Precisamos virar nosso modelo de segurança do avesso
É um mundo de aplicativos. Isso está começando a soar banal e clichê, mas ainda é verdade. Quando se trata de segurança, isso significa que nosso foco deve começar no aplicativo e chegar ao usuário.
Mas não é assim que construímos arquiteturas de segurança hoje.
Hoje, construímos arquiteturas de segurança tentando colocar um muro (corta-fogo) impenetrável ao redor do perímetro. À medida que avançamos em direção ao aplicativo, as trincheiras de segurança que construímos são cada vez menos granulares até que, finalmente, chegamos ao aplicativo e não há praticamente nada sobrando. Nossa segurança mais afim ao aplicativo está mais distante do aplicativo que ela precisa proteger, e não o contrário. Isso nos deixa tentando escalar massivamente na borda da rede (onde os caros dispositivos baseados em hardware são necessários para suportar a largura de banda e a densidade de portas necessárias) em vez de escalar mais modestamente mais perto do aplicativo, onde softwares mais baratos e fáceis de gerenciar e "dispositivos" virtualizados poderiam ser mais facilmente colocados.
Precisamos inverter essa arquitetura e refatorar a segurança para melhor se adequar aos modelos de negócios e aplicativos atuais.
Precisamos parar de tentar ser “conscientes da aplicação” no perímetro corporativo para melhor dimensionar e derivar valor da infraestrutura de segurança. Precisamos parar de ser tão agnósticos em relação ao aplicativo e começar a mudar tudo isso para o desenvolvimento, operações e um modelo de software que seja escalável tanto econômica quanto arquitetonicamente. Precisamos de uma infraestrutura de segurança corporativa genérica na borda tradicional da rede e de uma arquitetura de segurança específica por aplicativo no novo perímetro: o aplicativo.
Isso é especialmente verdadeiro quando você considera o impacto que a nuvem está tendo nos aplicativos . Não no data center, mas nos aplicativos . O que precisamos proteger são os aplicativos, não a rede, e não podemos fazer isso se nossa estratégia de segurança depender de ter controle total sobre a rede (e quem a acessa). Precisamos considerar como proteger o aplicativo, esteja ele no data center ou não, e criar uma estratégia de segurança baseada nessa base, em vez daquela em que confiávamos antes da nuvem interromper o data center.
Considere o tsunami de aplicativos gerados pela Internet das Coisas e a adoção de arquiteturas de microsserviços. Se cada “nova” tecnologia geralmente resulta em um aumento de 10x nas aplicações, então quantas aplicações duas “novas” tecnologias simultâneas gerarão? Quantas novas políticas de segurança serão necessárias na borda da rede para dar suporte a cada um desses aplicativos?
Sim. Bastante. Uma ou duas ordens de magnitude a mais do que existe hoje.
E se deslocássemos esses para a esquerda (em termos de pipeline de implantação; para a direita, se você estiver olhando para um diagrama de rede tradicional) e os movêssemos para um ambiente mais definido e implantado por software? E se recrutássemos as pessoas que desenvolvem e conhecem intimamente os aplicativos para ajudar a desenvolver as políticas que os protegerão e depois os integrássemos ao processo de implantação? No pipeline de CI/CD? E se empacotarmos os aplicativos da mesma maneira, com os mesmos serviços de segurança de que eles precisam, seja na nuvem pública ou no local? De alguma forma, conseguiu atingir segurança consistente em infraestruturas de TI que 60% das organizações consideram o fator mais importante para proteger ambientes de nuvem [ Cloud Security Spotlight ]?
Isso seria escalável?
Imagino que sim, com menos interrupções e maior capacidade de gerenciamento do que o modelo atual.
A nuvem é disruptiva. A mobilidade é disruptiva. A Internet das Coisas será disruptiva. Isso nem sempre é ruim, especialmente quando nos dá a oportunidade de repensar e reavaliar a maneira como estamos implantando, entregando e protegendo aplicativos.
Então talvez seja hora de virar nosso modelo de segurança do avesso e adotar o aplicativo como o novo perímetro como uma maneira melhor de dimensionar a segurança, proteger aplicativos e defender a santidade de nossos dados.