Hoy, cuando finaliza la Security Week 2025, una semana fantástica a lo largo de la cual hemos compartido multitud de publicaciones en el blog, sobre una gran variedad de temas, nos complace compartir las últimas novedades sobre los productos de seguridad de datos de Cloudflare.
Este anuncio nos lleva a la plataforma SASE de Cloudflare, Cloudflare One, que utilizan los equipos informáticos y de seguridad de las empresas para gestionar la seguridad de sus usuarios, sus aplicaciones y sus herramientas de terceros, todo en un solo lugar.
A partir de hoy, los usuarios de Cloudflare One pueden utilizar el producto CASB (el agente de seguridad de acceso a la nube) para integrar y analizar Amazon Web Services (AWS) S3 y Google Cloud Storage (GCS), en busca de posibles problemas relacionados con la postura de seguridad y la prevención de pérdida de datos (DLP). Crea una cuenta gratuita para comprobarlo.
Mediante el análisis tanto puntual como continuo, los usuarios pueden identificar los errores de configuración en la gestión de identidad y acceso (IAM), los buckets y las configuraciones de objetos, así como detectar información confidencial (p. ej., números de la seguridad social, números de tarjetas de crédito o cualquier otro patrón que utilice expresiones regulares) en los objetos de almacenamiento en la nube.
Prevención de pérdida de datos (DLP) en la nube
En los últimos años, nuestros clientes, sobre todo los equipos de informática y seguridad, nos han expresado su reconocimiento por la simplicidad y la eficacia de nuestra solución CASB como producto de seguridad SaaS. El gran número de integraciones con las que es compatible, su facilidad de configuración y su rapidez para identificar problemas críticos en las plataformas SaaS más populares, como los archivos compartidos públicamente en Microsoft 365 y los datos confidenciales expuestos en Google Workspace, la han convertido en la opción preferida de muchos.
Sin embargo, conforme interactuamos con los clientes, una cosa era evidente: los riesgos de los datos en reposo no supervisados o expuestos van mucho más allá de los entornos SaaS. La información confidencial, ya sea propiedad intelectual, datos de clientes o identificadores personales, puede causar estragos en la reputación de una organización y en sus obligaciones para con sus clientes si cae en las manos equivocadas. Para muchos de nuestros clientes, la seguridad de los datos almacenados en proveedores de nube como AWS y GCP es incluso más importante que la seguridad de los datos en sus herramientas SaaS.
Por este motivo, hemos ampliado Cloudflare CASB para incluir la funcionalidad de prevención de pérdida de datos (DLP) en la nube, que permite a los usuarios analizar los objetos en buckets de Amazon S3 y Google Cloud Storage en busca de coincidencias con datos confidenciales.
Con la solución de prevención de perdida de datos (DLP) de Cloudflare, puedes elegir entre perfiles de detección predefinidos que buscan tipos de datos comunes (como números de la seguridad social o números de tarjetas de crédito) o bien crear tus propios perfiles personalizados utilizando expresiones regulares. En cuanto se detecta un objeto que coincide con un perfil de DLP, puedes acceder a información más detallada, comprender el contexto del archivo, ver a quién pertenece y mucho más. Estas funciones proporcionan la información necesaria para proteger rápidamente los datos y evitar la exposición en tiempo real.
Al igual que con todas las integraciones de CASB, esta nueva funcionalidad también incluye funciones de gestión de la postura de seguridad. Esto significa que tanto si utilizas AWS como GCP, te ayudaremos a identificar los errores de configuración y otros problemas de la seguridad en la nube que podrían dejar tus datos vulnerables, como buckets accesibles públicamente o que tengan desactivadas configuraciones de registro esenciales, claves de acceso que necesiten rotación o usuarios sin autenticación multifactor (MFA). Todo ello está incluido.
Sencillo por defecto, configurable donde quieras
Las soluciones CASB y DLP de Cloudflare son fáciles de usar por defecto, por lo que puedes empezar a utilizarlas rápida y fácilmente. También son muy configurables, ya que te ofrecen la flexibilidad de ajustar los perfiles de análisis para adaptarlos a tus necesidades específicas.
Por ejemplo, puedes ajustar qué buckets de almacenamiento o qué tipos de archivo quieres analizar, e incluso analizar solo una muestra de los objetos, eligiendo el porcentaje que deseas. El análisis también se ejecuta en tu propio entorno de nube, por lo que tus datos nunca salen de tu infraestructura. Este enfoque garantiza la seguridad de tu almacenamiento en la nube y la gestión de tus costes, al mismo tiempo que te permite adaptar la solución a los requisitos específicos de conformidad y seguridad de tu organización.
De cara al futuro, nuestra hoja de ruta también incluye añadir compatibilidad con otros entornos de almacenamiento en la nube, como Azure Blob Storage y Cloudflare R2, y ampliar así aún más nuestra estrategia integral de seguridad multinube. ¡No te lo pierdas!
Cómo funciona
Desde el principio, sabíamos que para ofrecer capacidades de DLP en los entornos de nube era necesario un diseño eficiente y escalable que permitiera la detección en tiempo real de la exposición de datos confidenciales.
Arquitectura sin servidor para un procesamiento optimizado
Desde el principio tomamos la decisión de utilizar un enfoque de arquitectura sin servidor para garantizar la eficiencia y la escalabilidad de la detección de datos confidenciales. Así es como funciona:
Cuenta de proceso: todo el proceso se ejecuta en una cuenta en la nube propiedad de tu organización (conocida como cuenta de proceso). Este diseño garantiza que tus datos no salen de los límites de tu entorno, evitando costosas tarifas de salida de la nube. La cuenta de proceso se puede iniciar en menos de 15 minutos mediante una plantilla Terraform proporcionada.
Función de controlador: cada minuto, una función de controlador ligera y sin servidor en tu entorno de nube se comunica con las API de Cloudflare, obteniendo las últimas configuraciones de DLP y los perfiles de seguridad de tu cuenta de Cloudflare One.
Proceso de rastreador: el controlador activa una tarea de detección de objetos, que procesa una segunda función sin servidor (conocida como rastreador). El rastreador consulta las cuentas de almacenamiento en la nube, como AWS S3 o Google Cloud Storage, a través de la API para identificar los nuevos objetos. En la cuenta de proceso se utiliza Redis para rastrear qué objetos aún no se han evaluado.
Análisis de datos confidenciales: los nuevos objetos detectados se envían a través de una cola a una tercera función sin servidor, el explorador. Esta función descarga los objetos y transmite su contenido al motor DLP en la cuenta de proceso, que busca coincidencias con los perfiles DLP predefinidos o personalizados.
Generación de hallazgos y alertas: si se encuentra una coincidencia de DLP, los metadatos sobre el objeto, como el contexto y los detalles de propiedad, se publican en una cola. Estos datos los ingiere un servicio alojado en Cloudflare y se presentan en el panel de control de Cloudflare como hallazgos, lo que ofrece a los equipos de seguridad la visibilidad necesaria para tomar rápidamente las medidas necesarias.
Diseño escalable y seguro
El proceso de DLP garantiza que los datos confidenciales nunca salen de tu entorno en la nube, un enfoque que prioriza la privacidad. Toda la comunicación entre la cuenta de proceso y las API de Cloudflare la inicia el controlador, lo que significa también que no es necesario realizar ninguna configuración adicional para permitir el tráfico de entrada.
Cómo empezar
Para empezar, ponte en contacto con tu equipo de cuenta para obtener más información sobre esta nueva funcionalidad de seguridad de datos y sobre nuestra hoja de ruta. Si quieres probarla por ti mismo, puedes iniciar sesión en el panel de control de Cloudflare One (si no tienes una cuenta, crea una gratis aquí) y accede a la página de CASB para configurar tu primera integración.