Qué implica la TI híbrida para la seguridad de aplicaciones y API
Durante años, la industria ha estado evadiendo las realidades (y los consiguientes desafíos) de la TI híbrida, llamándola multinube.
Esto no quiere decir que las organizaciones no estén operando en múltiples nubes; ciertamente lo están haciendo. Pero esto quiere decir que el término no logra capturar plenamente el hecho de que “nube” es un modelo operativo que no es exclusivo de los proveedores públicos de infraestructura como servicio. De hecho, nuestros datos han demostrado, año tras año, que las organizaciones operan en la nube local, además de adoptar sus versiones públicas.
Pero incluso eso ignora la realidad de la TI híbrida, que ha estado bajo nuestras narices desde que apareció la nube y tomó por asalto los negocios. Juego de palabras intencionado. Porque incluso cuando las organizaciones adoptaron la nube, la mayoría aún lidiaba con entornos locales tradicionales. Porque la mayoría de las empresas no son nuevas: llevan operando veinte, treinta o incluso cincuenta años. Eso significa que tienen una cartera establecida que abarca cada generación de las principales arquitecturas de aplicaciones, desde monolitos hasta microservicios, desde cliente-servidor hasta dispositivos móviles.
Para la investigación anual de este año, nos centramos específicamente en los entornos locales, porque queríamos comprender las realidades que enfrentan nuestros clientes. Los datos hablan por sí solos: las empresas han sido y siguen siendo híbridas.
No se trata solo de la investigación para este informe. Cuando F5 NGINX encuestó a su comunidad de código abierto , ¿adivinen qué encontró (entre otras cosas interesantes)? Sí, ese híbrido llegó para quedarse.
Ahora bien, sin entrar en detalles sobre todos los hallazgos de nuestro próximo informe sobre el estado de la estrategia de aplicação , diré que la tendencia hacia las aplicações modernas es fuerte, pero hay indicios de que algunas organizaciones nunca estarán "totalmente comprometidas" con el reemplazo de las aplicaciones tradicionales por versiones más modernas.
Por lo tanto, y en consecuencia, las empresas seguirán siendo híbridas durante muchos años.
Pero eso nos lleva a preguntarnos: ¿qué significa eso para la seguridad? ¿En particular, para la seguridad de las aplicaciones y las API?
Implicaciones para la seguridad de las aplicaciones y API
Si partimos del supuesto de que las organizaciones son híbridas en su núcleo (cartera de aplicaciones) y en sus entornos operativos, entonces las implicaciones para la seguridad de las aplicaciones y las API son bastante profundas.
Esto se debe a que algunos entornos de aplicação , como los contenedores, tienen necesidades de seguridad únicas que no pueden abordarse con las soluciones de seguridad tradicionales. Esto también significa que, si las aplicaciones permanecen locales, las organizaciones tendrán dificultades para encontrar soluciones de seguridad consistentes capaces de abarcar implementaciones centrales, en la nube y en el borde de las cargas de trabajo de las aplicação . Pero espera, ¡hay más! Porque también significa que la necesidad de las soluciones tradicionales existentes no desaparece simplemente, especialmente aquellas que se centran en proteger las aplicaciones y las API del abuso y la explotación del protocolo.
Desafortunadamente para las organizaciones, la TI híbrida no implica (ni puede implicar) seguridad híbrida.
Por seguridad híbrida me refiero a mezclar servicios de seguridad de aplicaciones y API de un proveedor con otro y otro y otro. Si bien trasladar la seguridad al ciclo de vida de la aplicación parece una gran solución, muy a menudo conduce al camino de menor resistencia: una multitud de servicios de seguridad de aplicaciones y API incompatibles que complican y frustran los esfuerzos por proteger todas las aplicaciones y API.
Ya estamos viendo el impacto de la complejidad de las herramientas en la nube y las API en las organizaciones en la incapacidad de aplicar la seguridad de manera consistente en todas las aplicações. Un enfoque de combinación y combinación, a la carta, para la seguridad de las aplicaciones y las API no está funcionando para la mayoría de las organizaciones, como se ve en el aumento sustancial de las infracciones durante el año pasado atribuidas a vulnerabilidades y exploits de (espere) las aplicaciones y las API.
La realidad de la TI híbrida en materia de seguridad es que el enfoque parcheado y a la carta para proteger aplicaciones y API no va a funcionar a largo plazo. Necesitamos un mejor enfoque, que reconozca que la TI y la empresa son, y serán en el futuro previsible, híbridas.