Revisiones de configuración cloud: retos y soluciones

La complejidad de gestionar y orquestar recursos cloud mediante herramientas, API y otros servicios que constituyen el plano de control de la nube conlleva un aumento del riesgo cibernético.

Los threat actors o actores de amenazas intentan constantemente explotar vulnerabilidades a través del plano de control cloud para comprometer tu entorno. A menudo, estos ataques aprovechan configuraciones erróneas del sistema para implementar tácticas adicionales.

Sin embargo, si estos fallos se identifican rápidamente, su corrección es económica, requiere pocos recursos y suele ser sencilla. Este artículo examina cómo las revisiones de configuración cloud (Cloud Config Reviews) te ayudan a descubrir configuraciones erróneas en tu entorno cloud, identificando el proceso que utilizan y las consecuencias que pueden ocasionar.

Atacando el plano de control cloud

El plano de control cloud es un componente crítico de la infraestructura, ya que rige todo lo que está en proceso o preparándose para el despliegue. Esto lo convierte en uno de los objetivos principales para los actores de amenazas.

Conseguir acceso privilegiado a este plano puede generar oportunidades para leer, manipular y destruir sistemas clave independientemente de los controles de seguridad de la red, y un alto riesgo de configuración errónea conlleva que a menudo se pueda hacer fácilmente.

La configuración incorrecta o subóptima de una aplicación, sistema u otro componente de un entorno, afecta a cada entorno (desde las redes tradicionales en las instalaciones hasta el IoT).

En el entorno cloud estas configuraciones erróneas incluyen:

  • Cuentas y contraseñas predeterminadas, que son públicamente conocidas y, por tanto, susceptibles de uso malicioso
  • Activos accesibles públicamente que contienen datos confidenciales y/o sensibles
  • Una gestión de identidad y acceso (Identity and Access Management) débil que aumenta la probabilidad de que las credenciales sean robadas o se utilicen indebidamente los permisos (de forma intencional o no)
  • Almacenamiento no seguro que deja datos sensibles expuestos a accesos no autorizados y robos
  • Servicios y recursos superfluos que aumentan tu superficie de ataque desconocida

Un threat actor capaz de acceder a tu plano de control cloud puede eludir las defensas de red tradicionales para modificar los permisos, agregar nuevas cuentas de usuario o alterar el acceso a los recursos objetivo desde ubicaciones externas.

También puede utilizar capacidades nativas del sistema para exfiltrar datos o robar recursos de cómputo con el propósito de minar criptomonedas.

cloud-configDiagrama de ruta de ataque de una revisión de configuración cloud de Claranet que se utilizó para identificar vectores de ataque aprovechables desde una cuenta de desarrollador comprometida.

Revisiones de configuración cloud: la solución a un problema común

Se espera que la mayoría de los fallos de seguridad en el entorno cloud provengan de configuraciones erróneas que serán prevenibles para 2025, entonces, ¿qué se puede hacer para reducir el riesgo?

Las revisiones de configuración cloud evalúan la postura de seguridad de todo tu plano de control cloud, y de las aplicaciones e infraestructura en el plano de datos subyacente, analizando la configuración de los activos. Una evaluación típica, como mínimo, debe incluir los siguientes elementos:

  • Mejores prácticas y estándares de la industria
  • Configuración de IAM y gestión de identidades privilegiadas (IdM)
  • Controles de seguridad de red y segmentación
  • Servicios públicos y expuestos
  • Gestión de claves y cifrado
  • Configuraciones seguras
  • Auditoría y registro
  • Higiene de la cuenta

Cómo funcionan las revisiones de configuración cloud?

Una revisión de configuración cloud típica es una prueba estructural de los sistemas en tus entornos de cloud pública, incluyendo:

  • Microsoft 365
  • Microsoft Azure
  • Amazon Web Services (AWS)
  • Google Cloud Platform (GCP)
  • Google Workspace

En su forma más básica, el ejercicio busca responder a la pregunta: los elementos clave de mi alojamiento cloud siguen las mejores prácticas de seguridad y operativas para la configuración? Sin embargo, existen ciertos enfoques que ofrecen mucha más profundidad y perspectiva contextual.

Recomendamos trabajar con un consultor que pueda diseñar y estructurar una evaluación personalizada alrededor de tu perfil de riesgo y amenaza, tu postura de seguridad, tu madurez (parcial, riesgos informados, repetible o adaptativo) y los resultados que deseas alcanzar. Estos varían drásticamente de una organización a otra, por lo que la personalización es muy importante.

Nuestra metodología ha sido diseñada para ayudar a las organizaciones a desarrollarse, desde las mejores prácticas fundamentales hasta pruebas más avanzadas, y permitir que aquellas con mayor madurez comiencen en un nivel avanzado. Aunque no está estrictamente jerarquizada, la metodología puede subdividirse libremente en niveles basados en los resultados de seguridad que busque la organización.

Nivel 1: Línea base de mejores prácticas

Nivel de madurez: todos.

Objetivo: medir la postura de seguridad general de tus cuentas del panel de control, recursos desplegados y cargas de trabajo cloud según los estándares de referencia de mejores prácticas de la industria:

  • CIS AWS Foundations Benchmark
  • AWS Foundational Security Best Practices Standards
  • CIS Microsoft 365 Foundations Benchmark
  • Office 365 UK Blueprint – Secure Configuration Alignment
  • CIS Microsoft Azure Foundations Benchmark
  • CIS GCP Foundations Benchmark

Resultado: garantizar que todos tus sistemas cloud principales estén configurados correctamente para no generar riesgos cibernéticos innecesarios.

El nivel 1 proporciona recomendaciones adecuadas para ayudarte a lograr un impacto universal mayor y más rápido implementando políticas, procedimientos y controles clave. Es una forma sencilla de reducir el riesgo cibernético asegurando que tu organización no quede tan expuesta ante un actor de amenazas que busque configuraciones erróneas.

Nivel 2: Revisión contextual

Nivel de madurez: riesgos informados, repetible, adaptativo.

Objetivo: extender la cobertura de prueba para incorporar más servicios y controles cloud, y proporcionar una evaluación de seguridad contextual de tus cuentas y configuraciones de servicio.

Resultado: mejorar considerablemente tu postura de seguridad a través del endurecimiento de los recursos cloud.

Si el nivel 1 establece la base universal para las mejores prácticas de configuración, el nivel 2 identifica configuraciones erróneas que afectan tanto al plano de control, como al plano de datos en una gama más amplia de servicios y activos cloud, basándose en cómo están desplegados y cómo se utilizan. La evaluación tiene en cuenta los siguientes aspectos:

  • El contexto de los sistemas que utilizas
  • La naturaleza de tu organización
  • Tus activos e infraestructura críticos

Este nivel de detalle revela la motivación y el modo en que los actores de amenazas podrían obtener y utilizar el acceso no autorizado a recursos clave, por ejemplo, obteniendo credenciales y secretos dentro de AWS Secrets Manager.

Nivel 3: Evaluación contextual dirigida

Nivel de madurez: repetible, adaptativo.

Objetivo: cuantificar el riesgo que representan las configuraciones erróneas en un sistema o entorno cloud delimitado sometiéndolo a un ataque cibernético simulado dirigido.

Resultado: identificar y evaluar el impacto potencial de las configuraciones erróneas dentro de los sistemas clave que están siendo explotados.

Esta evaluación contextual es similar a un pentesting cloud. Cuantifica el impacto real de un ataque cibernético motivado que intenta identificar y aprovechar un sistema mal configurado.

Llevarlo a cabo ayuda a comprender el nivel de riesgo introducido por dicho sistema respondiendo a la pregunta: "Puede un actor de amenazas con acceso a nuestro clúster cloud o servicio web obtener un punto de apoyo en nuestro entorno, cambiar funciones, exfiltrar sus datos y escalar privilegios?".

Se trata de una forma efectiva de demostrar (especialmente ante cualquier desarrollador o administrador escéptico) que las vulnerabilidades no son solo teóricas, y que la configuración errónea impacta de forma tangible en tu seguridad.

Los consultores trabajan con los administradores y desarrolladores de tu organización para revisar tu arquitectura de sistema y los métodos de despliegue. Se realiza un modelado de amenazas (threat modelling) para determinar posibles puntos de entrada y rutas de ataque que los actores de amenazas podrían usar. También es posible proporcionar una evaluación end to end de la postura de seguridad cloud general de tu organización analizando los siguientes aspectos:

  • Debilidades en el proceso de integración y despliegue continuo (CI/CD)
  • Acceso a componentes de infraestructura como Kubernetes

Controles de seguridad de configuración cloud

Los resultados de una revisión de configuración cloud deben incluir una lista de recomendaciones ordenadas según prioridad, y pruebas de concepto que te ayuden a entender el origen de tus configuraciones erróneas más frecuentes. Algunos de los remediation controls recomendados más comunes que surgen de estos ejercicios son los siguientes:

Gestión de usuarios y credenciales

  • Habilitar la autenticación multifactor (MFA) por defecto para todos los usuarios, sin excepción. Los tokens MFA basados en hardware y aplicaciones son preferibles a los SMS
  • Imponer políticas de contraseñas seguras y educar a los usuarios sobre la importancia de una buena gestión y mantenimiento de contraseñas, mediante el uso, por ejemplo, de una lista negra de contraseñas, rotación, etc
  • Proporcionar únicamente llaves que otorguen acceso adicional a la API a usuarios que requieran acceso programático a recursos cloud, y no por defecto. Mantener la asignación de keys en un máximo de una por usuario, excepto en el caso de rotación de llaves
  • Minimizar el acceso de invitados y terceros, y aplicar el Principle of Least Privilege (PoLP). Revisar las cuentas regularmente y eliminarlas cuando finalice la relación laboral
  • Aplicar un perfilado basado en el contexto y el riesgo de la actividad, y solicitudes de autenticación del usuario. Restringir el acceso basado en IP y dispositivo, bloqueando el uso de protocolos y servicios legados, y denegando el acceso que se base en la ubicación geográfica

Gestión de Privileged Identity Management (PIM)

Implementar prácticas seguras de gestión de Privileged Identity Management con múltiples niveles junto con los controles comunes de IAM como MFA y PoLP, incluyendo:

  • Cuentas administrativas solo para cloud
  • Cuentas administrativas dedicadas
  • Acceso de emergencia
  • Acceso Just-In-Time (JIT), que reduce el acceso permanente a cuentas privilegiadas, garantizando que los usuarios solo tengan los privilegios para acceder a cuentas sensibles cuando lo necesiten

Revisar regularmente la propiedad de los roles privilegiados y deshabilitarlos cuando ya no sean necesarios.

Least privilege

Un enfoque inteligente para crear políticas de acceso es comenzar denegando el acceso por defecto, agregando privilegios individuales adicionales a través de un proceso de solicitud y aprobación concreto.

Se recomienda una convención de nombres simple para grupos y roles que indique específicamente su nivel de acceso, con el fin de asegurar una buena higiene de cuenta y un mantenimiento mejorado. Aplicar permisos a nivel de grupo y rol, no directamente a los usuarios principales.

Controles de seguridad de red y firewalls

  • Crear una lista de "aprobar/denegar" direcciones IP y restringir el tráfico interno para reducir oportunidades de Lateral Movement. Denegación por defecto
  • Usar puntos finales privados cloud blackbone para conectar servicios a las API cloud sin necesidad de acceso a internet público

Cifrado

  • Asegurar los datos en tránsito y en reposo con cifrado Transport Layer Security (TLS)
  • Utilizar la clave maestra del cliente (CMK) y las llaves gestionadas por la plataforma (PMKs) para permitir a los administradores desvincular el acceso a las llaves de cifrado de los datos que protegen (en AWS)
  • Si tu organización debe seguir estándares estrictos de cumplimiento regulatorio, existen opciones de Hardware Security Modules (HSM) cloud para proporcionar dispositivos dedicados para la gestión de llaves de cifrado

Monitoreo de actividades sospechosas

  • Implementar soluciones de seguridad nativas o de terceros para monitorear eventos de seguridad de alto riesgo y actividades sospechosas que puedan indicar un compromiso de cuenta

Gestión de código fuente y configuración

  • Someter el código fuente a control de acceso, y proporcionarlo exclusivamente a desarrolladores y administradores que lo requieran para realizar sus tareas diarias
  • Inyectar de manera segura secretos en el proceso de despliegue utilizando una solución de gestión de secretos nativa que cifre y proteja los datos secretos de accesos no autorizados. No almacenar nunca secretos en archivos de configuración
  • Utilizar control de acceso basado en roles, roles entre cuentas incluidos. Estos pueden asumirse cuando se requiere acceso, y proporcionan un límite adicional de protección contra el acceso no autorizado a la cuenta. No codificar las llaves de acceso

Las revisiones de configuración cloud son un componente importante en cualquier programa de pruebas de seguridad, y pueden ayudarte a obtener ganancias inmediatas en tu postura de seguridad.

Para obtener más información y descubrir qué tipo de revisión de configuración cloud es adecuada para tu organización, puedes escribirnos a través del formulario de contacto.