É claro que os aplicativos são essenciais para administrar seu negócio. Bem-feitos, eles podem tornar quase qualquer tarefa ou processo mais rápido e fácil. Mas é possível ter muito de uma coisa boa? Aparentemente sim. Os profissionais de operações de TI estão tendo dificuldades para acompanhar as constantes mudanças nas arquiteturas de aplicativos, plataformas e padrões de tecnologia modernos e, como resultado, a segurança, a visibilidade e a conformidade dos aplicativos estão se tornando uma preocupação cada vez maior.
Certamente, uma grande empresa de transporte descobriu que esse era o caso. Mesmo quando a proliferação de aplicativos não era reconhecida como um problema, essa gigante de serviços de remessa e escritório avaliou seu portfólio de aplicativos e percebeu que tinha mais de 2.600 aplicativos, consequência de um grande esforço de aquisição e rápido crescimento. Igualmente preocupante, foram identificadas mais de 14.000 interfaces personalizadas para esses aplicativos. A área de superfície de ameaça para tantos aplicativos é um risco enorme para qualquer empresa enfrentar sozinha, e esse é apenas um dos muitos riscos significativos que acompanham esse tipo de proliferação de aplicativos.
Agora, os aplicativos podem passar da ideia inicial à prova de conceito em poucas semanas, graças a um ambiente de desenvolvimento de aplicativos extremamente fértil. Uma das consequências dessa velocidade é que a responsabilidade pelas decisões de desenvolvimento e implantação de aplicativos — incluindo aquelas que impactam a segurança e a conformidade — está sendo transferida para os desenvolvedores e para longe dos profissionais de rede e segurança. Embora isso seja ótimo para a velocidade — desbloqueando a capacidade latente de inovação e melhorando a postura competitiva das organizações — ameaças significativas à segurança, requisitos de conformidade e preocupações operacionais permanecem.
As novas partes interessadas priorizam opções nativas da nuvem e de código aberto de baixo custo em vez de soluções mais robustas gerenciadas por especialistas no domínio. Isso decorre de uma preocupação legítima de que a dependência de outras equipes poderia introduzir atrito no processo, retardando o ritmo da inovação. No entanto, os problemas comuns com essa abordagem incluem a proliferação de ferramentas de segurança e gerenciamento, a falta de visibilidade do desempenho do aplicativo e desafios significativos para atender aos mandatos de conformidade regulatória.
Com cerca de 87% das empresas utilizando implantações multi-nuvem, de acordo com nosso Relatório de Serviços de Aplicativos de 2019 , há uma tendência de usar quaisquer ferramentas disponíveis do provedor de nuvem. Isso significa usar várias interfaces nativas para resolver essencialmente o mesmo problema, o que resulta em problemas com diferentes recursos, políticas e interfaces de gerenciamento, aumentando o risco para o negócio.
Adicione a isso não apenas o grande número de aplicativos que as organizações gerenciam, mas também a complexidade desses aplicativos, e o resultado é uma maior superfície de ameaça — ou área de potencial vulnerabilidade de segurança — que empresas como a sua estão enfrentando. Hoje em dia, você tem que lidar com diferentes estruturas web, como node.js e HTML5, entre outras, incluindo servidores de aplicativos e web. Navegadores diferentes têm acesso a aplicativos diferentes. Com cada camada adicional de complexidade, há mais vulnerabilidades e mais riscos a serem gerenciados.
Então, como você gerencia esse risco? Mudando seu foco.
Sempre nos preocupamos em proteger a rede. Mas é hora de focar na segurança dos aplicativos também. Firewalls de aplicativos da Web, em particular, são uma maneira comum de gerenciar a segurança de aplicativos. Isso ocorre porque os bandidos estão mirando em mais do que apenas a rede. Afinal, mesmo com uma rede segura, se houver uma falha em um aplicativo, eles estão dentro.
Tomemos novamente como exemplo aquela empresa de transporte. Qualquer pessoa no mundo pode acessar o site para atender às suas necessidades de envio. Isso é bilhões de pessoas. Mesmo que a rede esteja completamente bloqueada, o aplicativo pode ser a porta de entrada, já que qualquer pessoa está autorizada a usá-lo. Portanto, o maior risco seria com esse aplicativo, não com sua rede cuidadosamente protegida. Para muitas empresas, o aplicativo é o elo mais fraco no momento. E os hackers sabem disso.
O que você precisa fazer é criar serviços de aplicativos padronizados que possam ser federados globalmente sem impedir a inovação de equipes de desenvolvedores descentralizadas. Adote e habilite a automação para garantir que a segurança seja incorporada, com políticas de segurança definidas e gerenciadas por especialistas em sua área e armazenadas como artefatos em repositórios de código-fonte para uso em pipelines de automação de CI/CD em vez de codificadas ou configuradas manualmente como uma reflexão tardia. Para acelerar ainda mais (com segurança) o tempo de lançamento do aplicativo no mercado, é essencial que você codifique apenas o necessário e aproveite os serviços de infraestrutura reutilizáveis, como autenticação e firewalls de aplicativos da web.
Em março de 2019, havia mais de 2,1 milhões de aplicativos disponíveis para usuários do Android. Loja de aplicativos da Apple
oferece mais de 1,8 milhões de aplicativos. E isso não conta os milhões de aplicativos empresariais que foram desenvolvidos e implantados. No total, provavelmente estamos falando de mais de um bilhão de aplicativos em jogo no mundo todo hoje.
Quer saber um segredo chocante? A maioria das organizações não consegue dizer o que está acontecendo com seus aplicativos em um determinado momento. Eles não sabem quantos aplicativos têm, muito menos onde esses aplicativos estão localizados ou quem tem acesso a eles. Mesmo para os aplicativos mais importantes, as organizações raramente têm visibilidade consistente sobre o desempenho desses aplicativos (por exemplo, disponibilidade, latência do usuário final) ou onde procurar quando algo dá errado.
Seja qual for a sua estratégia, o objetivo deve ser descobrir como implantar e gerenciar aplicações de maneira consistente em todos os seus diferentes silos de infraestrutura.A melhor maneira de fazer isso — e obter visibilidade dos caminhos para todos os seus aplicativos — é aproveitar um conjunto consistente de serviços de aplicativos multinuvem. Ferramentas comuns ajudarão você a reduzir riscos, aumentar a repetibilidade e reduzir defeitos reutilizando serviços consistentes sempre que possível, especialmente em arquiteturas de várias nuvens. Quando implantados em todo o seu cenário de aplicativos, esses serviços consistentes devem permitir a inspeção completa de todo o tráfego pelo caminho de dados, garantindo fácil solução de problemas quando surgem problemas e interceptação e bloqueio de tráfego malicioso.
Essa consistência e a visibilidade que essa abordagem permite também ajuda a reduzir o atrito entre as diferentes equipes operacionais que precisam colaborar para manter as aplicações com alto desempenho e seguros.
Muitas organizações hoje, especialmente aquelas que operam aplicações em várias nuvens (como a grande maioria das organizações agora estão fazendo ou planejando fazer), enfrentam desafios significativos para atender aos mandatos de conformidade regulamentar.
Como muitas cidades modernas, as necessidades digitais da cidade de Bellevue cresceram drasticamente. Uma década atrás, apenas um punhado de trabalhadores técnicos usava sua VPN para acessar sistemas remotamente. Hoje, todos os 1.600 funcionários estão habilitados para trabalho remoto. Para a força policial da cidade, permitir o acesso a dados confidenciais de antecedentes criminais significa que os sistemas devem obedecer a rígidas diretrizes federais, incluindo a política de segurança dos Serviços de Informações de Justiça Criminal (CJIS) e o Padrão Federal de Processamento de Informações (FIPS) relacionado. A conformidade com o CJIS e o FIPS é aplicada por meio de uma auditoria federal anual. Sem cumprir o padrão, a polícia fica limitada às informações que pode acessar em campo. Em última análise, a cidade precisava da capacidade de fornecer acesso seguro e em conformidade com todos os serviços da cidade.
A solução? Não quero parecer um disco arranhado, mas estamos de volta à consistência novamente. Políticas de segurança consistentes e auditáveis integradas ao pipeline de CI/CD simplificam a conformidade, abordando um obstáculo fundamental que retarda a adoção de práticas e ferramentas de DevOps.
Quando as aplicações são criados e implantados, o fluxo de trabalho de CI/CD garante que eles sejam implementados com proteção e em conformidade sempre.
Não há dúvidas de que os aplicativos estão proliferando. Alguns profissionais de TI podem usar os termos TI “sombra” ou “invasiva” porque muitos desses aplicativos são trazidos para a organização por usuários empresariais e não pela TI. Mas palavras depreciativas não abordam os problemas que surgem quando os usuários empresariais assumem a aquisição (ou construção) de aplicativos em suas próprias mãos. Em vez disso, pense nisso como uma TI orientada para os negócios — como uma parceria entre usuários empresariais e a TI na tentativa de fazer o melhor trabalho para atingir a missão empresarial.
A proliferação de aplicativos exige controle consistente, automatizável e centralizado. Hoje em dia é comum que as empresas tenham seus ativos de aplicativos espalhados por várias plataformas. Na nuvem. Em seus data centers privados. No local. Em vários ambientes SaaS. As empresas estão começando a ter uma visão única de todo o seu portfólio de aplicativos. Com esse tipo de controle, os riscos se tornam muito mais fáceis de gerenciar.
O amplo e abrangente portfólio de serviços de aplicações e a plataforma onipresente da F5 permitem que as organizações centralizem e gerenciem serviços de infraestrutura e segurança auditáveis de nível empresarial em diversos ambientes, reduzindo o custo da mudança e liberando os desenvolvedores para se concentrarem na inovação.