¿Qué es el cifrado en la nube?

¿Cómo funciona el cifrado en la nube?

El cifrado en la nube protege la información confidencial mientras viaja por Internet o permanece en la nube. Los algoritmos de cifrado pueden transformar datos de cualquier tipo en un formato codificado que requiere una clave de descifrado para descifrarlo. De esta manera, incluso si un atacante intercepta o filtra los datos, estos serán inútiles a menos que pueda descifrarlos.

El cifrado en la nube protege los datos en dos estados básicos:

• Datos en tránsito entre destinos, a menudo fuera de una red segura, lo que los hace más vulnerables.
• Datos en reposo en un almacenamiento en la nube, un servidor de un centro de datos o similar, que no se utilizan ni se mueven.

Hoy en día, el cifrado del tráfico web HTTPS estándar utiliza el protocolo de seguridad de la capa de transporte (TLS; también conocido como SSL) para proteger cada paquete de datos. Cuando usuarios o entidades confiables (establecidos a través de autenticación multifactor) solicitan acceso a datos cifrados, los reciben en su estado cifrado y deben usar una clave de descifrado para que puedan utilizarse.

Dos tipos básicos de cifrado de datos

Todos los servicios y protocolos de cifrado en la nube se dividen en dos categorías principales: cifrado simétrico y asimétrico.

Cifrado simétrico

En el cifrado simétrico, se utiliza una única clave para cifrar texto simple y descifrar texto cifrado. Como ejemplo simple, si se codifica la palabra “gato” moviendo cada letra cuatro caracteres hacia adelante en el alfabeto (hasta “gex”), se podría hacer lo opuesto para decodificarla nuevamente como “gato”.

Los protocolos simétricos como el Estándar de cifrado avanzado (AES) y TLS (que también puede ser asimétrico; más sobre esto a continuación) se utilizan hoy en día porque son:

• Suficientemente complejo para ser seguro: descifrar AES con fuerza bruta podría llevar miles de millones de años
• Suficientemente simple para ser rápido, muy adecuado para manejar grandes conjuntos de datos y volúmenes de tráfico.

Sin embargo, este enfoque de clave única es más fácil de comprometer. Por ejemplo, si fuera necesario enviar una clave de cifrado a través de Internet, un atacante podría interceptarla y exponer los datos codificados.

Cifrado asimétrico

En el cifrado asimétrico, la codificación y la decodificación se realizan con pares de claves públicas y privadas vinculadas. Esto es como un candado codificado: se puede bloquear (usando una clave pública) sin saber el código, pero sólo la persona que conoce el código (la clave privada) puede volver a abrirlo.

Los enfoques asimétricos como la criptografía de curva elíptica (ECC), el algoritmo de firma digital (DSA) y TLS se utilizan hoy en día porque son:

• Menos susceptibles a las vulneraciones: las claves públicas expuestas no pueden exponer claves privadas y las claves privadas nunca necesitan transmitirse.
• Otra forma de autenticación: un remitente puede firmar un archivo con una clave privada para demostrar su origen al destinatario.

En comparación con el cifrado simétrico, la mayor desventaja del cifrado asimétrico es que, en términos generales, tiende a ser más lento.

Ventajas del cifrado en la nube

Cualquiera sea la forma que adopte, las principales ventajas de cualquier cifrado en la nube se centran en:

• Mejor ciberseguridad: proteja los datos frente a riesgos dondequiera que estén, en movimiento o en reposo, en la nube o con un usuario final.
• Cumplimiento más estricto: cumpla con los requisitos de cifrado de los estándares regulatorios como HIPAA, PCI DSS y FIPS.
• Menor riesgo: es posible que no sea necesario revelar algunas infracciones de datos si todos los datos involucrados en la infracción estaban cifrados.
• Mayor confianza y privacidad: refuerce la confianza en su organización, marca o producto enfatizando la privacidad en el manejo de datos, reforzada por un cifrado efectivo.

¿Cuándo necesita el cifrado en la nube?

Qué cifrar y cuándo depende de la naturaleza y las necesidades de seguridad de los datos. Por ejemplo, la Ley de Portabilidad y Responsabilidad del Seguro Médico (HIPAA) y el Estándar de Seguridad de Datos de la Industria de Tarjetas de Pago (PCI DSS) rigen cómo las organizaciones y entidades de asistencia sanitaria que procesan las transacciones de crédito/débito, respectivamente, deben manejar el cifrado de datos para evitar multas o consecuencias legales. También existen muchas regulaciones gubernamentales a nivel mundial, como los Estándares Federales de Procesamiento de Información (FIPS) en los EE. UU.

Existen marcos de cumplimiento para reducir el riesgo de infracciones de datos, pero no se puede ignorar una verdad simple: las infracciones continúan. Esto se debe en parte a que las diferentes implementaciones y proveedores de la nube están sujetos a diferentes regulaciones, cumplen diferentes políticas y tienen diferentes vulnerabilidades. En resumen, para mantener una fuerte seguridad en la nube, es mejor cifrar la mayor cantidad de datos posible, siempre que sea posible, independientemente de los requisitos de seguridad específicos de los datos.

Ejemplo real: Infracción de Equifax

La infracción de datos de 2018 a la empresa de informes crediticios Equifax expuso la información de identificación personal (PII) de más de 148 millones de personas. Unas prácticas adecuadas de cifrado e inspección habrían hecho que esto fuera mucho menos probable.

La infracción pasó desapercibida durante 10 meses porque un certificado de sitio vencido permitió que el tráfico cifrado pasara sin inspección, lo que permitió al atacante filtrar datos de clientes a través de una conexión cifrada sin ser detectado. Además, si los datos hubieran sido cifrados antes de ser cargados, los atacantes sólo habrían expuesto un texto cifrado ilegible.

Por qué también es importante inspeccionar el tráfico cifrado

El cifrado seguro es crucial, pero sin inspección únicamente crea puntos ciegos.

Según el Informe de Transparencia de Google, a nivel mundial, más del 90 % del tráfico a Google está cifrado. Esto mantiene seguros los datos confidenciales, pero también puede ayudar a ocultar los ataques. La investigación de Zscaler ha descubierto que más del 87 % de los ataques ahora se producen a través de canales cifrados.

Es más fácil (y más frecuente) decirlo que hacerlo

A pesar del riesgo, la mayoría de las organizaciones no descifran ni inspeccionan la mayor parte de su tráfico cifrado, lo que las deja vulnerables. Esto tiene varias causas:

• Una inspección completa requiere una enorme cantidad de potencia de procesamiento. La enorme popularidad de la computación en la nube significa que hay más tráfico en Internet que nunca, lo que agrava aún más el problema. Muchas organizaciones utilizan hardware de seguridad heredado que no tiene la capacidad de ofrecer rendimiento y seguridad al mismo tiempo.
• Algunas organizaciones no inspeccionan el tráfico “de confianza”. Los proveedores de servicios como Google, Microsoft y AWS mantienen sus propios controles de seguridad de la información, que muchas organizaciones consideran protección suficiente. Los atacantes lo saben, lo que hace que el tráfico de estos proveedores sea una forma popular de infiltrarse en un entorno objetivo.
• Algunos proveedores tradicionales consideran que el descifrado dirigido es una buena práctica. En relación con los dos puntos anteriores, los proveedores de hardware de cortafuegos con capacidad limitada a menudo publican “mejores prácticas” de implementación que recomiendan descifrar el tráfico solo en categorías de URL de “alto riesgo”, mientras que confían en el resto. Eche un vistazo al gráfico aquí para ver lo que eso podría significar.

Lea La inspección SSL conlleva una gran responsabilidad para obtener más información.

Cifrado e inspección en la nube en el panorama actual

Veámoslo desde el inicio. El volumen del tráfico web se ha disparado en los últimos años y las organizaciones que no han actualizado o reemplazado sus soluciones de seguridad locales hacen frente a más ataques, lidian con un rendimiento de SaaS y de la nube en general mucho más lento o probablemente ambos.

Al mismo tiempo, ha habido una explosión en la dependencia de los proveedores de almacenamiento en la nube y de los servicios en la nube, entre los que hay muchos tipos diferentes con distintos equilibrios de responsabilidad de seguridad.

Y, por último, junto con muchos nuevos proveedores y servicios de nube, los proveedores más antiguos están trabajando para mantenerse en activo y ofrecen recomendaciones sobre cómo puede mantenerse lo suficientemente seguro mientras continúa usando sus soluciones para casos de uso que no fueron diseñados para abordar.

El problema radica en esa idea de estar “suficientemente seguro”. Ante el aumento de los ataques, “lo más seguro posible” es una mejor manera de avanzar. Para minimizar verdaderamente el riesgo y reducir los costos, su solución de inspección debe ser capaz de escalar para descifrar, inspeccionar y volver a cifrar todo el tráfico, cualquiera sea su origen, sin ralentizar sus operaciones; de lo contrario, en el mejor de los casos, sólo trasladará los costos. Y, en el peor de los casos, no está "lo suficientemente seguro".

Zscaler y cifrado en la nube

Zscaler Internet Access™ (ZIA™), parte de la plataforma Zscaler Zero Trust Exchange™, ofrece inspección completa a escala de la nube, incluido el tráfico cifrado, sin degradar el rendimiento. Un servicio completamente nativo de la nube, la plataforma aprovecha una arquitectura de proxy en la nube avanzada para descifrar, inspeccionar y volver a cifrar el 100 % del tráfico hacia o desde cualquier destino o usuario, protegiendo a sus usuarios y a toda su organización de las amenazas que se esconden en los canales cifrados.