Resumen de la charla de Bill Murray en el AWS Summit 2016 (Madrid)
Los ejes principales de la seguridad son:
- visibilidad: lo que no se ve o no se conoce, no existe. Está fuera de control. De ahà la importancia de disponer de una imagen fidedigna y actualizada (idealmente, en tiempo real) del entorno de ejecución. Bien a nivel fÃsico (¿para qué sirve el servidor X del armario Y?) como en la nube (¿cuántas «instancias» están en uso para la aplicación Z?)
- «auditabilidad»
- «controlabilidad»
- agilidad
El departamento de seguridad debe usar una pedagogÃa positiva. En lugar de frustrar a los usuarios con un «no, eso no está permitido», mostrarles la forma más segura de llevar a cabo sus propósitos con un «sÃ, hazlo asû.
La seguridad también se puede automatizar y registrar con plantillas («seguridad por diseño»). Definir unos valores sensatos por defecto: quién puede acceder a qué, y cuándo.
Es importante separar las responsabilidades y capacidades. Aunque el CIO sea el responsable y «dueño» de la infraestructura, no deberÃa tener acceso fÃsico a los centros de datos. Limitar el número de cuentas privilegiadas y, periódicamente, revisar a la baja los roles de cada identidad.
Hoy en dÃa el cifrado puede ser fácil y asequible. Con lo cual, no hay motivo para que no sea ubicuo.
Una vez más, los registros resultan de gran utilidad.