NETERIS CONSULTING
Cabecera Blog OCI

¿Es seguro tu entorno Oracle OCI Cloud?

Posted by C. Valverde on 21 junio 2024
Add to Flipboard Magazine.

Cada vez tenemos más cargas de trabajo ejecutándose en la nube, con lo que cada vez es más importante realizar un buen análisis de seguridad del ecosistema cloud.

En este blog os mostraremos como analizar la postura de seguridad de un ecosistema Oracle Cloud Infrastructure (OCI) para entender las posibles mejoras que hagan de nuestro entorno OCI un entorno más seguro.

IMG Principal Blog OCI Seguridad

¿Te has planteado si tu ecosistema OCI es seguro?

Como todos conocemos, en el mundo cloud hablamos de:

  • La seguridad DE la nube
  • La seguridad EN la nube

La principal diferencia es la entidad responsable de cada una de ellas.

Por un lado, el proveedor, en este caso Oracle, es responsable de la seguridad DE la nube (en verde). Por el otro, el Cliente es el responsable de la seguridad EN la nube (en azul).

Según este modelo de seguridad compartido, es el cliente quien debe responsabilizarse de configurar los servicios de acuerdo a las necesidades o regulaciones en materia de seguridad que vienen impuestas por su negocio, por su sector o por los motivos que sean de aplicación en cada empresa.

Oracle Cloud seguridad

Cuando hablamos de seguridad EN la nube siempre hemos de tener en cuenta la filosofía de menor privilegio posible, es decir, que cada usuario, entidad o servicio acceda solamente a aquellas otras entidades o datos a los que tenga que acceder, imponiendo una mecánica de deshabilitación por defecto y habilitación bajo demanda.

Si bien es cierto que, cada vez más frecuentemente, se van aplicando las buenas prácticas de seguridad en ámbitos como la arquitectura de red, la exposición de servicios a través de elementos como balanceadores de carga o API Gateways, la segurización de las comunicaciones mediante VPN o incluso el despliegue de líneas de comunicación dedicadas, a diario nos encontramos con que la gran mayoría de las buenas prácticas de seguridad no se implementan por defecto.

En multitud de ocasiones, la herencia del mundo On Premise donde el coste de los sistemas de seguridad era demasiado elevado, hace pensar que sucede lo mismo en la nube. Afortunadamente, lo anterior no es correcto, ya que, gracias a la filosofía de servicios gestionados y el pago por uso, encontramos servicios de gestión de usuarios, firewalling, logueo, análisis de eventos, etc. al alcance de todos los presupuestos.

No estoy sujeto a una regulación de seguridad, ¿por qué auditar la seguridad de mi ecosistema OCI cloud?

Como se suele decir, hay 2 tipos de compañías:

  • Las que han sufrido un ataque
  • Las que van a sufrirlo

ENS NETERISPuede sonar bastante pesimista, pero es la realidad. Lógicamente, si tu empresa está sujeta a una regulación, como puede ser el esquema nacional de seguridad, no hay mucho que discutir, hay que alinearse con la misma. 

Sin embargo, en multitud de ocasiones nuestras empresas no se ven obligadas a certificarse contra una normativa de seguridad concreta, pero eso no significa que no deban entender su postura de seguridad para tomar las acciones necesarias para securizar sus entornos de IT y sus datos, ya que ambos son los pilares sobre los que se sustenta negocio.

No se trata de hacer un esfuerzo (y una inversión) desproporcionada en cumplir una normativa que no hay obligación de cumplir, sino a analizar el nivel de cumplimiento para poder trazar una estrategia que contenga las acciones necesarias para invertir el esfuerzo justo en la securización de cada entorno, teniendo en cuenta parámetros como:

  • Impacto de robo o filtración de datos
  • Impacto de parada de servicio por encriptación e imposibilidad de acceso a los datos de negocio
  • Impacto en la imagen de la compañía
  • Impacto económico por incumplimiento de SLAs o contratos con clientes

Cada compañía conoce coste asociado a cada uno de los elementos anteriores, por lo que podrá decidir la capacidad de inversión en la mejora de la seguridad de cada entorno.

¿Cómo puedo analizar mi ecosistema OCI?

Una vez aclarada la necesidad de entender nuestra postura de seguridad, independientemente de si estamos obligados por normativa a realizarlo, vamos a ver cómo podemos analizar nuestro ecosistema OCI.

Antes de nada, es bueno recordar que OCI es conforme, como plataforma, ENS+ y que están a nuestra disposición las guías de configuración propias del CCN. Concretamente, tenemos:

  • CCN-STIC CCN-STIC 889C - Guía de Configuración segura para Oracle OCI - Arquitecturas Híbridas
  • CCN-STIC CCN-STIC 889D - Guía de Configuración segura para Oracle OCI Database - Instancias VM
  • CCN-STIC CCN-STIC 889E - Guía de Configuración segura para Oracle OCI Compute - Instancias VM y Bare Metal
  • CCN-STIC CCN-STIC 889F - Guía de Configuración segura para Oracle C@C Sistemas Exadata - Autonomous DB

De cara a automatizar el análisis de la postura de seguridad de un ecosistema OCI, tenemos disponibles 2 repositorios públicos en GitHub, que se ejecutan desde OCI Cloud Shell/OCI CLI y validan la cuenta con las buenas prácticas del CIS.

Para los que no lo conozcan, CIS (Center for Internet Security) es una organización estadounidense sin ánimo de lucro que pone a nuestra disposición una serie de controles que no son más que unas buenas prácticas orientadas a mejorar la postura de ciberseguridad de los ecosistemas de IT.

De este modo, el resultado será una evaluación del ecosistema Oracle Cloud desde el punto de vista de seguridad y las buenas prácticas marcadas por el CIS, mostrando una evaluación de los servicios en base a su nivel de cumplimiento de dichas prácticas.

Como siempre, los datos por sí mismos pueden aportar valor, pero lo más importante es entender el negocio, la criticidadad, SLAs… Para poder determinar y priorizar cuáles de los gaps encontrados han de ser resueltos de manera inmediata y cuáles pueden planificarse a medio/largo plazo, ya que su posible impacto es menor.

 

Desde Neteris llevamos mucho tiempo analizando arquitecturas IT de nuestros clientes, tanto en el mundo On Premise como en la nube, mediante diferentes tipos de herramientas, lo que nos permite ayudar a nuestros clientes a interpretar los resultados obtenidos tras la ejecución de dichas herramientas.

Si quieres que te ayudemos a auditar tu ecosistema Oracle Cloud y a establecer una estrategia a la hora de determinar cuáles son las acciones que necesita negocio para que la plataforma tecnológica sobre la que se ejecuta sea más segura, estaremos encantados de ayudarte.

New call-to-action

Blogs Relacionados:

> Cloud de Oracle: 10 razones para mover a OCI

> ¿Oracle Cloud vs Azure? El fin de una rivalidad

> Maximiza tu ahorro con Oracle Cloud y Oracle Support Rewards

> Beneficios soluciones Cloud: Caso de éxito con OCI

> 4 beneficios de la nueva Región Oracle Cloud en Madrid

> Patterson elige Oracle OCI para transicionar a Cloud

> Oracle Cloud Monitoring Metrics: Monitorización diraria de métricas

Topics: Cloud & Infrastructure, Oracle Cloud Infrastructure (OCI)