Acercando posturas: flexibilidad y seguridad

¿Qué haces cuando necesitas dos cosas, pero “todo el mundo sabe” que son mutuamente excluyentes?

Existe un mito de larga data dentro de las comunidades de redes y seguridad: las arquitecturas de software seguras son inflexibles y el software entregado de forma ágil es menos seguro.  Pero espere un momento: ¿hay alguna evidencia que respalde que el software desarrollado utilizando un modelo iterativo es inherentemente menos seguro? Si la hay, mi ‘investigación’ (léase: Buscando en Google) realmente no lo he encontrado.   

De hecho, se puede argumentar de manera creíble que un ciclo de entrega más rápido y un proceso de lanzamiento automatizado y optimizado reducen el riesgo al reducir el tiempo general de exposición a la vulnerabilidad.    

Entonces, ¿existe realmente una brecha entre flexibilidad y seguridad? Lamentablemente, todavía diría que sí la hay. 

Sin embargo, no estoy convencido de que un ciclo de vida de software ágil introduzca más vulnerabilidades inherentes al código (aunque algunas de las nuevas plataformas, como los sistemas de gestión de contenedores, ciertamente introducen nuevas superficies de ataque), ya que el código de la aplicação es solo una parte de la postura de seguridad general de una organización.

Reconociendo que todo software contiene defectos, las pilas de tecnología de TI también contienen controles de seguridad externos al código de la aplicação , como firewalls de red, sistemas de detección de intrusiones y firewalls de aplicação web. Muchos de estos sistemas necesitan rastrear el comportamiento de las aplicação y responder a amenazas recientemente descubiertas en los marcos o sistemas operativos. Lo ideal sería que estos sistemas fueran tan ágiles como el ciclo de vida de entrega del software. Porque si no lo hacen, ocurrirán dos cosas: o bien los controles de seguridad se considerarán como algo que afecta la velocidad de entrega y el tiempo para obtener valor, o no brindarán la protección para la cual fueron implementados. Ninguna de estas cosas es exactamente óptima.  

La solución obvia es mover el modelo de control de seguridad a uno más cercano al modelo de ciclo de vida de entrega de software y, de hecho, el movimiento DevSecOps está empezando a aplicar la ingeniería de software y las prácticas de DevOps para entregar controles de seguridad y compartir la responsabilidad de la seguridad con todos en un equipo, incluso si la experiencia profunda permanece con un equipo de profesionales altamente experimentados y especializados.

A esta transformación cultural se suma una evolución tecnológica, donde la implementación de controles de seguridad se integra al proceso de distribución del software. Donde los controles de seguridad acompañan cada nueva iteración de software a través de la prueba, la puesta en escena y la implementación, no simplemente se agregan al final. Donde los elementos de telemetría y rastreabilidad se inyectan y rastrean en múltiples puntos de la pila. Donde se pueden recopilar y analizar rápidamente nuevas métricas que ayudan a identificar, rastrear e informar sobre los adversarios. 

Para que esto sea posible, su pila tecnológica debe colaborar tanto como sus equipos. Esa es una de las posibilidades más interesantes en una futura organización F5 + NGINX. Con una cartera que va desde el firewall de red hasta el servidor de aplicação , pasando por todas las capas intermedias, las posibilidades de un conjunto de controles de seguridad más ágil, más integrado y más informativo son enormes. La promesa de seguridad y visibilidad de clase empresarial inyectada con agilidad liviana tiene el potencial de brindarles a todos los miembros del equipo las herramientas, la información y la tranquilidad (relativa) que buscan.

Para obtener más información sobre las ventajas de unir F5 y NGINX, consulte una publicación del CEO de F5 que presenta la serie de blogs 'Bridging the Divide'.