Por supuesto, las aplicaciones son esenciales para el funcionamiento de su negocio. Bien hechas, pueden hacer que casi cualquier tarea o proceso sea más rápido y fácil. Pero, ¿puede algo bueno hacernos daño cuando es demasiado? Aparentemente, sí. Los profesionales de operaciones de TI están teniendo problemas para mantenerse al día con las arquitecturas de las aplicaciones, las plataformas y los estándares de la tecnología moderna en constante cambio, y como resultado, la seguridad, la visibilidad y el cumplimiento de las aplicaciones se están convirtiendo en una preocupación cada vez mayor.
Una importante compañía naviera descubrió que, ciertamente, ese era el caso. Incluso cuando la proliferación de aplicaciones no se reconocía como un problema, este gigante de los servicios de transporte y de oficina evaluó su cartera de aplicaciones y se dio cuenta de que tenía más de 2600 aplicaciones, consecuencia tanto de un impulso de adquisición masivo como de un rápido crecimiento. Igualmente preocupante era el hecho de que identificase más de 14 000 interfaces personalizadas para esas aplicaciones. La superficie de amenaza de tantas aplicaciones supone un enorme riesgo para cualquier empresa que se enfrente a esta situación por sí misma, y ese es solo uno de los muchos riesgos importantes que acompañan a este tipo de proliferación de aplicaciones.
Las aplicaciones pueden ahora pasar de la idea inicial a la prueba de concepto en semanas gracias a un entorno de desarrollo de aplicaciones extremadamente fértil. Una de las consecuencias de esta velocidad es que la responsabilidad del desarrollo de las aplicaciones y las decisiones de implementación (incluidas las que afectan a la seguridad y el cumplimiento) se han ido desplazando hacia los desarrolladores y se han alejado de los profesionales de la red y la seguridad. Si bien esto es excelente para acelerar la capacidad de innovación latente y mejorar la posición competitiva de las organizaciones, siguen existiendo importantes amenazas a la seguridad, requisitos de cumplimiento y preocupaciones operacionales.
Los nuevos interesados dan prioridad a las opciones de código abierto nativas de la nube y de bajo coste frente a las soluciones más sólidas gestionadas por expertos en la materia. Ello obedece a una preocupación legítima de que la dependencia de otros equipos podría presentar fricciones para el proceso, frenando el ritmo de la innovación. Sin embargo, entre los problemas comunes de este enfoque figuran la dispersión de las herramientas de seguridad y gestión, la falta de visibilidad del rendimiento de las aplicaciones y los importantes desafíos que plantea la conformidad con los mandatos de cumplimiento normativo.
With around 87% of companies utilizing multi-cloud deployments, according to our 2019 State of Application Services Report, there’s a tendency to use whatever tools are available from the cloud provider. This means using multiple native interfaces to essentially solve the same problem, which results in running into issues with different capabilities, policies, and management interfaces, increasing risk to the business.
Si a ello se le añade no solo el gran número de aplicaciones que gestionan las organizaciones, sino también la complejidad de esas aplicaciones, el resultado es una mayor superficie de amenaza (o área de posible vulnerabilidad para la seguridad) a la que se enfrentan empresas como la suya. Hoy en día, usted tiene que lidiar con diferentes marcos de trabajo web como node.js y HTML5, entre otros, además de servidores web y de aplicaciones. Los diferentes navegadores tienen acceso a diferentes aplicaciones. Con cada capa de complejidad añadida, hay más vulnerabilidades y más riesgos que gestionar.
Entonces, ¿cómo se gestiona este riesgo? La respuesta es que hay que cambiar el enfoque.
Siempre nos hemos preocupado por proteger la red. Pero ya es hora de centrarse también en la seguridad de las aplicaciones. Los cortafuegos de aplicaciones web, en concreto, son una forma habitual de gestionar la seguridad de las aplicaciones. Esto es así porque las amenazas apuntan a algo más que a la red. Después de todo, incluso teniendo una red segura, si encuentran un agujero en una aplicación, pueden pasar.
Tomemos esa compañía de transporte como ejemplo de nuevo. Cualquier persona del mundo puede acceder al sitio web para obtener servicios de envío. Miles de millones de personas. Incluso aunque la red está completamente cerrada, la aplicación podría ser la forma de entrar, ya que cualquiera está autorizado a usarla. Entonces, su mayor riesgo estaría en esa aplicación, no en la red tan cuidadosamente protegida. Para muchas empresas, la aplicación es el eslabón más débil en este momento. Y los hackers lo saben.
Lo que hay que hacer es crear servicios de aplicaciones normalizados que puedan federarse a nivel mundial sin impedir la innovación de los equipos de desarrolladores descentralizados. Adopte y permita la automatización para garantizar que la seguridad esté integrada, con políticas de seguridad definidas y gestionadas por expertos en su campo y almacenadas como artefactos en repositorios de código fuente para su uso en distribución de automatización CI/CD, en lugar de codificados o configurados manualmente como idea a posteriori. Para acelerar aún más (de forma segura) el tiempo de comercialización de las aplicaciones, es fundamental codificar solo lo que se necesita y aprovechar los servicios de infraestructura reutilizables, como la autenticación y los cortafuegos de aplicaciones web.
En marzo de 2019, había más de 2,1 millones de aplicaciones disponibles para los usuarios de Android. La tienda de aplicaciones de Apple
ofrece más de 1,8 millones de aplicaciones. Y eso sin contar los millones de aplicaciones empresariales que se han desarrollado e implementado. En total, probablemente estemos hablando de más de mil millones de aplicaciones en todo el mundo hoy en día.
¿Quiere saber un secreto sorprendente? La mayoría de las organizaciones sabrían decir lo que pasa con sus aplicaciones en un momento concreto. No saben cuántas aplicaciones tienen, y mucho menos dónde se alojan esas aplicaciones o quién tiene acceso a ellas. Incluso en el caso de las aplicaciones más importantes, las organizaciones rara vez tienen una visibilidad consistente del rendimiento de esas aplicaciones (por ejemplo, de la disponibilidad o la latencia del usuario final), ni saben dónde mirar cuando algo va mal.
Cualquiera que sea su estrategia, el objetivo debería ser averiguar cómo implementar y gestionar las aplicaciones de forma coherente en todos y cada uno de los silos de su infraestructura. La mejor manera de hacerlo, y de obtener visibilidad de las rutas de todas sus aplicaciones, es aprovechar un conjunto coherente de servicios de aplicaciones multinube. Mediante el uso de herramientas comunes podrá minimizar el riesgo, aumentar la repetibilidad y reducir los defectos con la reutilización de servicios coherentes siempre que sea posible, especialmente a través de las arquitecturas multinube. Cuando se implementan en todo el panorama de aplicaciones, estos servicios consistentes deben permitir la inspección completa de todo el tráfico a través de la ruta de datos, asegurando una fácil solución de problemas cuando estos surgen y la interceptación y bloqueo del tráfico malicioso.
Esta consistencia, y la visibilidad que este enfoque permite, también ayuda a reducir la fricción entre los diferentes equipos operativos que han de colaborar entre sí para mantener las aplicaciones seguras y funcionando con un alto rendimiento.
Hoy en día, muchas organizaciones, en particular las que operan con aplicaciones en múltiples nubes (como la gran mayoría de las organizaciones ya están haciendo o planean hacer), experimentan importantes retos a la hora de cumplir con los mandatos normativos.
Like many modern cities, the City of Bellevue’s digital needs have grown dramatically. A decade ago, only a handful of technical workers used its VPN to access systems remotely. Today, all 1,600 employees are enabled for remote work. For the city’s police force, enabling access to sensitive criminal history data means systems must comply with strict federal guidelines, including the federal Criminal Justice Information Services (CJIS) security policy and the related Federal Information Processing Standard (FIPS). Compliance with CJIS and FIPS is enforced through an annual federal audit. Without meeting the standard, police are restricted in the information they can access in the field. Ultimately, the city needed the ability to provide secure, compliant access to all city services.
¿La solución? Aunque esto parezca un disco rayado, hay que volver a hablar de la consistencia. Las políticas de seguridad consistentes y auditables integradas en la distribución de CI/CD simplifican el cumplimiento, haciendo frente a un obstáculo fundamental que frena la adopción de las prácticas y herramientas de DevOps.
Cuando las aplicaciones se crean e implementan, el flujo de trabajo CI/CD garantiza su implantación de forma protegida y de conformidad en todo momento
No hay duda de que las aplicaciones están proliferando. Algunos profesionales de la tecnología de la información pueden utilizar los términos «TI en las sombras» o «TI clandestina» porque muchas de estas aplicaciones se introducen en la organización por parte de usuarios empresariales en lugar de por el departamento de TI. Pero estas palabras despectivas no abordan los problemas que surgen cuando los usuarios empresariales adquieren (o crean) aplicaciones. Piense, más bien, en la TI impulsada por la empresa como una asociación entre los usuarios empresariales y la TI para tratar de hacer el mejor trabajo posible y lograr así el objetivo empresarial.
La proliferación de las aplicaciones requiere un control consistente, automatizable y centralizado. Hoy en día, es habitual que las empresas tengan sus activos de aplicaciones dispersos en varias plataformas. En la nube. En sus centros de datos privados. En las instalaciones. En varios entornos SaaS. Las empresas están empezando a disponer de la visión que les proporciona un solo panel de control para toda la cartera de aplicaciones. Con este tipo de control, los riesgos se vuelven mucho más fáciles de gestionar.
La amplia y completa cartera de servicios de aplicaciones de F5 y su plataforma ubicua permite a las organizaciones centralizar y gestionar servicios de seguridad e infraestructura auditables de nivel empresarial en diversos entornos, reduciendo el coste del cambio y liberando a los desarrolladores para que se centren en la innovación.