¿Qué es el cifrado en la nube?

¿Cómo funciona el cifrado en la nube?

El cifrado en la nube protege la información confidencial a medida que pasa por Internet o se aloja en la nube. Los algoritmos de cifrado pueden transformar datos de cualquier tipo en un formato codificado que requiere una clave de descifrado. De esta manera, incluso si un atacante intercepta o exfiltra los datos, estos serán inútiles a menos que pueda descifrarlos.

El cifrado en la nube protege los datos en dos estados básicos:

• Datos en tránsito entre destinos, a menudo fuera de una red segura, lo que los hace más vulnerables.
• Datos en reposo en el almacenamiento en la nube, en un servidor de un centro de datos o similar, y que no se utilizan ni se mueven.

En la actualidad, el cifrado estándar del tráfico web HTTPS utiliza el protocolo Transport Layer Security (TLS; también conocido como SSL) para proteger cada paquete de datos. Cuando usuarios o entidades de confianza (establecidos mediante autenticación multifactor) solicitan acceso a datos cifrados, los reciben en su estado cifrado y deben utilizar una clave de descifrado para que puedan utilizarse.

Dos tipos básicos de cifrado de datos

Todos los servicios y protocolos de cifrado en la nube se dividen en dos categorías principales: cifrado simétrico y asimétrico.

Cifrado simétrico

En el cifrado simétrico, se utiliza una única clave para cifrar texto simple y descifrar texto cifrado. Por poner un ejemplo sencillo, si codificara la palabra “gato" desplazando cada letra cuatro caracteres hacia delante en el alfabeto hasta “kexs”, podría hacer lo contrario para descodificarla de nuevo a "gato".

Los protocolos simétricos como el Estándar de Cifrado Avanzado (AES) y TLS (que también pueden ser asimétricos; más sobre esto a continuación) se utilizan en la actualidad porque son:

• Lo suficientemente complejo como para ser seguro: descifrar AES con fuerza bruta podría llevar miles de millones de años
• Lo suficientemente sencillo como para ser rápido: adecuado para tratar grandes conjuntos de datos y volúmenes de tráfico

Sin embargo, este enfoque de clave única es más fácil de comprometer. Por ejemplo, si fuera necesario enviar una clave de cifrado a través de Internet, un atacante podría interceptarla y exponer los datos codificados.

Cifrado asimétrico

En el cifrado asimétrico, la codificación y la decodificación se realizan con pares de claves públicas y privadas vinculadas. Es como un candado codificado: se puede cerrar (mediante una clave pública) sin saber el código, pero solo la persona que sabe el código (la clave privada) puede volver a abrirlo.

Los enfoques asimétricos como la criptografía de curva elíptica (ECC), el algoritmo de firma digital (DSA) y TLS se utilizan actualmente porque son:

• Menos vulnerables a compromisos: las claves públicas expuestas no pueden revelar las claves privadas, y las claves privadas nunca necesitan ser transmitidas.
• Otra forma de autenticación: un remitente puede firmar un archivo con una clave privada para demostrar su origen al destinatario.

En comparación con el cifrado simétrico, la mayor desventaja del cifrado asimétrico es que, en términos generales, tiende a ser más lento.

Ventajas del cifrado en la nube

Sea cual sea la forma que adopte, las principales ventajas de cualquier cifrado en la nube se centran en:

• Mejor ciberseguridad: proteja los datos de los riesgos dondequiera que estén, en movimiento o en reposo, en la nube o con un usuario final.
• Cumplimiento más estricto: cumpla los requisitos de cifrado de normas reglamentarias como HIPAA, PCI DSS y FIPS.
• Menor riesgo: puede que no sea necesario revelar algunas violaciones de datos si todos los datos implicados en la violación estaban cifrados.
• Mayor confianza y privacidad: Refuerce la confianza en su organización, marca o producto enfatizando la privacidad en el tratamiento de los datos, consolidada por un cifrado eficaz.

¿Cuándo necesita el cifrado en la nube?

Qué cifrar y cuándo depende de la naturaleza y las necesidades de seguridad de los datos. Por ejemplo, la Ley de Portabilidad y Responsabilidad de los Seguros Médicos (HIPAA) y la Norma de Seguridad de Datos del Sector de las Tarjetas de Pago (PCI DSS) rigen el modo en que las organizaciones sanitarias y las entidades que procesan transacciones de crédito/débito, respectivamente, deben gestionar el cifrado de datos para evitar multas o consecuencias legales. También existen muchas regulaciones gubernamentales a nivel mundial, como los Estándares Federales de Procesamiento de Información (FIPS) en los EE. UU.

Existen marcos de cumplimiento para reducir el riesgo de violaciones de datos, pero no se puede ignorar una simple verdad: las violaciones continúan. Esto se debe en parte a que las diferentes implementaciones y proveedores de la nube están sujetos a diferentes regulaciones, cumplen diferentes políticas y tienen diferentes vulnerabilidades. En resumen, para mantener una seguridad sólida en la nube, lo mejor es cifrar la mayor cantidad de datos posible, siempre que sea posible, independientemente de los requisitos específicos de seguridad de los datos.

Ejemplo real: Violación de Equifax

La violación de datos de 2018 a la empresa de informes crediticios Equifax expuso la información de identificación personal (PII) de más de 148 millones de personas. De haber contado con prácticas adecuadas de cifrado e inspección, esto habría sido mucho menos probable.

La violación pasó desapercibida durante 10 meses porque un certificado caducado del sitio dejaba pasar el tráfico cifrado sin ser inspeccionado, lo que permitió al atacante exfiltrar datos de clientes a través de una conexión cifrada sin ser detectado. Además, si los datos hubiesen sido cifrados antes de ser cargados, los atacantes solo habrían expuesto un texto cifrado ilegible.

Por qué también es importante inspeccionar el tráfico cifrado

El cifrado seguro es crucial, pero sin inspección solo crea puntos ciegos.

Según el Informe de Transparencia de Google, más del 90 % del tráfico a nivel mundial hacia Google está cifrado. Esto mantiene a salvo los datos confidenciales, pero también puede ayudar a ocultar los ataques. La investigación de Zscaler ha descubierto que más del 87 % de los ataques ahora ocurren a través de canales cifrados.

Más fácil (y más a menudo) decirlo que hacerlo

A pesar del riesgo, la mayoría de las organizaciones no descifran ni inspeccionan la mayor parte de su tráfico cifrado, lo que las deja vulnerables. El “por qué” se reduce a unos cuantos motivos:

• Una inspección completa requiere una enorme potencia de procesamiento. La desbordante popularidad de la computación en nube significa que hay más tráfico en Internet que nunca, lo que agrava aún más el problema. Muchas organizaciones utilizan hardware de seguridad heredado que no tiene la capacidad de ofrecer rendimiento y seguridad al mismo tiempo.
• Algunas organizaciones no inspeccionan el tráfico “confiable”. Los proveedores de servicios como Google, Microsoft y AWS mantienen sus propios controles de seguridad de la información, que muchas organizaciones consideran protección suficiente. Los atacantes lo saben, lo que hace que el tráfico de estos proveedores sea una manera popular de infiltrarse en un entorno objetivo.
• Algunos proveedores tradicionales consideran que el descifrado dirigido es una buena práctica. En relación con lo anterior, los proveedores de hardware de firewall de capacidad limitada publican a menudo "mejores prácticas" de implementación que recomiendan descifrar únicamente el tráfico en categorías de URL de "alto riesgo", confiando en el resto. Eche un vistazo al gráfico a continuación para ver lo que esto podría significar.

Lea La inspección SSL conlleva una gran responsabilidad para obtener más información.

Cifrado e inspección en la nube en el panorama actual

Veámoslo desde una perspectiva básica. El volumen de tráfico web se ha disparado en los últimos años, y las organizaciones que no han actualizado o sustituido sus soluciones de seguridad locales se enfrentan a más ataques, tienen que lidiar con un rendimiento mucho más lento del SaaS y de la nube en general, o probablemente con ambas cosas.

Al mismo tiempo, ha habido una explosión en la dependencia de proveedores de almacenamiento en la nube y servicios en la nube, de los cuales existen muchos tipos diferentes con distintos niveles de responsabilidad en cuanto a la seguridad.

Y finalmente, junto con muchos nuevos proveedores y servicios en la nube, los proveedores más antiguos se esfuerzan por mantenerse operativos, ofreciendo recomendaciones sobre cómo mantenerse lo suficientemente seguro al seguir utilizando sus soluciones para casos de uso para los cuales no fueron diseñadas.

El problema radica en esa idea de estar “suficientemente seguro”. Ante el aumento de los ataques, “lo más seguro posible” es una mejor manera de avanzar. Para minimizar verdaderamente el riesgo y reducir los costos, su solución de inspección debe ser capaz de escalar para descifrar, inspeccionar y volver a cifrar todo el tráfico, independientemente de su origen, sin ralentizar sus operaciones; de lo contrario, en el mejor de los casos, solo trasladará los costos. Y, en el peor de los casos, no estará "lo suficientemente seguro".

Zscaler y cifrado en la nube

Zscaler Internet Access™ (ZIA™), parte de la plataforma Zscaler Zero Trust Exchange™, ofrece inspección completa a escala de la nube, incluido el tráfico cifrado, sin degradar el rendimiento. La plataforma, un servicio totalmente nativo en la nube, aprovecha una avanzada arquitectura de proxy en la nube para descifrar, inspeccionar y volver a cifrar el 100 % del tráfico hacia o desde cualquier destino o usuario, protegiendo a sus usuarios y a toda su organización de las amenazas que se esconden en los canales cifrados.