BLOG

Velocidad vs. Seguridad: Protegiendo aplicaciones y API modernas al ritmo de los negocios modernos

Miniatura de Dor Zakai
Dor Zakai
Publicado el 19 de febrero de 2021

El ritmo de los negocios modernos está creando una brecha entre la forma en que se desarrollan las aplicações y cómo se protegen. Al aprovechar la infraestructura y las aplicações modernas, las empresas pueden competir mejor y adaptarse más rápidamente. Sin embargo, también podrían poner en peligro la seguridad.

De aplicaciones monolíticas a microservicios

Hoy en día, el 98% de las organizaciones dependen de aplicações para ejecutar o respaldar su negocio . Según nuestra encuesta más reciente a la comunidad de código abierto NGINX, la cantidad de aplicaciones creadas con microservicios creció del 40 % en 2019 al 60 % en 2020, y el 54 % de las empresas utilizan microservicios en algunas o todas sus aplicaciones. Se espera que para 2022, el 90% de todas las aplicaciones nuevas incorporen arquitecturas de microservicios . Estas tendencias no sólo resaltan la importancia de las aplicações modernas para las empresas, sino también el valor de lograr velocidad y agilidad a la hora de su implementación. 

Es probable que cada vez más organizaciones sigan el mismo camino, migrando de las antiguas aplicaciones monolíticas a tecnologías nativas de la nube y, al mismo tiempo, implementando los principios de DevOps. Y con razón.

Los clientes, socios y empleados no solo exigen más de sus servicios basados en tecnología: lo esperan. Los mercados no esperan a que las empresas se adapten. Simplemente se olvidan de ellos.

Es por esto que las empresas se ven obligadas a tomar medidas para garantizar que sus aplicações ofrezcan la mejor experiencia posible. Pero ofrecer estas experiencias requiere un enfoque diferente al desarrollo de aplicação . Requiere un enfoque más rápido e iterativo que proporcione la flexibilidad que las empresas necesitan para seguir siendo competitivas.

DevOps, los microservicios y los contenedores pueden ayudar a brindar esta agilidad de aplicação tan buscada, renovando los enfoques anticuados en favor de métodos de entrega modernos. ¿Pero qué pasa con otras consideraciones clave como la protección de esas aplicaciones? ¿Pueden las políticas de seguridad soportar este ritmo?

Un nuevo frente en la lucha contra las infracciones

Los hackers lanzan un promedio de 2.244 ataques al día. Eso es uno cada 39 segundos . Y un solo acto malicioso exitoso es todo lo que se necesita para causar estragos financieros y de reputación en una empresa, o incluso destruirla por completo. Puede parecer drástico, pero éstas son las probabilidades que enfrentan las organizaciones hoy en día. El costo promedio de una violación de datos en 2020 fue de $3,86 millones por empresa. Y, en promedio, solo el 5% de las aplicaciones en la cartera de una organización tienden a estar adecuadamente protegidas.

Aún más preocupante es lo mucho más sofisticados y de mayor alcance que son los ataques. Los piratas informáticos ya no sólo atacan el código. Dado que el 40% de los ataques a las aplicações web se realizan a través de API, una cifra que se espera que aumente al 90% en 2021 , los muros más altos simplemente no brindan la protección necesaria en los entornos modernos. Si a este mayor nivel de amenaza se le suman ciclos de lanzamiento más rápidos y frecuentes, donde las fallas de seguridad pueden filtrarse fácilmente, puede convertirse rápidamente en una receta para el desastre.

Equilibrar las necesidades de seguridad con la velocidad de entrega

Ninguna organización quiere restringir la agilidad ni limitar la innovación. Del mismo modo, las empresas no están dispuestas a poner en riesgo sus datos ni los de sus clientes. Sin embargo, a medida que aumentan las demandas de los negocios modernos y se requiere el desarrollo de aplicação modernas para mantener una ventaja competitiva, las empresas se ven obligadas a elegir entre ambos. O bien sales al mercado rápidamente y estás potencialmente expuesto, o bien operas de forma lenta y segura. No debería ser así.

Si bien antes las políticas de seguridad se aplicaban durante las etapas finales de un lanzamiento, hoy la velocidad de las implementaciones lo hace casi imposible. Dado que se estima que hay 500 desarrolladores de software por cada profesional de seguridad , las probabilidades no están a favor de la protección de las aplicaciones.

Por lo tanto, la capacidad de proporcionar una seguridad sólida y consistente en todas las arquitecturas e infraestructuras de aplicação se ve obstaculizada, y la culpa no recae en nadie en particular. Los líderes empresariales comprenden la importancia de la seguridad, pero también la necesidad de llevar sus aplicaciones al mercado rápidamente. Los equipos de DevOps a menudo resienten la desaceleración de la implementación por parte de SecOps. Mientras tanto, SecOps lamenta con frecuencia la falta de controles de seguridad proporcionados por DevOps. De hecho, el 48% de los profesionales técnicos consideran que la seguridad es un obstáculo importante para entregar software rápidamente.

En busca de la simplicidad de la seguridad

Está claro que, para que las empresas impulsen la innovación y se mantengan ágiles, la eficacia de la automatización de DevOps y su simplicidad de “construir una vez, ejecutar en cualquier lugar” es crucial. ¿Qué pasaría si el enfoque “construir una vez, adherir en cualquier lugar” pudiera aplicarse a las políticas de seguridad? Para avanzar de manera ágil y segura, las empresas deben encontrar una forma de integrar la seguridad en el ciclo de vida de una aplicação, no aplicarla al final del desarrollo o intentar solucionarla con complementos. La seguridad y el desarrollo de aplicaciones no deben simplemente coexistir, sino convertirse en uno solo.

Lo mejor de ambos mundos

Entonces, ¿hay alguna manera de lograr la utopía de DevSecOps? ¿Qué significaría para la protección y la velocidad de lanzamiento si pudiera implementar políticas de seguridad de aplicação SecOps en DevOps sin fricciones?

El primer cambio necesario es la mentalidad. El pensamiento anticuado no tiene cabida en un entorno de desarrollo de aplicação moderno. Todas las partes deberían aceptar la idea de proteger las aplicaciones y no verla como un obstáculo a superar. Todos los equipos deben trabajar en la misma dirección y alcanzar el objetivo común de ofrecer aplicações seguras y de alta calidad entregadas con rapidez.

La seguridad integrada debe convertirse en una parte estándar del proceso de desarrollo. La velocidad necesaria para ello se puede conseguir de diversas maneras, siendo una de las más importantes la automatización de políticas. También se necesita una solución de seguridad liviana que supere las limitaciones de los firewalls de aplicação web de "casillas de verificación" . Debe abordar los desafíos de seguridad reales que enfrentan los entornos DevOps modernos al brindar seguridad escalable y de alto rendimiento con controles consistentes para aplicações web, microservicios, contenedores y API. Debería generar menos falsos positivos y, fundamentalmente, debe ser más rápido que otras soluciones. Una solución de este tipo debería ser compatible con CI/CD, gestionar y automatizar de forma centralizada los controles de seguridad aprobados, para eliminar los cuellos de botella del flujo de trabajo y dar soporte a las iniciativas de desarrollo de "desplazamiento a la izquierda". También debe contar con el respaldo de una organización con experiencia y mejorar la visibilidad al tiempo que optimiza el rendimiento.

Si se logra lo anterior, se puede eliminar la fricción entre DevOps y SecOps, y la lucha entre la implementación rápida y la seguridad pasa a ser un problema olvidado. Al combinar las herramientas adecuadas con una cultura de desarrollo verdaderamente colaborativa , es más posible que nunca ofrecer una protección potente y consistente que se ajuste al ritmo del desarrollo de aplicaciones modernas.