El mundo del desarrollo de software ha estado experimentando cambios revolucionarios en los últimos años. La transición de una aplicación monolítica a un entorno de microservicios sobre contenedores requiere un enfoque diferente al tema de la seguridad de la información.


El enfoque actual es que los procedimientos de seguridad impuestos originalmente a los equipos de seguridad de la información y TI están cambiando al entorno de desarrollo, lo que significa que la responsabilidad del nivel de endurecimiento del código también recae en los desarrolladores. Además, el rápido ritmo de desarrollo requiere probar las debilidades en la etapa de desarrollo en lugar de esperar hasta que finalice.

Los principales proveedores de servicios en la nube son:

  • Amazon (AWS): sus servicios en la nube se denominan Amazon Web Services. Proporcionan una solución integral para el cliente. La principal ventaja de AWS radica en la gran comunidad de usuarios y la madurez de la plataforma, lo que ayuda a las grandes organizaciones debido a la gran cantidad de servicios y socios comerciales.
  • Google (GCP): los servicios en la nube se denominan Google Cloud Platform. La mayoría de las personas que eligen esta plataforma lo hacen por la integración y el soporte para sistemas de código abierto. Además, el sistema tiene puntos fuertes en el campo del aprendizaje automático, así como en aplicaciones escritas inicialmente para la nube.
  • Microsoft (Azure): los servicios en la nube de Microsoft están muy extendidos porque se integran con el resto de los servicios de desarrollo de la empresa. Además, habilitan un entorno de trabajo híbrido gracias a la posibilidad de configurar un Controlador de Dominio en Azure. Esta ventaja permite una sinergia sin esfuerzo en organizaciones que también utilizan servidores en las instalaciones.
  • A todos ellos hay que sumar el proyecto Nimbus para proporcionar servicios en la nube a los ministerios del gobierno israelí. Nimbus estará sujeto a las leyes del Estado de Israel e inevitablemente provocará la migración de muchos sistemas a la nube dentro del territorio de Israel.

¿Quiénes serían los posibles candidatos para las pruebas de penetración para sistemas en la nube?

  • Organizaciones que entienden la necesidad de controles de seguridad en todos los niveles de código.
  • DevOps que buscan un protocolo de prueba que sea integrador con los desarrolladores y varios equipos de seguridad.

¿Cuáles son las ventajas de realizar Pruebas de Penetración para Sistemas en la Nube?

  • El examen del código desarrollado y las interfaces es profesional y objetivo.
  • El examen proporciona una respuesta completa al cliente, con una visión integral del sistema que incluye una prueba estática y dinámica.
  • Un probador de penetración profesional examina el sistema y el cliente recibe una lista formal de hallazgos y pautas para manejar las debilidades que se descubren.

¿Cuáles son los aspectos más destacados de la prueba?

Los ensayos se realizan de acuerdo con la metodología NIST, que constituye la norma internacional

estándar en el campo, así como las mejores prácticas de los proveedores de la nube, e incluyen un examen de los siguientes temas:

  • Responsabilidad y riesgo de datos.
  • Federación de identidad de usuario.
  • Cumplimiento legal y normativo.
  • Continuidad del negocio y resiliencia.
  • Privacidad del usuario y uso secundario de datos.
  • Integración de servicios y datos.
  • Multiusuario y seguridad física.
  • Análisis de incidencias y forense.
  • Seguridad de Infraestructura.
  • Exposición al entorno no productivo.

Una prueba de penetración en la nube requiere un probador con experiencia en entornos de nube. La experiencia profesional impacta decisivamente en el número de hallazgos y la capacidad de evaluar su gravedad. ¡Nunca se debe jugar con la profesionalidad! Siempre verifique que el pentester sea un empleado de la empresa, tenga las certificaciones necesarias y tenga un seguro de responsabilidad profesional.