Qual o significado da TI híbrida para a segurança de aplicações e APIs
Durante anos, o setor vem contornando as realidades — e os desafios subsequentes — da TI híbrida, chamando-a de multinuvem.
Isso não quer dizer que as organizações não estejam operando em múltiplas nuvens; elas certamente estão. Mas é preciso dizer que o termo não consegue captar totalmente que “nuvem” é um modelo operacional que não é exclusivo de provedores públicos de infraestrutura como serviço. De fato, nossos dados mostram, ano após ano, que as organizações operam na nuvem local, além de adotar suas versões públicas.
Mas mesmo isso ignora a realidade da TI híbrida, que está bem debaixo do nosso nariz desde que a nuvem apareceu e tomou conta dos negócios. Trocadilho intencional. Porque mesmo quando as organizações adotaram a nuvem, a maioria ainda estava lidando com ambientes locais tradicionais. Porque a maioria das empresas não são novas; elas estão em operação há vinte, trinta, até cinquenta anos. Isso significa que eles têm um portfólio estabelecido que abrange todas as gerações das principais arquiteturas de aplicativos, de monólitos a microsserviços, de cliente-servidor a dispositivos móveis.
Para a pesquisa anual deste ano, fomos específicos sobre ambientes locais, porque queríamos entender as realidades que nossos clientes estão enfrentando. Os dados falam por si: as empresas foram e continuam sendo híbridas.
Não é só a pesquisa para este relatório. Quando o F5 NGINX entrevistou sua comunidade de código aberto , adivinhe o que eles encontraram (entre outras coisas interessantes)? Sim, esse híbrido veio para ficar.
Agora, sem estragar todas as descobertas do nosso próximo relatório State of Application Strategy , direi que a tendência em direção a aplicativos modernos é forte, mas há indícios de que algumas organizações nunca estarão "totalmente empenhadas" em substituir aplicativos tradicionais por versões mais modernas.
Portanto, e dessa forma, as empresas permanecerão híbridas por muitos anos.
Mas isso nos leva a perguntar: o que isso significa para a segurança? Em particular, para segurança de aplicativos e APIs?
As implicações para a segurança de aplicativos e APIs
Se operarmos partindo do pressuposto de que as organizações são híbridas em sua essência (portfólio de aplicativos), bem como em seus ambientes operacionais, então as implicações para a segurança de aplicativos e APIs são bastante profundas.
Isso ocorre porque alguns ambientes de aplicativos, como contêineres, têm necessidades de segurança exclusivas que não podem ser atendidas por soluções de segurança tradicionais. Isso também significa que, com os aplicativos permanecendo no local, as organizações terão dificuldade em encontrar soluções de segurança consistentes capazes de abranger implantações de núcleo, nuvem e borda de cargas de trabalho de aplicativos. Mas espere, tem mais! Porque isso também significa que a necessidade de soluções tradicionais existentes não desaparece simplesmente, especialmente aquelas que se concentram em proteger aplicativos e APIs contra abuso e exploração de protocolos.
Infelizmente para as organizações, a TI híbrida não implica — e não pode — segurança híbrida.
Por segurança híbrida, quero dizer misturar serviços de segurança de aplicativos e APIs de um fornecedor com outro, e outro e outro. Embora transferir a segurança para o ciclo de vida do aplicativo pareça uma ótima solução, isso muitas vezes leva ao caminho de menor resistência: uma infinidade de serviços de segurança de API e aplicativos incompatíveis que complicam e frustram os esforços para proteger todos os aplicativos e APIs.
Já estamos vendo o impacto da complexidade das ferramentas de nuvem e APIs nas organizações na incapacidade de aplicar segurança de forma consistente em todos os aplicativos. Uma abordagem mista e à la carte para a segurança de aplicativos e APIs não está funcionando para a maioria das organizações, como visto no aumento substancial de violações no ano passado atribuídas a vulnerabilidades e explorações de — espere só — aplicativos e APIs.
A realidade da TI híbrida em segurança é que a abordagem fragmentada e à la carte para proteger aplicativos e APIs não funcionará a longo prazo. Precisamos de uma abordagem melhor, e ela precisa reconhecer que a TI e a empresa são, e serão no futuro previsível, híbridas.