Seguridad moderna para entornos modernos
En el pasado, la arquitectura empresarial era física y singular, ubicada convenientemente en un único lugar, que podía administrarse y protegerse fácilmente.
Ahora, la situación se ha revertido. La prisa por la digitalización está obligando a las organizaciones a moverse a velocidades sin precedentes. Las organizaciones que han adoptado metodologías ágiles y prácticas DevOps han podido modernizar sus entornos, pilas de aplicação e implementaciones, descomponiendo aplicações previamente monolíticas en arquitecturas de microservicios, automatizando tareas rutinarias, adoptando Kubernetes (k8s) para la gestión de contenedores y migrando a la nube pública para la entrega de servicios ágiles.
Si bien esto ha mejorado enormemente la comodidad para las organizaciones y sus usuarios finales, también ha conllevado algunos problemas de seguridad importantes.
Dentro de este ritmo de cambio, la seguridad, en su mayor parte, ha quedado rezagada. En muchos casos, DevOps se ha implementado y distribuido sin aportes de seguridad, lo que obliga al departamento de TI a tener que solucionar los problemas a medida que ocurren y, en algunos ejemplos públicos importantes, después de que ocurren.
Entonces, ¿cuál es la mejor manera de avanzar para aliviar la presión sobre los técnicos de seguridad y, al mismo tiempo, prevenir infracciones sin crear fricción entre los usuarios?
Alejándose de la seguridad centralizada
En muchos sentidos, las necesidades de seguridad al descentralizarse en entornos virtualizados han tomado a las organizaciones por sorpresa. A medida que nos alejamos de nuestros controles de seguridad centralizados tradicionales, los controles distribuidos que tenemos a mano realmente no son suficientes.
Como los entornos centralizados eran bien conocidos y cuantificados, era relativamente fácil lograr uniformidad en los controles de seguridad, operaciones, informes y alertas. Los cambios en las tecnologías adoptadas se produjeron con poca frecuencia debido a la gran inversión, la propiedad intelectual acumulada y el alto costo del cambio.
Dar soporte a múltiples entornos nuevos trajo consigo una serie de desafíos y consideraciones, como falta de madurez y capacidad, entornos de nube dispares, una mezcla de tecnologías, operaciones poco claras, poca visibilidad, informes difíciles y, a menudo, baja madurez.
En respuesta a estos desafíos, los proveedores de nube pública nos brindaron puertas de tránsito, un punto central de control por donde pasa todo el tráfico hacia y desde los inquilinos.
En entornos modernos, con aplicações distribuidas en nubes, inquilinos y centros de datos, es fundamental contar con la seguridad dentro de cada aplicación. Esto garantiza que la seguridad sea inherente, es decir, que no se pueda olvidar, eliminar ni eludir. También significa que la seguridad está disponible cuando y donde se la necesita y se elimina como parte de la etapa de desmantelamiento de la aplicação .
Este modelo también presenta la oportunidad de que la seguridad “se desplace a la izquierda” en términos de estar presente en todas las etapas del ciclo de vida y en todos los entornos. Esto significa que los controles de seguridad no se encuentran por primera vez durante la implementación y la ejecución, ni en la preproducción y la producción.
Llevando la seguridad a la organización
Los equipos de seguridad quieren dejar de ser la “oficina del no” y llevar la seguridad a la organización, en lugar de arrastrar la organización a la seguridad. En nuestra opinión, la mejor forma de lograr esto es permitir que los equipos de DevOps consuman la seguridad de la manera que mejor se adapte a sus necesidades. Esto significa implementar y utilizar la seguridad desde el inicio de una aplicación o un programa, en lugar de después.
Esto, denominado "desplazamiento a la izquierda" de la seguridad, implica implementar controles de seguridad en etapas anteriores del ciclo de vida del desarrollo, por ejemplo: Modelado de amenazas, pruebas de seguridad de aplicação estáticas, análisis de composición de software y puesta a disposición de controles de seguridad de etapas posteriores en entornos de etapas anteriores, por ejemplo: Firewall de aplicação web, pruebas de seguridad de aplicação dinámicas, etc. en entornos de desarrollo y prueba.
Por supuesto, la seguridad distribuida tiende a traer consigo muchos desafíos. Para lograr una seguridad distribuida, tradicionalmente ha sido necesario contar con diferentes tecnologías, pilas y controles para diferentes entornos. Esto no genera economías de escala ya que la diversidad de entornos aumenta y se vuelve exponencialmente más difícil soportar cada nuevo entorno dispar y conjunto de controles.
Esto también significa que hay poca consistencia en la seguridad entre diferentes entornos, lo que puede generar problemas. Quizás lo más importante es que también hay diferentes alertas, informes y registros para cada entorno, lo que hace que sea muy difícil administrar o predecir los entornos.
¿Adonde vamos entonces?
En un mundo ideal, ¿cómo funciona la seguridad en un entorno descentralizado con múltiples usuarios, aplicaciones y nubes?
La respuesta es una pila uniforme que pueda implementarse en cualquier lugar donde sea necesario. La pila tendría un formato pequeño, sería adecuada para entornos modernos y permitiría una implementación y un desmantelamiento rápidos. También incluiría controles de seguridad integrales que sean maduros y de nivel empresarial.
Habría un punto de control central; un único punto para definir la política una vez e implementarla globalmente. La definición de políticas sería flexible y estaría definida por la red, la identidad, la seguridad y la aplicação . El punto de control central también proporcionaría visibilidad, registro y generación de informes centralizados y uniformes.
Y toda la solución estaría 100% impulsada por API para permitir realmente que los equipos de desarrollo, seguridad y operaciones avancen de manera colaborativa al ritmo del negocio.
F5 puede ayudarle a hacer realidad esa visión. Descubra más.