Internet, el almacenamiento o el servidor: todo es configurable a través de una interfaz simple y una API.

Como consecuencia, el DNS se convierte en un pilar fundamental de esta infraestructura al proporcionar acceso a todos los servicios cloud y recursos de Internet. ¿El problema? que las redes privadas sin acceso a Internet aún pueden comunicarse con él a través del DNS. La tunelización de DNS, sus sistemas de archivos y la extracción de datos son estándar ya que permiten acceder a los servicios de nube sin servidor para facilitar la transformación digital.  ¿La consecuencia? Crear muchos agujeros para las fugas de datos, como, por ejemplo:

  • El acceso malicioso al backend de la aplicación utilizando métodos estándar, es decir, el código se inserta en el backend y los datos son robados a través del DNS.
  • Los miembros de la organización que tienen acceso a un host pueden modificar, instalar o desarrollar una aplicación que utiliza DNS para realizar operaciones malintencionadas, incluido el malware.
  • Una estrategia de implementación de código automatizada permitiría a un desarrollador insertar un código específico que no requiera cambios en la infraestructura y usar DNS para extraer datos de producción o información de las cuentas.
  • La inserción de un código peligroso en una biblioteca afecta potencialmente a todos los usuarios de la misma biblioteca.

La contramedida más efectiva

Las empresas que almacenan información comercial en redes privadas alojadas en la nube pública, incluso temporalmente, necesitan un servicio de DNS privado para filtrar y especificar qué debe y qué no debe ser accesible. Para ello, las empresas necesitan patrones de nube especiales, que todavía son un territorio virgen para la mayoría de los arquitectos de sistemas y redes. Un buen enfoque es una «infraestructura fija» con imágenes predefinidas, redes privadas y comunicación controlada entrante y saliente. Además, se deben realizar pruebas periódicas, ya que las opciones de los proveedores de la nube pueden cambiar.

Los enfoques multicloud son aún más complejos por el hecho de que cada proveedor de la nube implementa las funciones de una manera diferente. DNS puede o no estar deshabilitado por subred, por red de nube privada virtual o por host, se puede proponer un servicio de DNS avanzado para alojar zonas privadas, o permitir la conexión al DNS corporativo. La dificultad es que el DNS podría aplicarse a todos los servicios subyacentes y ser administrado directamente por el proveedor del servicio. Así las cosas, las empresas deben prestar mucha atención a cómo proteger las cargas de trabajo que colocan en la nube pública y, en general, a los proveedores de IaaS y PaaS.

En definitiva, para ser verdaderamente eficientes, las redes privadas deben implementarse en la nube sin acceso al DNS. Al contrario, el servicio DNS debe implementarse como un componente independiente de la infraestructura inmutable y la solución DDI lo configurará automáticamente para aplicar las políticas de seguridad y todos los servicios de resolución de nombres exclusivos del servicio en la nube y las aplicaciones implementadas.

Te podría interesar

Chatbot Chocolate lanza tres cuestiones para utilizar correctamente Whatsapp Business
Chatbots
11 compartido2,540 visualizaciones
Chatbots
11 compartido2,540 visualizaciones

Chatbot Chocolate lanza tres cuestiones para utilizar correctamente Whatsapp Business

Mónica Gallego - 9 agosto, 2018

Después del lanzamiento Whatsapp Business, Chatbot Chocolate, la agencia especializada en el desarrollo de chatbots, ha analizado tres cuestiones clave para que usuarios que quieran comenzar a utilizar…

El primer certificado de productos duales UL e IEC estará disponible para centros de datos
Actualidad
6 compartido955 visualizaciones
Actualidad
6 compartido955 visualizaciones

El primer certificado de productos duales UL e IEC estará disponible para centros de datos

Redacción BDM - 20 enero, 2020

La compañía de distribución de energía está ampliando su porfolio de ciberseguridad que se puede aplicar a edificios comerciales, industriales y centros de datos. Eaton es la…

Calsberg apuesta por la IA para predecir el sabor de sus cervezas
Inteligencia Artificial
10 compartido1,956 visualizaciones
Inteligencia Artificial
10 compartido1,956 visualizaciones

Calsberg apuesta por la IA para predecir el sabor de sus cervezas

Mónica Gallego - 31 agosto, 2018

Calsberg es una de las marcas que apuesta por la Inteligencia Artificial (IA) para predecir el sabor de sus cervezas al analizar los componentes químicos de éstas.…

Dejar comentario

Su email no será publicado

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.