Você quer segurança “em seu” ou “como um” serviço?
O mundo da computação em nuvem, até recentemente, se concentrou em seus principais pilares: SaaS, PaaS e IaaS. Mas, à medida que os consumidores de nuvem continuam a amadurecer em sua compreensão e uso da nuvem, estamos começando a ver um interesse crescente no que é parte nuvem, parte serviço gerenciado, particularmente na área de segurança. Para o bem deste blog, vamos chamá-lo de “ao seu serviço”*.
Em um ambiente tradicional "como um", poderíamos simplesmente pegar o BIG-IP ASM (nosso firewall de aplicativo) e configurar uma boa estrutura de serviços F5 Synthesis em algum lugar, lá fora, como uma nuvem e oferecê-la "como um serviço". De uma perspectiva arquitetônica, faz sentido colocar a segurança do aplicativo mais perto daqueles aplicativos que precisam dela, na nuvem, onde ainda hoje há uma escassez de boas alternativas. Os aplicativos hospedados na nuvem precisam tanto (se não mais) de segurança de aplicativo quanto aqueles no data center, devido à sua natureza mais pública por natureza. O que não faz necessariamente sentido é forçar que as solicitações ao data center sejam escaneadas, depuradas e avaliadas antes de enviá-las de volta para a nuvem. É um trombone gigante (ou grampo, se preferir), já que a maioria dos data centers não está conectada diretamente ao backbone da Internet, ao lado do data center do provedor de nuvem.
A crescente preferência por esse modelo ficou clara em nosso relatório State of Application Delivery 2015 , especialmente para serviços de segurança.
Mas uma solução de segurança de aplicativos baseada em nuvem faz muito sentido. Provavelmente, ele está física e topologicamente mais próximo do aplicativo que está protegendo do que do data center corporativo e oferece um modelo de cobrança mais complementar aos aplicativos baseados em nuvem do que uma solução tradicional no local.
O problema, no entanto, é que você ainda precisa ter tempo e conhecimento para configurá-lo e testá-lo e, isso é importante, mantê-lo atualizado.
É quando “como um” realmente se transforma em “dor no”. Porque para realizar essa tarefa você precisa do conhecimento e das habilidades de alguém que entenda de segurança e também entenda da aplicação. O que pode ser difícil nestes tempos de bolha de segurança.
As diferenças entre “as a” e “at your” estão principalmente relacionadas à responsabilidade e ao envolvimento na gestão. Em um serviço “à sua disposição”, você não está apenas assinando o software ou a solução, mas também assinando o gerenciamento ativo dessa solução por pessoas especialistas nisso. No campo da segurança, dadas as pressões do macroambiente, como a escassez de habilidades em TI, que está afetando a segurança da informação de forma particularmente dura, a assinatura de especialistas em segurança é certamente uma vantagem, além de potencialmente vantajosa economicamente:
A escassez de habilidades em TI se tornou epidêmica. Simplesmente não há seguranças disponíveis para contratar. Há cinco anos , a taxa de desemprego para profissionais de InfoSec tem sido inferior a 2% (e frequentemente 0%). O mercado de trabalho restrito para pessoas com habilidades de segurança teve um impacto previsível nos salários: De acordo com a Payscale, em 2014, metade de todos os arquitetos de segurança ganharam mais de US$ 120 mil : 50% a mais do que o engenheiro de software médio — e impressionantes 300% do que um enfermeiro licenciado ganha. Pessoas com habilidades de segurança recebem salários mais altos, vão para startups ou são caçadas para empregos mais confortáveis com títulos melhores (ahem). Jon Oltsik da ESG escreveu que sua previsão número 1 para 2015 é “Impacto generalizado da escassez de habilidades em segurança cibernética.” – David Holmes, F5 Security Evangelist, Dark Reading
Ao combinar o modelo operacional e de negócios da nuvem (multilocação, abstração, cobrança baseada em assinatura/serviços públicos) com os benefícios tradicionais de um serviço gerenciado, as organizações ganham a agilidade e a economia de custos desejadas. Ao fornecer a expertise para configurar e manter o serviço, ao mesmo tempo em que incentiva a colaboração e a participação ativa do consumidor, o modelo “at your” oferece às organizações os meios para proteger seus aplicativos críticos** em qualquer lugar e ter certeza de que a segurança está coberta.
* Sim, estou ciente de que abrevia para SayS. Não, não tenho certeza se isso é bom. Ou ruim. Talvez ambos.
** Em um mundo de aplicativos, isso se aplica a praticamente todos os aplicativos, não é? Parece quase redundante modificá-lo agora.