Prefacio
Este trabajo se ha traducido utilizando IA. Agradecemos tus opiniones y comentarios: translation-feedback@oreilly.com
Como indica el título, este libro es una guía práctica para asegurar tus entornos en la nube. En casi todas las organizaciones, la seguridad tiene que luchar por el tiempo y la financiación, y a menudo queda relegada a un segundo plano frente a la implementación de características y funciones. Es importante centrarse en la "mejor relación calidad-precio" desde el punto de vista de la seguridad.
Este libro pretende ayudarte a implantar rápida y correctamente los controles de seguridad más importantes para tus activos más importantes, tanto si eres un profesional de la seguridad algo novato en la nube, como si eres un arquitecto o desarrollador con responsabilidades de seguridad. A partir de esa base sólida, puedes seguir construyendo y madurando tus controles.
Aunque muchos de los controles y principios de seguridad son similares en entornos en la nube y locales, existen algunas diferencias prácticas importantes. Por esa razón, algunas de las recomendaciones para la seguridad práctica en la nube pueden sorprender a quienes tienen una formación en seguridad en las instalaciones. Aunque ciertamente existen legítimas diferencias de opinión entre los profesionales de la seguridad en casi cualquier área de la seguridad de la información, las recomendaciones de este libro se derivan de años de experiencia en la seguridad de entornos en la nube, y se basan en algunos de los últimos avances en ofertas de computación en la nube.
Éste es principalmente un libro sobre seguridad, no sobre cumplimiento. Dicho esto, si necesitas cumplir requisitos de conformidad específicos, como PCI DSS, HIPAA o FedRAMP, encontrarás algunas orientaciones limitadas sobre el diseño de tus controles de seguridad para que puedas hacerlo.
Quién debería leer este libro
Este libro está concebido como un recurso de nivel intermedio y se dirige principalmente a dos tipos de profesionales:
-
Los que tienen alguna experiencia con la seguridad de entornos locales, pero poca o ninguna con entornos en la nube
-
Aquellos que tienen experiencia en la creación de entornos en la nube, pero poca o ninguna experiencia en la seguridad de esos entornos en la nube
El objetivo de este libro es proporcionar una comprensión a nivel conceptual del "arte de lo posible" en la seguridad en la nube. No encontrarás una guía al estilo de un libro de cocina sobre cómo implantar exactamente diversos controles en entornos específicos de nube, por varias razones. Una de ellas es que dichas guías tienden a quedar obsoletas muy rápidamente, porque los proveedores de la nube mejoran constantemente sus implementaciones. Otra es que, por lo general, los proveedores de la nube hacen un mejor trabajo que yo a la hora de proporcionar guías prácticas explícitas, porque las implementaciones son específicas de la forma en que han diseñado sus servicios. Una guía detallada de un proveedor de la nube será más útil que una guía genérica que intente abarcar varios proveedores de la nube.
Lo que intento proporcionar es la comprensión de cuándo necesitas encontrar una guía de este tipo y utilizarla.
Navegar por este libro
Los tres primeros capítulos tratan de comprender tus responsabilidades en la nube y en qué se diferencian de las de los entornos locales, así como de entender qué activos tienes, cuáles son las amenazas más probables para esos activos y algunas protecciones para ellos.
Los capítulos 4 a 6 proporcionan una guía práctica, por orden de prioridad, de los controles de seguridad más importantes que debes considerar en primer lugar:
-
Gestión de identidades y accesos
-
Gestión de vulnerabilidades
-
Controles de red
El último capítulo trata de cómo detectar cuando algo va mal y cómo afrontarlo. ¡Es una buena idea leer este capítulo antes de que algo vaya realmente mal!
Novedades de la segunda edición
Esta nueva edición se ha actualizado en función de los avances que se han producido en los sectores de la computación en nube y la seguridad en los años transcurridos desde la publicación de la primera edición. Algunos ejemplos son:
-
Más información sobre los principios de confianza cero aplicables a la protección delos entornos en nube
-
Avances en las técnicas de encriptación, como los algoritmos de encriptación resistentes a la cuántica
-
Avances en las técnicas de autenticación, como las tecnologías sin contraseña y las claves de acceso
-
El uso de herramientas de gestión de accesos privilegiados para proteger los entornos en la nube
-
Verificación de las identidades de la carga de trabajo además de las identidades humanas
-
La importancia de proteger las cadenas de suministro de software, incluidos los entornos de creación e implementación en la nube, con transparencia mediante una Lista de Materiales de Software (SBOM).
-
Actualizaciones basadas en los cambios de las ofertas de los principales proveedores de nubes desde la publicación anterior
-
Ejemplos actualizados de los distintos tipos de herramientas y tecnologías defensivas disponibles en la actualidad
Además, ahora puedes comprobar tu recién adquirida comprensión de los conceptos de seguridad en la nube mientras lees. He añadido algunas preguntas y ejercicios al final de cada capítulo, y las respuestas están en el Apéndice.
Convenciones utilizadas en este libro
En este libro se utilizan las siguientes convenciones tipográficas:
- Cursiva
-
Indica nuevos términos, URL, direcciones de correo electrónico, nombres de archivo y extensiones de archivo.
Constant width-
Se utiliza en los listados de programas, así como dentro de los párrafos para referirse a elementos del programa como nombres de variables o funciones, bases de datos, tipos de datos, variables de entorno, sentencias y palabras clave.
Constant width bold-
Muestra comandos u otros textos que deben ser tecleados literalmente por el usuario.
Constant width italic-
Muestra el texto que debe sustituirse por valores proporcionados por el usuario o por valores determinados por el contexto.
Consejo
Este elemento significa un consejo o sugerencia.
Nota
Este elemento significa una nota general.
Advertencia
Este elemento indica una advertencia o precaución.
Plataforma de aprendizaje en línea de O'Reilly
Nota
Durante casi 40 años, O'Reilly Media ha proporcionado formación, conocimientos y perspectivas sobre tecnología y negocios para ayudar a las empresas a alcanzar el éxito.
Nuestra red única de expertos e innovadores comparten sus conocimientos y experiencia a través de libros, artículos, conferencias y nuestra plataforma de aprendizaje online. La plataforma de aprendizaje en línea de O'Reilly te ofrece acceso bajo demanda a cursos de formación en directo, rutas de aprendizaje en profundidad, entornos de codificación interactivos y una amplia colección de textos y vídeos de O'Reilly y de más de 200 editoriales. Para más información, visita http://oreilly.com.
Cómo contactar con nosotros
Dirige tus comentarios y preguntas sobre este libro a la editorial:
- O'Reilly Media, Inc.
- 1005 Gravenstein Highway Norte
- Sebastopol, CA 95472
- 800-889-8969 (en Estados Unidos o Canadá)
- 707-829-7019 (internacional o local)
- 707-829-0104 (fax)
- support@oreilly.com
- https://www.oreilly.com/about/contact.html
Tenemos una página web para este libro, donde se enumeran erratas, ejemplos y cualquier información adicional. Puedes acceder a esta página en https://oreil.ly/PracticalCloudSecurity2e.
Para noticias e información sobre nuestros libros y cursos, visita https://oreilly.com.
Encuéntranos en LinkedIn: https://linkedin.com/company/oreilly-media.
Síguenos en Twitter: https://twitter.com/oreillymedia.
Míranos en YouTube: https://youtube.com/oreillymedia.
Agradecimientos
Este libro no habría visto la luz sin el aliento y el apoyo de mi maravillosa esposa, Tabitha Dotson, que me dijo que no podía dejar pasar esta oportunidad y que hizo malabarismos con los horarios y las obligaciones durante más de un año para hacerlo realidad. También me gustaría dar las gracias a mis hijas, Samantha (por sus amplios conocimientos de mitología griega) y Molly (por desafiar constantemente las suposiciones y pensar con originalidad).
Hacen falta muchas personas, además del autor, para llevar un libro a la publicación, y yo no lo apreciaba plenamente antes de escribirlo. Me gustaría dar las gracias a mis editores de la primera edición, Andy Oram y Courtney Allen; a mis editores de la segunda edición, Rita Fernando y Megan Laddusaw; a mis revisores de la primera edición, Hans Donker, Darren Day y Edgar Ter Danielyan; a mis revisores de la segunda edición, Lee Atchison, Karan Dwivedi y Akhil Behl; y al resto del maravilloso equipo de O'Reilly que me ha guiado y apoyado en todo esto.
Por último, me gustaría dar las gracias a todos mis amigos, familiares, colegas y mentores a lo largo de los años, que han respondido a mis preguntas, han intercambiado ideas, han escuchado malos juegos de palabras, se han reído de mis errores y, de hecho, me han enseñado la mayor parte del contenido de este libro.
Get Seguridad práctica en la nube, 2ª edición now with the O’Reilly learning platform.
O’Reilly members experience books, live events, courses curated by job role, and more from O’Reilly and nearly 200 top publishers.
