Prefacio

Este trabajo se ha traducido utilizando IA. Agradecemos tus opiniones y comentarios: translation-feedback@oreilly.com

Hace 25 años, unos colegas de EE.UU. viajaron al Reino Unido para ayudarnos a desarrollar un método y un curso para formar a una nueva cohorte de arquitectos de seguridad. Por aquel entonces, la mayoría de los sistemas con los que tratábamos eran de gama media o mainframes que ejecutaban una variante de Windows o Unix, y la mayoría de las redes eran internas o privadas. Internet, la computación en nube, las aplicaciones en contenedores, el trabajo ágil, la automatización y la IA son ejemplos del tremendo cambio que ha experimentado el mundo de los sistemas de información.

Nube híbrida para simplificar

Nos referiremos a la nube híbrida en todo momento para simplificar. Donde veas "nube híbrida", lee también que puede incluir varios servicios en la nube o ser "multicloud".

Aunque muchas cosas han cambiado, los principales conceptos de arquitectura de seguridad que creamos hace 25 años han permanecido constantes. Empezamos con el siguiente conjunto de conceptos estándar:

  • Los principios rectores (u objetivos de diseño de seguridad), basados en la protección frente a la pérdida de confidencialidad, integridad y disponibilidad, sientan las bases sobre cómo aplicar los controles de seguridad.

  • Un conjunto de dominios de seguridad, que denominamos subsistemas, para agrupar los controles de seguridad.

  • El modelado de amenazas examinaba los datos en tránsito y en reposo para identificar las amenazas y las contramedidas para protegerlos. (Aunque en aquella época no lo llamábamos modelado de amenazas y utilizábamos ideas de los Criterios Comunes para describir latécnica).

  • Segmentación de la red de un centro de datos mediante zonas y cortafuegos.

  • Un marco de controles basado en los perfiles de protección de los Criterios Comunes, que proporciona un catálogo de requisitos para los controles de seguridad.

  • La documentación y las pruebas garantizaron laaplicación de los controles de seguridad.

En este libro cubrimos estos conceptos, pero muchas cosas han cambiado. Un cambio importante que ha tenido un impacto significativo en el pensamiento arquitectónico es el paso a la arquitectura híbrida (que utiliza tanto las instalaciones locales como la nube) y multicloud. Se está convirtiendo en una arquitectura de plataforma estándar para muchas organizaciones, pero ha multiplicado el número de plataformas tecnológicas diferentes y el número de políticas de seguridad que hay que aplicar.

Las amenazas se han ampliado, las plataformas tecnológicas son cada vez más complejas y los mecanismos de protección se han vuelto más sofisticados. Las organizaciones utilizan ahora muchas plataformas tecnológicas y proveedores de servicios diferentes que aplican muchas políticas de seguridad distintas utilizando tecnologías diferentes. Diseñar una seguridad eficaz en un entorno tan complejo supone un enorme reto.

¿Qué son los artefactos?

Una palabra que oirás a menudo es el término "artefacto". Este término representa el contenido, como un diagrama o una tabla, creado durante el proceso de pensamiento arquitectónico. La combinación de artefactos en un documento o presentación describe la arquitectura de una solución. Algunos artefactos dependen de la creación de otros artefactos. Un diagrama de dependencia de artefactos es útil para describir el conjunto de todos los artefactos y susdependencias.

Hemos actualizado el método de hace 25 años para incluir técnicas que permitan manejar la complejidad de la nube híbrida, y lo hemos probado durante los últimos siete años con más de 1.000 IBMers y estudiantes de máster. El método actual refleja los cambios en el contexto de la industria y las mejoras en el pensamiento arquitectónico, incluyendo:

  • Un diagrama de dependencia de artefactos muestra los dominios de pensamiento arquitectónico y las dependencias entre artefactos.

  • Integración de los principios de confianza cero en todo el método.

  • Integración con otras técnicas de pensamiento arquitectónico y gestión de proyectos, como el pensamiento de diseño, las prácticas ágiles y DevSecOps.

  • Coherencia de los diagramas de arquitectura para describir los componentes funcionales y la arquitectura de implementación.

  • Introducción de nuevos artefactos que describen las complejas responsabilidades compartidas de la nube híbrida y nuevos diagramas de arquitectura de la nube.

  • Introducción de nuevos marcos de control para utilizarlos como catálogos de requisitos, incluido el Marco de Ciberseguridad del Instituto Nacional de Estándares y Tecnología (NIST), el NIST SP 800-53 Controles de Seguridad y Privacidad para Sistemas de Información y Organizaciones, y la Matriz de Controles en la Nube (CCM) de la Cloud Security Alliance (CSA).

  • Incorporación de nuevas técnicas para la definición de requisitos funcionales, como el pensamiento de diseño y las historias de usuario.

  • Introducción de técnicas actualizadas para el modelado de amenazas, ya que la industria ha desarrollado nuevas prácticas.

  • La segmentación de las redes se ha transformado en microsegmentación, ya que cada vez es más fácil configurar redes con redes privadas virtuales en la nube.

  • Aceleración del proceso de pensamiento arquitectónico mediante el uso de patrones de arquitectura y arquitecturas desplegables.

  • Extensión del método para incluir la definición de procesos y procedimientos de operaciones de seguridad, incluida la detección y respuesta a amenazas.

  • Inclusión de la trazabilidad de los requisitos, la descomposición de la arquitectura y las amenazas para apoyar la demostración del cumplimiento y la detección y respuesta a las amenazas.

La arquitectura de seguridad tiene un papel importante que desempeñar a lo largo de las distintas fases del diseño y la entrega de un sistema de información. Este libro se centrará en los artefactos y técnicas para diseñar la seguridad que pueden superponerse a los métodos existentes utilizados en el desarrollo de sistemas y software. Utilizar métodos y artefactos para comunicar claramente los controles de seguridad necesarios durante la implementación introducirá rigor. Queremos que puedas aplicar este pensamiento a los métodos y prácticas de desarrollo que ya estés utilizando.

Piensa en esto como si fuera tu "bolsa de herramientas", con herramientas y técnicas que puedes coger y utilizar cuando sea necesario. No sientas que tienes que aplicar rígidamente todo lo que aparece en este libro. Lo más importante es que este libro te inculque el pensamiento arquitectónico sistemático adecuado para integrar la seguridad en los sistemas, de modo que puedas proteger eficazmente el procesamiento de activos sensibles. Esperamos que muchos de vosotros creéis vuestras propias técnicas para complementar lo que describimos.

Para los arquitectos de seguridad, aunque tu objetivo principal sea mitigar los riesgos protegiendo los activos valiosos, esto no significa que debas anular las demás cualidades que se exigen a una solución, como el rendimiento, la disponibilidad, la capacidad de recuperación o el coste. Aunque tu función es principalmente proteger el negocio, también tienes que ser consciente de los demás impulsores de tu organización.

Audiencia

Hemos escrito este libro para cualquiera que esté diseñando la arquitectura de los controles de seguridad y la integración de los mismos en un sistema de información. El pensamiento arquitectónico para la seguridad no es sólo para un arquitecto de seguridad; es responsabilidad de todos los arquitectos que diseñan un sistema de información. Por eso este libro es adecuado para cualquiera que participe en la arquitectura de sistemas.

En la actualidad, enseñamos estos conceptos y técnicas como parte de los módulos de licenciatura en ciberseguridad de los másteres certificados por el NCSC británico en dos universidades del Reino Unido. El libro amplía progresivamente los conceptos y técnicas a lo largo de todo el texto, por lo que resulta adecuado para su uso en la enseñanza. Hemos escrito este libro gracias a los antiguos alumnos que nos pidieron un libro para estudiar.

Suponemos que ya tienes unos amplios conocimientos sobre sistemas de información y computación en la nube. Un poco de experiencia práctica te permitirá tomar buenas decisiones arquitectónicas. Los arquitectos no aprenden dibujando diagramas; construyen su experiencia mediante la entrega práctica de aplicaciones e infraestructuras. Muchos arquitectos en activo de todo el mundo utilizan este enfoque.

Contenido de este libro

Este libro te lleva a través del proceso de pensamiento arquitectónico, desde la comprensión del contexto de la solución, la recopilación de requisitos, la definición de la arquitectura y la definición de las operaciones de seguridad para asegurar la ejecución de una carga de trabajo o aplicación. El análisis de cada técnica te permite comunicar con mayor eficacia las características de seguridad de cada parte de la solución.

Como hoja de ruta para el proceso de pensamiento arquitectónico, hemos desarrollado un diagrama de dependencia de artefactos que describe las fases de desarrollo de una arquitectura mediante una secuencia de artefactos.

Para apoyar el proceso de aprendizaje, el libro cuenta con un caso práctico para demostrar el desarrollo paso a paso de los artefactos que forman parte de una solución.

El capítulo 1 contiene una discusión en la que se establece el contexto, se explica cómo pueden utilizar el método los distintos roles y se esboza la estructura de capítulos del libro, con un diagrama de dependencia de artefactos a continuación.

Convenciones utilizadas en este libro

En este libro se utilizan las siguientes convenciones tipográficas:

Cursiva

Indica nuevos términos, URL, direcciones de correo electrónico, nombres de archivo y extensiones de archivo.

Constant width italic

Muestra el texto que debe sustituirse por valores proporcionados por el usuario o por valores determinados por el contexto.

Consejo

Este elemento significa un consejo o sugerencia.

Nota

Este elemento significa una nota general.

Advertencia

Este elemento indica una advertencia o precaución.

Utilizar ejemplos de figuras y tablas

El material complementario (figuras, etc.) puede descargarse en https://securityarchitecture.cloud.

Si tienes una pregunta técnica o un problema al utilizar el material complementario, envía un correo electrónico a

Este libro está aquí para ayudarte a hacer tu trabajo. Si deseas utilizar el contenido, y ese uso queda fuera del ámbito de las Directrices de Uso Justo, (como vender o distribuir contenido de los libros de O'Reilly, o incorporar una cantidad significativa de material de este libro en la documentación de tu producto), ponte en contacto con nosotros para solicitar permiso, en

Agradecemos la atribución, pero en general no la exigimos. Una atribución suele incluir el título, el autor, la editorial y el ISBN. Por ejemplo "Arquitectura de seguridad para la nube híbrida ", de Mark Buckwell, Stefaan Van daele y Carsten Horst (O'Reilly). Copyright 2024 Mark Buckwell, Stefaan Van daele y Carsten Horst, 978-1-098-15777-7".

Aprendizaje en línea O'Reilly

Nota

Durante más de 40 años, O'Reilly Media ha proporcionado formación tecnológica y empresarial, conocimientos y perspectivas para ayudar a las empresas a alcanzar el éxito.

Nuestra red única de expertos e innovadores comparten sus conocimientos y experiencia a través de libros, artículos y nuestra plataforma de aprendizaje online. La plataforma de aprendizaje en línea de O'Reilly te ofrece acceso bajo demanda a cursos de formación en directo, rutas de aprendizaje en profundidad, entornos de codificación interactivos y una amplia colección de textos y vídeos de O'Reilly y de más de 200 editoriales. Para más información, visita https://oreilly.com.

Cómo contactar con nosotros

Dirige tus comentarios y preguntas sobre este libro a la editorial:

Tenemos una página web para este libro, donde se enumeran erratas, ejemplos y cualquier información adicional. Puedes acceder a esta página en https://oreil.ly/security-architecture-hybrid-cloud.

Para noticias e información sobre nuestros libros y cursos, visita https://oreilly.com.

Encuéntranos en LinkedIn: https://linkedin.com/company/oreilly-media

Míranos en YouTube: https://youtube.com/oreillymedia

Agradecimientos

Sin la ayuda de los co-instructores, los estudiantes de maestría y los participantes en las clases a lo largo de los años, el desarrollo de las técnicas de este libro no habría sido posible. Gracias por asistir a las clases y aportar comentarios que ayudaron a mejorar las técnicas y artefactos documentados. Un agradecimiento especial a Pete Vincent, que ha estado en este viaje desde el principio y dirige la impartición del curso en la Universidad de Warwick.

Debemos la oportunidad de crear el curso y el método a Martin Borrett y Julian Meyrick, que nos plantearon el reto de construir un módulo de licenciatura para el Warwick Manufacturing Group (WMG) de la Universidad de Warwick.

Sin el estímulo y el apoyo constantes de Srini Tummalapenta, no podríamos haber desarrollado y compartido el método con un público mundial. El patrocinio y la adopción del método para las arquitecturas de referencia internas ayudaron a difundir y desarrollar los conceptos.

Además de los autores, el libro ha necesitado de otras personas para hacerse realidad. Muchas gracias a los revisores técnicos, Murat Elder, Paul Krause, Kevin Robson y Pete Vincent. Cada revisor aportó sus experiencias únicas para desafiarnos y proporcionarnos grandes sugerencias para algunas mejoras vitales. Muchas gracias al fantástico equipo de O'Reilly, incluidos Simina Calin, Melissa Potter, Greg Hyman, Kate Dullea, Tove Innis, Beth Kelly y los muchos otros que trabajan entre bastidores.

Agradecimientos de Mark Buckwell

Gracias a la profesora Helen Treharne de la Universidad de Surrey, que se arriesgó al permitir la impartición de un módulo de licenciatura totalmente dirigido por mí y por Theo Cudjoe. No podría haber impartido el módulo sin el apoyo del Dr. Andrew Crossan y del profesor Steve Schneider, que me proporcionaron un estímulo continuo y paciencia para responder a mis preguntas sobre la enseñanza de un módulo de licenciatura.

Estoy muy agradecido a mis coautores, Stefaan y Carsten. Su incesante dedicación durante tardes y fines de semana, junto con sus inestimables ideas, han hecho posible la entrega de un libro que, en mi opinión, es pionero en el diseño y la entrega de soluciones de ciberseguridad.

Por último, quiero dar las gracias a mi familia, especialmente a mi maravillosa esposa Lizzie, que soportó que pasara tanto tiempo los fines de semana y las noches escribiendo el libro, y a mis hijos James y Sarah, que siempre estuvieron ahí para apoyarme y animarme. Si encuentras algún personaje extraño en el libro, se debe a mi gato Mittens, que me hacía compañía sentándose en mi teclado mientras exigía su cena.

Agradecimientos de Stefaan Van daele

Me gustaría dar las gracias a mis coautores, Carsten y Mark, por los numerosos e interesantes intercambios de ideas y puntos de vista sobre la arquitectura de seguridad durante la creación de este libro. Aprendí de todas y cada una de las interacciones. Además, escribir un libro como consultor de seguridad significa pasar aún más horas detrás de la deslumbrante pantalla de un portátil. Por ello, me gustaría dar las gracias a mi mujer, Rita, por apoyarme durante todo este viaje y por soportar mi ausencia en muchas ocasiones, tanto si estaba arriba mirando una pantalla vacía en busca de inspiración como si escribía como un pájaro carpintero en mi teclado. También me gustaría dar las gracias a mis dos hijas, Karlijn y Lise, por ser mis mayores apoyos, aunque hayan seguido el viaje un poco desde la distancia.

Agradecimientos de Carsten Horst

Además de los agradecimientos anteriores, también me gustaría dar las gracias a todos los clientes con los que trabajé, cuyos proyectos y planteamientos de problemas me ayudaron a adquirir la experiencia necesaria para escribir este libro. Gracias también a Kreshnik Rexha por su aportación, siempre muy constructiva. La colaboración creativa con mis coautores, Mark y Stefaan, ha sido, a lo largo de todo el proceso de escritura, una importante inspiración para mí. También me gustaría dar las gracias a mi maravillosa esposa, Christina, y a mis hijas, Clara y Caroline, cuya admirable tolerancia hacia actividades como escribir libros parece no tener límites.

Get Arquitectura de seguridad para la nube híbrida now with the O’Reilly learning platform.

O’Reilly members experience books, live events, courses curated by job role, and more from O’Reilly and nearly 200 top publishers.

Start your free trial