Comprender la seguridad en la nube es una de las habilidades más demandadas en ciberseguridad. Saber diferenciar los modelos de servicio, aplicar el modelo de responsabilidad compartida y elegir los controles de acceso adecuados marca la diferencia entre proteger los recursos de una organización o dejarlos expuestos. A continuación se desglosan los puntos fundamentales que necesitas dominar.
¿Cuáles son los modelos de servicio en la nube y por qué importan en seguridad?
Antes de hablar de controles o regulaciones, es imprescindible distinguir los cuatro modelos de servicio principales [0:14]:
- Infrastructure as a Service (IaaS): tú gestionas el sistema operativo, las aplicaciones y los datos; el proveedor se encarga del hardware y la virtualización.
- Platform as a Service (PaaS): el proveedor administra la infraestructura y el runtime; tú solo te ocupas de tu código y datos.
- Software as a Service (SaaS): prácticamente todo lo gestiona el proveedor; el usuario consume la aplicación.
- Functions as a Service (FaaS): modelo serverless donde ejecutas funciones individuales sin preocuparte por servidores.
Cada modelo traslada una porción diferente de la responsabilidad de seguridad al proveedor. Esto se conoce como el modelo de seguridad compartida (shared responsibility model) [0:40]: cuanto más "arriba" estés en la pila (de IaaS a SaaS), menos controlas y más depende del proveedor. Conocer exactamente qué te corresponde proteger en cada caso es clave para evitar brechas.
¿Qué regulaciones y estándares debes considerar?
Subir recursos a la nube implica cumplir con normativas legales según la jurisdicción donde residan los datos [0:55]. El ejemplo más citado es GDPR (General Data Protection Regulation) en la Unión Europea, que regula cómo se almacenan, procesan y comparten datos personales con terceros. Ignorar estas regulaciones de compliance puede derivar en sanciones millonarias.
¿Cómo funciona IAM en entornos cloud?
IAM o Identity and Access Management [1:08] es el pilar que controla quién puede acceder a qué dentro de tu entorno. Debes conocer:
- Los principales protocolos de autenticación y autorización (como OAuth, SAML y OpenID Connect).
- Las ventajas y desventajas de cada protocolo según el contexto.
- Las buenas prácticas para la gestión de contraseñas y el ciclo de vida de los usuarios.
No se trata de implementar paso a paso una integración OAuth con un proveedor específico, sino de entender los conceptos de forma agnóstica, sin depender de AWS, GCP o Azure [1:40].
¿Cuál es la diferencia entre CASB y SWG para proteger soluciones SaaS?
Un caso práctico ilustra perfectamente cómo elegir el control correcto [2:18]. Ante el escenario de aplicar restricciones de acceso a todas las soluciones SaaS de una organización, se presentan cuatro opciones:
- Security Group: orientado a reglas de red en entornos IaaS; no aplica a SaaS.
- Resource Policy: políticas de recursos, también enfocadas a IaaS.
- SWG (Secure Web Gateway): filtra tráfico web y puede aplicar políticas de seguridad, pero su enfoque es más amplio.
- CASB (Cloud Access Security Broker): diseñado específicamente para intermediar entre los usuarios y los servicios SaaS, aplicando políticas de acceso, visibilidad y protección de datos de forma más directa.
Aunque tanto SWG como CASB podrían cumplir el objetivo, CASB es la opción más adecuada porque está pensado para gobernar el acceso a aplicaciones SaaS de manera centralizada y con menor complejidad [3:10].
La lección aquí es doble: primero, lee cada palabra de la pregunta para identificar el modelo de servicio implicado; segundo, cuando dos respuestas parecen válidas, elige la que resuelve el problema de forma más específica y eficiente.
¿Qué no necesitas saber sobre seguridad en cloud?
Es igual de útil saber qué queda fuera del alcance [1:30]:
- No se espera que compares proveedores como AWS frente a Azure.
- No necesitas desplegar ni implementar servicios concretos.
- El enfoque es conceptual y agnóstico: entender los principios, no los pasos de una consola específica.
Con estos fundamentos claros —modelos de servicio, responsabilidad compartida, compliance, IAM y controles como CASB— estarás preparado para enfrentar cualquier escenario de seguridad en la nube. ¿Ya resolviste las preguntas de práctica? Comparte tus respuestas en los comentarios y discutamos las opciones.
