BLOG

La seguridad consistente en la nube requiere coherencia

Miniatura de Lori MacVittie
Lori MacVittie
Publicado el 11 de abril de 2019

Durante los últimos cuatro años, hemos preguntado a encuestados de todo el mundo sobre los desafíos que enfrentaron en su camino hacia un modelo operativo moderno de múltiples nubes.

Durante los últimos tres años, nos han dicho constantemente que el principal desafío es "la seguridad consistente en todas las aplicações". Sin duda, parte de ese desafío se debe a la forma en que las organizaciones han llegado a operar en una realidad de múltiples nubes, de manera accidental. La mayoría ha caído en esto a través de desarrolladores y unidades de negocios que adoptaron la nube para "solucionar las ineficiencias de la TI tradicional". Hoy en día, la multicloud es una decisión consciente, impulsada principalmente por el tipo de aplicação que se implementa.

Pero el desafío de mantener una seguridad consistente en todas esas aplicações persiste. Uno de los culpables parece ser que los servicios de aplicação no siempre se mueven con las aplicações que protegen. Tenga en cuenta estos puntos de nuestro Informe sobre el estado de los servicios de aplicação 2019 :

La disparidad entre las implementaciones de servicios de aplicaciones locales y en la nube pública genera problemas de seguridad. Si bien el número promedio de servicios de aplicação en uso en general es 14, ese número se reduce a la mitad en el caso de las implementaciones de nube pública. Esto significa que las organizaciones están implementando aplicaciones en la nube pública, pero no están igualando las implementaciones de servicios de aplicação al mismo ritmo.

Si bien el 66% de los encuestados implementa un WAF, solo el 33% indica que utiliza un WAF para aplicações de producción implementadas en una nube pública. Otros servicios de aplicação relacionados con la seguridad sufren la misma disminución en su uso en la nube pública, lo cual es preocupante porque es casi imposible lograr la paridad de políticas de seguridad sin los servicios de aplicação que la aplican.

Casi la mitad de las organizaciones (48%) con una iniciativa de transformación digital están preocupadas por la dificultad de lograr una seguridad consistente para las aplicações distribuidas entre múltiples plataformas en la nube, mientras que el 45% dice que proteger sus aplicaciones de las amenazas existentes y emergentes es su mayor desafío.

Hay tres cosas que tener en cuenta aquí: En primer lugar, hay una falta de implementación de servicios de aplicação relacionados con la seguridad con las aplicações que están diseñados para proteger en la nube pública. Eso hace que sea bastante fácil responder al 45% de los encuestados que se preguntan si es posible proteger las aplicaciones de amenazas existentes y emergentes: hay que empezar por implementar servicios de aplicação de seguridad para proteger esas aplicaciones. Si bien no son infalibles, los servicios de aplicação modernos como los firewalls de aplicação web avanzados, la protección DDoS conductual y las defensas contra bots pueden reducir drásticamente el riesgo de ser sorprendido por una amenaza emergente. Considerando el ritmo al que se implementan dichos servicios hoy en día, parece que un buen enfoque para abordar el desafío de la seguridad consistente es ser consistente con los servicios de aplicação que se implementan para proteger las aplicaciones en todos los entornos.

Tasas de implementación de servicios de aplicação de seguridad

En segundo lugar, y quizás menos obvio, la consistencia va más allá del servicio de aplicação . Después de todo, existen muchos firewalls de aplicação web, pero sus capacidades no son necesariamente iguales. Incluso suponiendo la consistencia de las capacidades, intentar tomar las políticas del WAF local A y convertirlas en algo que pueda usar el WAF externo B es una tarea bastante monumental. Es como entregarle a alguien un documento de instrucciones escrito en un idioma que no entiende. Por lo tanto, primero hay que traducirlo, y eso lleva tiempo y experiencia en ambos idiomas. Entonces sí, será más fácil aplicar la política de seguridad de manera consistente en todas las aplicações si se estandariza en un solo proveedor para ese servicio de aplicação . Un servicio, un idioma, una política.

Es un tanto irónico que los encuestados que prestan servicios de aplicação no implementen una aplicação sin su seguridad , pero al analizar los detalles de la implementación se ve que quizás eso no sea del todo cierto. En la nube, al menos, parece que la seguridad se deja de lado con más frecuencia de lo que debería.

Por último, y menos obvio, no ignoremos la carga operativa que supone gestionar manualmente los servicios de aplicação en múltiples nubes y centros de datos. Es mucho más complicado gestionar cualquier cosa manualmente (incluso las mismas cosas) cuando están dispersas en múltiples ubicaciones. Tratar las políticas como artefactos de código y abordar la implementación de los servicios y las políticas asociadas con la mirada puesta en la automatización puede reducir errores y omisiones que de otro modo podrían ocurrir. La automatización y la orquestación logran consistencia gracias a la naturaleza misma de los scripts y el código que pueden replicar el mismo resultado una y otra vez. Como señaló el antiguo filósofo griego Aristóteles: "Somos lo que hacemos repetidamente". “La excelencia, entonces, no es un acto, sino un hábito”. Por lo tanto, la automatización y la orquestación deberían considerarse un hábito (práctica) importante a adquirir en la búsqueda de la consistencia en múltiples nubes.

Para lograr una seguridad consistente en todas las aplicações en un mundo multicloud se requiere consistencia:

  1. Coherencia en la implementación de los servicios de aplicação que protegen y defienden las aplicações
  2. Coherencia en las capacidades del servicio de aplicação en todos los entornos
  3. El uso de la automatización y la orquestación para facilitar la implementación rápida, frecuente y consistente de servicios de aplicação y políticas de seguridad.

Una seguridad consistente requiere comportamiento, prácticas y herramientas consistentes . Al combinar las tres organizaciones se puede lograr coherencia en las prácticas de seguridad adquiriendo el hábito de proteger las aplicações , así como también al negocio y a los consumidores que dependen de ellas.