Aumento de la confianza en Google Cloud: visibilidad, control y automatización

12 abril, 2019
18 Compartido 2,174 Visualizaciones

En Google Cloud, la seguridad está integrada en el diseño de cada centro de datos que conectamos a la red, cada cable de red que tendemos y cada servicio que implementamos. Además, hacemos explícito nuestro compromiso con los clientes de Cloud: el cliente es el propietario de sus datos y quien los controla.

Hoy, anunciamos varias herramientas de seguridad que van a reforzar aún más su confianza en Google Cloud, puesto que le dotarán de una mayor visibilidad de sus entornos para detectar amenazas, agilizar la respuesta y las medidas correctivas, mitigar los riesgos de filtración de datos, garantizar una cadena segura de distribución de software y consolidar el cumplimiento de las políticas establecidas. En concreto, le ayudarán a:

    • Disponer de información significativa sobre las operaciones de los proveedores: Transparencia de acceso (nueva disponibilidad general y servicios beta; disponibilidad general para G Suite) y Access Approval (beta)
    • Evitar la filtración de datos y el riesgo: Interfaz de usuario Data Loss Prevention (DLP) (beta) y VPC Service Controls (disponibilidad general)
    • Centralizar la administración de la seguridad: Cloud Security Command Center (disponibilidad general) con la nueva Event Threat Detection (beta), Security Health Analytics (alfa), Cloud Security Scanner (nuevas integraciones beta) y Stackdriver Incident Response and Management (próximamente en versión beta)
  • Consultar el estado de seguridad de las API: Informes de seguridad en Apigee (beta)
  • Ayudar a proteger la cadena de distribución del software: Análisis de vulnerabilidades con Container Registry (disponibilidad general); Binary Authorization (disponibilidad general); GKE Sandbox (beta); Managed SSL Certificates for GKE (beta); y Shielded VMs (disponibilidad general)
  • Controlar y proteger los datos de G Suite: Mejoras en las regiones de datos de G Suite (disponibilidad general); mejora de la protección contra amenazas avanzadas de suplantación de identidad (phishing) y software malicioso (beta); Security sandbox (beta); colaboración y automatización de la administración de Security Center y Alert Center (beta)
  • Obtener conocimientos gracias al aprendizaje automático: Policy Intelligence (alfa)
  • Mantener la seguridad en la web: Phishing Protection (beta) y reCAPTCHA Enterprise (beta)

Este documento ofrece un recorrido rápido por todas las funciones y prestaciones nuevas y mejoradas que le ayudarán a simplificar y racionalizar sus operaciones de seguridad.

Confianza basada en la transparencia

Administrar un negocio en la nube no debería ser un acto de fe. El pasado año, anunciamos la Transparencia de acceso para GCP, un servicio pionero que crea registros casi en tiempo real cuando los administradores de GCP interaccionan con sus datos con fines de asistencia. Access Transparency para G Suite ya está disponible de forma generalizada en G Suite Enterprise. Aporta visibilidad sobre el acceso a los datos de G Suite cubiertos por parte de los empleados de Google Cloud. En la consola de administración de G Suite, documentamos cada acceso y cada motivo por el que se efectúa, así como referencias a los partes de asistencia pertinentes. Así, el cliente puede comprobar que Google únicamente obtiene acceso a sus datos por motivos empresariales válidos y puede aportar esta información como justificante en una auditoría, si es necesario.

Basándonos en Access Transparency, en diciembre anunciamos Access Approval para GCP. Esta herramienta permite al cliente aprobar de manera explícita el acceso a sus datos o configuraciones en GCP antes de que se produzca. Access Approval ya está disponible en versión beta para Google Compute Engine, Google App Engine, Google Cloud Storage y para muchos otros servicios. Esta es la primera vez que un proveedor de nube ha ofrecido controles de esta naturaleza que afectan a todos nuestros empleados.

Descubrimiento de datos confidenciales y mitigación de los riesgos de filtración y exposición

El primer paso para proteger los datos confidenciales en la nube es saber dónde residen. Hoy, nos alegramos de poder ofrecer a las empresas una nueva forma de detectar y supervisar datos confidenciales en la nube, con la interfaz de usuario Data Loss Prevention (DLP) (ya disponible en versión beta). Con esta nueva interfaz, el cliente puede ejecutar análisis de prevención de la pérdida de datos en solo unos clics, sin tener que escribir código ni administrar hardware ni máquinas virtuales (VM). Empiece hoy mismo a usar la consola de GCP.

La primera línea de defensa en una implementación en la nube es la nube privada virtual (VPC). VPC Service Controls, ya disponible de manera generalizada, va más allá de la VPC y le permite definir un perímetro de seguridad en torno a recursos concretos de GCP, como los segmentos de Cloud Storage, las instancias de Bigtable y los conjuntos de datos de BigQuery, para ayudar a mitigar los riesgos de filtración de datos.

Detección de amenazas contra las cargas de trabajo de GCP en la misma ubicación

Cuando se trasladan cargas de trabajo a la nube, se requiere visibilidad del estado de seguridad de los recursos de GCP. También es preciso poder identificar las amenazas y vulnerabilidades para poder reaccionar con rapidez.

El pasado año lanzamos Cloud Security Command Center (Cloud SCC), una completa plataforma de administración de la seguridad y del riesgo de los datos para GCP. Cloud SCC, que ya está disponible de forma generalizada, ofrece un panel único que permite prevenir, detectar y responder a las amenazas en un amplio abanico de servicios de GCP (App Engine, BigQuery, Cloud Storage, Compute Engine, Google Kubernetes Engine, y otros muchos).

Nos encanta anunciar también la disponibilidad general del primer conjunto de servicios de prevención, detección y respuesta que puede ayudar a detectar las configuraciones incorrectas que pueden presentar riesgos, así como la actividad maliciosa:

  • Event Threat Detection capitaliza los modelos de inteligencia propiedad de Google para detectar con rapidez amenazas tales como el software malicioso, la criptominería y los ataques de denegación de servicio (DDoS) salientes. Analiza los registros de Stackdriver en busca de actividad sospechosa en el entorno de GCP del cliente, extrae los problemas encontrados y los marca para que se adopten medidas correctivas. Regístrese para participar en el programa beta.
  • Security Health Analytics analiza automáticamente la infraestructura de GCP del cliente para ayudar a detectar problemas de configuración con segmentos de almacenamiento público, puertos de cortafuegos abiertos, claves de cifrado obsoletas, inicios de sesión de seguridad desactivados, y muchos otros riesgos. Regístrese para participar en el programa alfa.
  • Cloud Security Scanner detecta vulnerabilidades como las secuencias de comandos entre sitios (XSS), el uso de contraseñas de texto transparente y las bibliotecas obsoletas en las aplicaciones de GCP. A continuación, muestra los resultados en Cloud SCC. Cloud Security Scanner ya está disponible de manera generalizada para App Engine y en versión beta para Google Kubernetes Engine (GKE) y Compute Engine.

Las integraciones de partners de seguridad con Capsule8, Cavirin, Chef, McAfee, Redlock, Stackrox, Tenable.io y Twistlock consolidan los problemas encontrados y agilizan la respuesta. Empiece por consultar nuestros partners en GCP Marketplace.

Cloud SCC también ayuda a responder ante las amenazas. Para tratar de corregir los problemas encontrados, puede exportar los incidentes al sistema de administración de eventos e información de seguridad (SIEM) de su elección, o bien abrir y rastrear cada uno de ellos en la nueva herramienta Stackdriver Incident Response and Management, que pronto estará disponible en versión beta.

Conozca el estado de seguridad de sus API

Las API expuestas a los desarrolladores dentro y fuera de la organización son otro de los blancos de los ataques. Apigee, la plataforma de administración de API de Google Cloud, incluye una nueva funcionalidad de generación de informes de seguridad que ayuda a obtener una visión integral del estado de salud y seguridad de los programas de API. Permite identificar las API que no cumplen los protocolos de seguridad y los grupos de usuarios que publican las API más sensibles. Los problemas encontrados se pueden consultar en la consola de Apigee y en una API, para su integración con las herramientas de SIEM. La funcionalidad de generación de informes de seguridad de API de Apigee estará pronto disponible en versión beta.

Seguridad en toda la cadena de distribución del software

Cuando se utilizan contenedores, es preciso poder confiar en las imágenes que se ejecutan. Hoy anunciamos la disponibilidad de varios servicios de GKE que ayudarán a desarrollar su confianza en su cadena de distribución del software en contenedores.

Detectar las vulnerabilidades al principio del ciclo de desarrollo evita tener que aplicar parches de emergencia más adelante. Container Registry, nuestro registro Docker privado y seguro, incluye análisis de vulnerabilidades, integrado de manera nativa en GKE. Esta herramienta identifica las vulnerabilidades de los paquetes en Ubuntu, Debian y Alpine Linux, para encontrarlas antes de implementar los contenedores. Tras el anuncio original que tuvo lugar en septiembre, el análisis de vulnerabilidades de Container Registry pronto estará disponible de forma generalizada.

Antes de implementar un contenedor en un clúster de GKE, es importante asegurarse de que cumpla los requisitos de implementación de la organización. Binary Authorization es un control de seguridad en tiempo de implementación que se integra con el sistema de CI/CD e impide que se implementen imágenes que no cumplan los requisitos especificados. En la versión que próximamente estará disponible de manera generalizada, Binary Authorization se puede integrar con Cloud Key Management Service y Cloud Security Command Center para ofrecerle un control en tiempo de implementación que podrá ver en la misma consola que ya utiliza para administrar otras operaciones de seguridad.

Aunque trabaje sobre una base conocida y correcta, a veces se requiere un nivel adicional de seguridad. Pronto estará disponible la versión beta de GKE Sandbox, basada en el proyecto de código abierto gVisor. GKE Sandbox proporciona aislamiento adicional para cargas de trabajo multicliente, con lo que aumenta su seguridad y ayuda a evitar las fugas en los contenedores.

Ahora, GKE ofrece además Managed SSL certificates, que ofrece administración de todo el ciclo de vida (aprovisionamiento, implementación, renovación y eliminación) de los certificados de acceso a GKE. Managed SSL certificates, que actualmente se encuentra en versión beta, facilita la implementación, la administración y el uso de aplicaciones basadas en GKE a escala.

Por último, para endurecer las cargas de trabajo basadas en máquinas virtuales, Google Cloud ofrece VM Protegidas, que ofrecen la posibilidad de verificar la integridad de las instancias de VM de Compute Engine para que pueda estar seguro de que su seguridad no se ha visto comprometida. Ya se han implementado más de 21 000 instancias de VM Protegidas en GCP. Además, a partir de hoy, las VM Protegidas estarán disponibles de manera generalizada, para ofrecer un modo sencillo de reducir la probabilidad de que alguien pueda manipularlas indebidamente.

Control y protección de los datos de G Suite

También hemos anunciado nuevas formas de ayudar a proteger, controlar y corregir las amenazas contra los datos empresariales que nuestros clientes crean y almacenan en G Suite.

Algunas organizaciones requieren que sus datos se almacenen en ubicaciones determinadas y nosotros nos comprometemos a satisfacer esa necesidad. Los clientes de G Suite Business y G Suite Enterprise pueden designar la región en la que se almacenarán los datos en reposo cubiertos: en todo el mundo, en los Estados Unidos o en Europa. Hemos mejorado las regiones de datos con cobertura de copias de seguridad.

Hemos introducido nuevos controles (en versión beta) de protección contra amenazas avanzadas de suplantación de identidad y software malicioso. Estos controles pueden ayudar a los administradores a proteger contra archivos adjuntos anómalos y mensajes de correo electrónico entrantes que utilizan técnicas de spoofing para suplantar falsamente tu dominio de Grupos de Google. El espacio aislado (disponible en versión beta para los clientes de G Suite Enterprise) mejora la protección contra el ransomware, el software malicioso sofisticado y las amenazas de día cero, porque ejecuta los archivos adjuntos en un entorno aislado con el fin de averiguar si son perjudiciales.

Security Center y Alert Center para G Suite proporcionan a las organizaciones recomendaciones de buenas prácticas, notificaciones unificadas y corrección integrada para ayudar a los administradores a adoptar medidas contra las amenazas. Queremos ayudar a los administradores a trabajar en colaboración para evaluar la exposición de sus organizaciones a los problemas de seguridad. La nueva funcionalidad beta les permite guardar y compartir sus investigaciones en la herramienta de investigación de seguridad. Ahora, en la versión beta de Alert Center, los administradores pueden indicar el estado de la alerta y su gravedad, y asignar las alertas a otros administradores. Además, en Security Center pueden crear reglas que llevan a cabo acciones automatizadas o envían notificaciones a Alert Center, donde los equipos de administradores y analistas pueden trabajar juntos para encargarse de ellas y actualizar su estado a medida que avanzan en sus investigaciones de seguridad. Regístrese aquí para la versión beta de Security Center y aquí para la versión beta de Alert Center.

Aprendizaje automático para consolidar el conocimiento

Conseguir que las configuraciones estén siempre en línea con las políticas de seguridad puede ser todo un reto. Hay que tener en cuenta numerosos factores y que precisar gran cantidad de ajustes para disponer de la seguridad correcta. Y aun así siempre está la duda de si se ha hecho todo lo posible para reducir la exposición al riesgo. Para ayudar en esta labor, presentamos hoy Policy Intelligence. Disponible inicialmente para Cloud IAM, Policy Intelligence ofrece tres nuevas herramientas que facilitan la comprensión y administración de las políticas de la organización y contribuyen a reducir el riesgo:

  • IAM Recommender ayuda a los administradores a eliminar los accesos no deseados a los recursos de GCP. Con este fin, utiliza el aprendizaje automático para realizar recomendaciones inteligentes de control de acceso.
  • Access Troubleshooter permite a los administradores de la seguridad comprender por qué se deniegan solicitudes y ayuda a modificar las políticas con el fin de conceder los accesos apropiados.
  • Validator permite a los administradores establecer protecciones de gobernanza y de seguridad que impiden que los propios administradores concedan accesos demasiado permisivos.

Para comenzar a usar estas funciones, regístrese para participar en el programa alfa de Policy Intelligence.

Nuevos servicios para mantener a los usuarios protegidos en la web

Si quiere proteger su empresa, debe proteger a sus usuarios. El mes pasado, durante la Conferencia RSA, anunciamos la versión beta de nuestra Web Risk API. Ahora, nos complace presentar dos servicios de protección totalmente nuevos para los usuarios de Google Cloud:

  • Protección contra suplantación de identidad. Los sitios web de suplantación de identidad que utilizan su nombre y su logotipo suponen un riesgo para sus usuarios y un perjuicio para su imagen de marca. Con el servicio Phishing Protection, puede notificar rápidamente cualquier dirección URL no segura a Google Safe Browsing y consultar el estado en Cloud Security Command Center. Una vez que las direcciones URL se han incluido en listas de navegación segura, los usuarios de más de 3000 millones de dispositivos recibirán un aviso antes de hacer clic en un enlace infectado. Regístrese para la versión beta.
  • reCAPTCHA Enterprise. Los equipos de seguridad tienen que mantener a los usuarios malintencionados fuera de sus sitios web. Además, deben garantizar que sus clientes siempre puedan obtener acceso a ellos. reCAPTCHA lleva más de una década defendiendo millones de sitios. Ahora, nuestro nuevo servicio reCAPTCHA Enterprise se basa en esta tecnología para ofrecer prestaciones dirigidas expresamente a satisfacer las necesidades de seguridad de las empresas. Puede defender su sitio web contra actividades fraudulentas como la extracción, relleno de credenciales (credential stuffing) y creación automatizada de cuentas, y ayudar a prevenir las costosas fechorías del software automatizado. Regístrese para la versión beta.

Crear entornos seguros y conseguir que sigan siéndolo es la principal tarea de las organizaciones que operan en la nube. En Google Cloud, tenemos el compromiso de velar por que la seguridad avanzada sea un factor impulsor que ayude a las empresas que necesitan más agilidad para mejorar la gobernanza. Visite nuestro sitio de seguridad de Google Cloud para obtener una panorámica completa de la infraestructura y los productos de Google Cloud, así como de nuestras políticas de transparencia y confianza. También recomendamos leer nuestro artículo de blog sobre administración de identidades y accesos, en el que se presentan nuevas formas de ayudarlo a mejorar la eficacia de TI, de los desarrolladores y de los usuarios finales.

Te podría interesar

Trend Micro descubre importantes fallos en los principales protocolos de IoT
Security Breaches
28 compartido1,184 visualizaciones
Security Breaches
28 compartido1,184 visualizaciones

Trend Micro descubre importantes fallos en los principales protocolos de IoT

Vicente Ramírez - 13 diciembre, 2018

Cientos de miles de implementaciones no seguras de máquina a máquina (M2M) ponen en riesgo a las organizaciones globales. Trend…

Accenture protege su paso hacia la nube con Microsoft Cloud App Security
Cloud
20 compartido2,147 visualizaciones
Cloud
20 compartido2,147 visualizaciones

Accenture protege su paso hacia la nube con Microsoft Cloud App Security

Mónica Gallego - 5 septiembre, 2018

Accenture transforma su negocio a través de la nube y elige Microsoft App Security para protegerla. La compañía podrá monitorizar…

Más del 37% de los intentos de ‘phishing’ están relacionados con servicios bancarios
Actualidad
18 compartido1,027 visualizaciones
Actualidad
18 compartido1,027 visualizaciones

Más del 37% de los intentos de ‘phishing’ están relacionados con servicios bancarios

Vicente Ramírez - 6 febrero, 2019

Con motivo del Día de Internet Segura, el banco digital Self Bank ofrece una serie de consejos para detectar este…

Deje un comentario

Su email no será publicado