Esource Blog

Consideraciones de Seguridad para Proyectos con Google Maps

foto

Nuevos retos en materia de Seguridad

El proceso de transformación digital, catalizado con la pandemia COVID19  implica nuevos retos en materia de seguridad. La adopción acelerada del teletrabajo ha obligado a las organizaciones a descentralizarse rápidamente, con la necesidad de accesos de forma remota.

Según el reporte, CISCO: Future of Secure Remote Work Report, antes de la pandemia aproximadamente solo el 19% de las empresas tenían a más de la mitad de su capital humano trabajando desde casa. Hoy, ese porcentaje alcanza el 63%; y se estima que al menos se mantenga un 37% aún después del COVID19. (*Datos globales).

De igual forma FortiGuard labs, de Fortinet informa sobre incrementos en los ataques, con registros de intentos de ciberataques en latinoamérica en donde creció 50% en el primer semestre de 2022, dato relevante si lo comparamos con el reporte de Kaspersky el año anterior, 2021, donde ya advertían de un 24% en el crecimiento de los ciberataques durante los primeros ocho meses de dicho año. Mostrando así una probable tendencia al alza del crecimiento de los ataques en la región.

Como consecuencia se revelan las debilidades, pero también las oportunidades para mitigar los riesgos generados por los crecientes intentos de ciberataques. 

“El impulso en las organizaciones de automatizar e integrar el entorno de seguridad, unido a la gestión de identidades y accesos en estos nuevos entornos, evoluciona hacia la adopción de un contexto de seguridad unificada donde se hace clave garantizar la protección y soberanía del dato”.

José Cano, director de análisis de IDC España

Seguridad en Google para Mapas

Al utilizar los servicios de Google a nivel empresarial, es necesario comprender y tener claridad de los diferentes niveles y mecanismos para poder proteger nuestros recursos en la nube. Donde podemos distinguir el manejo del acceso y la identidad; las políticas y restricciones de la nube de Google (GCP) y finalmente las credenciales para el acceso a los servicios de mapas de google, es decir las API keys de Google Maps.

Cloud Identity

Cloud Identity es una plataforma centralizada de gestión de identidades, accesos, aplicaciones y puntos finales (IAM/EMM). Es la solución de google para la identificación de usuarios; se puede consultar la documentación desde: 

https://cloud.google.com/identity

Y nos permite crear usuarios, permitiendo que los usuarios accedan fácilmente a las apps con el inicio de sesión único, con autenticación multifactor para proteger la información de la empresa; la creación de grupos de usuarios, así como de aplicarles políticas y roles; todo desde una única consola de administración (que es compartida para suscripciones de Google Workspace):

https://admin.google.com/

La autenticación Multifactor de google nos permite restringir diferentes niveles de seguridad para el acceso de nuestros Usuarios. Así como diferentes mecanismos de seguridad. El que más vamos a recomendar es el MFA. Ya sea con una FIDO Key, una notificación, o bien una aplicación, como Google Auth.

La suscripción Google Cloud Identity Free, es completamente gratuita y por defecto permite crear hasta 50 cuentas gratuitas. Con Cloud Identity o también con Google Workspace podremos crear una organización. Para ello es necesario asociar la cuenta creada con un dominio, y el recurso de organización se creará automáticamente. 

Seguridad: Un tema de Responsabilidad Compartida

Es importante mencionar que la seguridad es un tema de Seguridad es Responsabilidad compartida. No importa tener las mejores alarmas en una casa si se dejan las puertas abiertas. Las políticas y prácticas determinarán en gran medida la gobernabilidad de nuestras empresas. 

Google con Google Identity resalta 3 principales ventajas:

  1. Seguridad Calidad Google: Seguridad con responsabilidad compartida
  2. Simplicidad para los Usuarios y el Equipo de Administración: Trabajo en Interfaces de Usuario simples e intuitivas.
  3. Configuración Personalizada: Escalable-Flexible así como personalizable en función de las necesidades de tu empresa.

Seguridad en Google Cloud con Enfoque en Google Maps

La nube de Google, GCP, o Google Cloud, tiene 3 principales fundamentos para el manejo de la seguridad: 

  • Protección: Infraestructura central segura diseñada, construida y operada para ayudar a prevenir amenazas
  • Control: Controles de seguridad para ayudar a cumplir con los objetivos políticos, regulatorios y comerciales.
  • Cumplimiento: Trabajo y documentación para el cumplimiento de  nuestras responsabilidades legales nacionales e internacionales.  

Aterrizando, una de las primeras configuraciones es la aplicación de políticas de la organización para la restricción, por ejemplo, de la creación de proyectos, eliminación de proyectos a todos los usuarios, excepto a grupos de administración. Es importante, puesto que nuestros proyectos de Mapas, usan recursos de GCP, es decir las APIs de Mapas, que entran bajo los mismos conceptos de seguridad que otros servicios de GCP. 

Seguridad en Proyectos de Google Maps

Además de las buenas prácticas ya mencionadas anteriormente, así como la implementación de mecanismos para mejorar la seguridad en la identificación de usuarios; los proyectos de Google Maps se caracterizan por, principalmente, hacer uso de API keys, o claves de API,  para los diferentes servicios que ofrece Google respecto a mapas. 

Las restricciones de las API keys, nos permiten configurar desde donde podrá ser llamada una API, ya sea por IP (tanto IPv4 como IPv6) normalmente usada para servidores, por dominio, por ejemplo para que esta API key solo pueda ser utilizada bajo el dominio de eSource: https://www.esourcecapital.com/*. O bien, por certificados para Android e IOs.

¿Quieres añadir restricciones? 

Consulta: https://cloud.google.com/api-keys/docs/add-restrictions-api-keys?hl=es 

La importancia de la Restricción de API Keys

Las APIs, cómo herramientas para el desarrollo de sistemas han comenzado a ser un elemento básico de comunicación entre sistemas, y sin bien muchas empresas hacen uso de estas de manera interna, se ha notado un incremento en los hackeos de APIs públicas tanto como privadas. 

La implementación de este tipo de interfaces ha dado paso a la publicación de cientos de API keys en repositorios públicos. Ya en 2019, Catalin Cimpanu, escribía sobre la filtración de al menos 100,000 keys en diferentes repositorios. Lo que ha sido respondido con bots desarrollados con el único fin de buscar y probar API keys específicas para el robo de estos activos tecnológicos, constando a las empresas, en varios casos,  grandes cantidades de dinero.

El problema de los desarrolladores que dejan sus API en el código fuente de aplicaciones y sitios web no es nuevo. Amazon ha instado a los desarrolladores web a revisar su código y eliminar cualquier clave de AWS de los repositorios públicos hasta 2014, e incluso ha lanzado una herramienta para ayudarlos a escanear los repositorios antes de enviar cualquier código a un repositorio público, lo cual se ha comenzado a implementar cómo parte de las operaciones de los devops. 

Algunas empresas, incluso, se han encargado de escanear GitHub y otras plataformas de repositorios de código compartido en busca de claves API expuestas accidentalmente, y revocar sus credenciales incluso antes de que los propietarios de claves API noten la fuga o el abuso de estas.

Comparte!

integradorblog

Leave a Reply

Your email address will not be published. Required fields are marked *