El monitoreo de la seguridad -que implica tanto la seguridad de la información tradicional como la administración de incidencias (SIEM)- se puede hacer en algunos entornos de nuebe pública, según Gartner. Y ya es hora de que las organizaciones que utilizan este servicio, lo hagan.
No es una práctica común que las empresas monitoreen los activos que han trasladado a la nube, pero debería ser algo habitual, explicó Anton Chuvakin, analista de la firma de investigación, durante la celebración del Gartner Security and Risk Management Summit en Maryland (Estados Unidos). Siempre hay una “pérdida de control” al llevar los activos empresariales a la nube, pero “se puede compensar aumentando la visibilidad que da la recopilación de registros y el tráfico de red”.
La mayor parte de este monitoreo se realiza actualmente internamente, dentro de la red empresarial, utilizando herramientas SIEM, herramientas de prevención de pérdidas de datos y sistemas de prevención de intrusiones (ISS), que permiten tener una visión unificada tanto de la nube como del entorno tradicional. No obstante, podría haber restricciones de ancho de banda que hacen que las herramientas SIEM presenten “conflictos e incompatibilidades” en el entorno de la nube. Según el experto de Gartner, los responsables de seguridad tienen que preguntarse si su herramienta SIEM está preparada para la nube, y les permite recopilar los datos, los cuales son presentados en ocasiones en forma de instancias o aprovisionamiento dinámico.
El analista señaló que algunas herramientas SIEM son capaces de utilizar APIs de software-como-servicio específicas también para recopilar los logs de los servicios de la nube pública y ejemplificó con las herramientas de IBM y HP ArcSight, que ahora pueden monitorizar Salesforce.
Una segunda aproximación al monitoreo de la seguridad de los activos cloud es cargar una herramienta SIEM directamente en una IaaS. Aquí la ventaja es que las herramientas son familiares y no hay ningún requisito de ancho de banda. Sin embargo, posiblemente se incurriría en elevados costes de almacenamiento en la nube y, al final, se carece de una visión unificada sobre la monitorización en las instalaciones y en IaaS.
Una tercera posibilidad es la obtención de los datos desde el servicio en la nube, si está disponible, y entregarla a un proveedor de servicios de seguridad gestionada. Aquí el analista dejó patente que tiene sentido preguntarse por qué los proveedores de servicios en la nube no contribuyen más al proceso de monitorización de la seguridad y hacer que los datos SIEM estén más disponibles, ya que es obvio que sus clientes tienen esta necesidad.
