Skip to content

Explica el modelo de responsabilidad compartida en la nube.

Respuesta breve

El proveedor asegura la nube en sí — centros de datos físicos, hardware, el hipervisor y los servicios gestionados que ejecuta. Tú aseguras lo que pones en la nube — tus datos, identidades, configuraciones, el parcheo del SO cuando corresponda, y los controles de acceso. La línea exacta se desplaza: con IaaS eres dueño desde el SO hacia arriba, con SaaS eres dueño sobre todo de los datos y el acceso.

El modelo de responsabilidad compartida existe porque mudarse a la nube no traslada toda la seguridad al proveedor — reparte el trabajo. El proveedor es responsable de la seguridad de la nube; tú eres responsable de la seguridad en la nube. Malinterpretar esta línea es la causa raíz más común de las fugas en la nube, porque los equipos asumen que "el proveedor se encarga" y dejan su propia mitad sin proteger.

Dónde se sitúa la línea

  • El proveedor siempre es dueño de: las instalaciones físicas, la energía, el hardware de red, el hipervisor, y la integridad de los servicios gestionados que expone.
  • El cliente siempre es dueño de: sus datos, quién puede acceder a ellos (identidades y permisos), y cómo se configuran los servicios.
  • El centro se desplaza según el modelo de servicio. Con IaaS (una VM en bruto) eres dueño del SO invitado, el parcheo, el runtime y la aplicación. Con PaaS (una base de datos gestionada o una plataforma de funciones) el proveedor parchea el SO y el motor, pero tú sigues siendo dueño del esquema, los datos y el acceso. Con SaaS eres dueño sobre todo solo de tus datos, las cuentas de usuario y los ajustes de compartición.

Por qué importa

Casi todas las fugas en la nube que salen en titulares — buckets de almacenamiento expuestos, claves filtradas, roles demasiado permisivos — caen de lleno en el lado del cliente. La infraestructura del proveedor nunca fue vulnerada; una configuración de la que el cliente era dueño estaba mal. El modelo también aclara el cumplimiento: certificaciones como SOC 2 cubren la capa del proveedor, pero tú aún debes demostrar los controles en tu capa.

Qué buscan los entrevistadores

Un candidato que enuncie la distinción "de vs en", sepa que la línea se desplaza según el modelo de servicio, y reconozca que la mayoría de las fugas son malas configuraciones del lado del cliente — no fallos del proveedor.

Posibles preguntas de seguimiento

  • ¿Cómo se mueve la línea de responsabilidad entre IaaS, PaaS y SaaS?
  • ¿Quién es responsable de parchear una base de datos gestionada frente a una instancia EC2?
  • ¿Dónde caen realmente la mayoría de las fugas en la nube del mundo real en esta línea?

Fuentes

Certificaciones

Consigue 100 preguntas de entrevista de ciberseguridad + respuestas

Déjanos tu correo y te enviaremos el pack en PDF gratuito y el mazo de flashcards.

Sin spam. Cancela tu suscripción cuando quieras.