Adoptar un enfoque de seguridad por capas

author-image

Por

Adoptar un enfoque de seguridad por capas
Uno de los desafíos al asegurar la infraestructura de la nube es que la superficie de ataque es muy grande. Las vulnerabilidades podrían ser aprovechadas a nivel de aplicación, sistema operativo, hipervisor, BIOS o firmware. Esto implica que debe protegerse una pila diversa y compleja, a la vez que se preserva la apertura necesaria para acoger cargas de trabajo de forma eficaz.

Si el malware logra infiltrarse en una capa de la infraestructura, toda la pila se verá comprometida. El malware a nivel de firmware o de BIOS puede ser especialmente difícil de detectar y eliminar usando software. Estas capas no son volátiles, por lo que cualquier malware sobrevivirá un reinicio radical y cualquier cosa a este nivel podría tener acceso con altos privilegios a las capas más altas, e incluso directamente a los datos.

Adición de protección de capas múltiples
No existe una solución única que pueda proteger toda la pila: es necesario usar múltiples soluciones en conjunto para asegurar que cada capa de la infraestructura esté protegida.

• Protección del firmware: empiece por establecer una raíz de confianza en el hardware. Intel® Boot Guard puede utilizarse para crear una raíz de confianza para la medición (RTM) criptográfica del firmware temprano, para que pueda actuar si ha sido manipulado. La tecnología Intel® Platform Firmware Resilience (Intel® PFR) puede comprobar que la firma del firmware es correcta al inicio y verificar que el comportamiento del arranque es normal. Sin embargo, más que eso puede asegurar que solo los comandos aceptados puedan acceder a la memoria flash y de recuperación, y restablecer el firmware a un estado sano si este está comprometido.

• Protección de BIOS, SO e hipervisor: Intel® Trusted Exection Technology (Intel® TXT) está diseñado para fortalecer las plataformas frente a amenazas de ataques a hipervisores, BIOS u otros ataques de firmware, instalaciones de rootkit maliciosas y ataques basados en software. Aumenta la protección permitiendo un mayor control de la pila de lanzamiento a través de un Ambiente de arranque medido (MLE) y habilitando el aislamiento en el proceso de arranque. Al ultilizar Intel® TXT, puede verificar la instalación segura y el arranque de un hipervisor o un sistema operativo.

• Protección de la aplicación: robar datos sensibles y código propietario suele ser el objetivo del malware. Intel® Software Guard Extensions (Intel® SGX) se introdujo en la familia de procesadores escalables Intel® Xeon® y permite crear enclaves seguros y protegidos en el hardware. Solo se puede acceder al código y los datos contenidos en estos enclaves seguros con códigos de aplicaciones fiables. Mientras el cifrado puede proteger los datos en reposo, Intel® SGX también los protege en uso y los aísla del malware con privilegios a nivel de sistema operativo, hipervisor, o BIOS.

Convirtiendo la seguridad en ganancias
Los proveedores de servicios en la nube deben aumentar su seguridad como medida defensiva, pero una seguridad mejorada es también una oportunidad para hacer crecer el negocio. Puede resultar más sencillo atraer clientes de industrias altamente reguladas si puede demostrar que cumple las Directrices de resiliencia de firmware de plataforma NIST SP800-193, por ejemplo, lo cual Intel® PFR puede ayudarle a conseguir.

También puede poder establecer servicios basados en tecnologías de seguridad mejorada. El proveedor de servicios en la nube PhoenixNAP ofrece la Nube de seguridad de datos: un servicio de virtualización que ofrece a los clientes herramientas de seguridad, con el apoyo de un equipo para supervisar y gestionar la seguridad. Equinix utiliza Intel® SGX para crear una oferta de Software como servicio (SaaS) de gestión de claves y cifrado.

Para obtener más información sobre el aumento de la seguridad en su infraestructura, consulte la nueva guía electrónica de Intel: Tres capas de seguridad para una nube más segura.