Checklist de recomendaciones de seguridad para servicios en la nube.
1. Verifique el Acuerdo de nivel de servicio (SLA) para asegurarse de que se haya identificado la política apropiada entre las partes y se hayadefinido claramente el alcance. En muchos casos, los elementos se reparten entre varios jugadores, como el CSP (Políticas de Seguridad de Contenido)y el cliente, por lo que es necesario documentar claramente quién hace qué y cuándo debe hacerse.
2. Los requisitos de gobierno y cumplimiento deben ser entendidos. Los factores deben incluir qué parte será responsable de definir, configurar yvalidar la configuración de seguridad requerida para cumplir con los controles reglamentarios aplicables para su negocio. Esto incluye proporcionarevidencia apropiada para auditorías e inspecciones.
3. Seguridad, vulnerabilidad, parches, responsabilidades y los plazos de mantenimiento generales deben documentarse. Usted como cliente puede serresponsable de mantener sus imágenes y recursos virtuales, pero el CSP probablemente será responsable de los sistemas de hardware físicossubyacentes. Ambos deben ser administrados activamente, junto con todos los equipos de red y SAN.
4. El acceso a las computadoras y las políticas de uso de Internet deben definirse claramente e implementarse correctamente para garantizar que sepermita el tráfico adecuado, mientras que el tráfico inadecuado se deniega en el perímetro.
5. Asegúrese de que todos los puertos no utilizados estén deshabilitados y los protocolos no utilizados no estén instalados o deshabilitados y esténbloqueados para evitar la activación no autorizada.
6. El cifrado de datos, tanto en tránsito como en reposo, se está volviendo más común, pero nunca se asume. Asegúrese de que el cifrado estéconfigurado como predeterminado o que se implementen los pasos apropiados para garantizar que esté activado.
7. Verifique que sus requisitos para la autenticación de dos factores y las contraseñas de un solo tiempo estén implementados y que esténprotegiendo activamente el acceso a la red. Compruebe si su CSP permite cualquier escenario de bypass.
8. SSL es tan bueno como la Autoridad de Certificación (CA) que emitió los certificados. Asegúrese de que SSL esté activo y de que una CA acreditadarespalde los certificados.
9. Haga que su CSP sea responsable y valide que están utilizando los controles de seguridad adecuados para el acceso físico y lógico al centro dedatos y al hardware de infraestructura con el que proporcionan sus servicios.
10. Conozca la política y los procedimientos de su CSP relacionados con la divulgación de datos a terceros, tanto para el acceso no autorizado comopara proporcionar datos cuando los solicite la ley o los cite.
