Seguridad moderna para entornos modernos

0

En el pasado, la arquitectura IT de cada empresa era física y única. Además, estaba ubicada en un lugar concreto, por lo que podía administrarse y protegerse fácilmente. 

Pero en la actualidad eso ya no es así. La digitalización ha impulsado la adopción de metodologías ágiles y prácticas DevOps con el objetivo de modernizar los entornos, pilas de aplicaciones y despliegues. Las aplicaciones monolíticas se descomponen ahora en arquitecturas de microservicios, se automatizan las tareas rutinarias, se adopta Kubernetes (k8s) para la gestión de contenedores y se migra a la nube pública para una entrega ágil de servicios.

Si bien todo eso puede mejorar enormemente la actividad de las organizaciones y de sus usuarios, también puede conllevar retos relacionados con la seguridad. En muchos casos, DevOps se implementa y distribuye sin un input de seguridad, lo que provoca que IT tenga que parchear las vulnerabilidades en el momento en el que se detecta un incidente o, incluso, después de que ocurra.

Entonces, ¿cuál es la mejor manera de aliviar la presión sobre los técnicos de seguridad y evitar brechas sin aumenta la fricción de los usuarios?

Alejarse de la seguridad centralizada

En muchos casos, las necesidades de seguridad con la descentralización en entornos virtualizados han supuesto una sorpresa para las organizaciones.

En los bien conocidos entornos centralizados resultaba relativamente sencillo alcanzar una uniformidad en los controles de seguridad, operaciones, informes y alertas. Las tecnologías adoptadas cambiaban con poca frecuencia, debido a la gran inversión que se había realizado en ellas, la propiedad intelectual acumulada y el alto coste del cambio.

El tener que soportar múltiples entornos nuevos trajo una serie de desafíos y consideraciones, como la falta de madurez y de capacidad, entornos de nube dispares, una mezcla de tecnologías, operaciones poco claras, poca visibilidad o informes complicados. Como respuesta, los proveedores de la nube pública ofrecen gateways de tránsito, un punto central de control por donde pasa todo el tráfico hacia y desde los tenants.

En entornos modernos, con aplicaciones distribuidas en diferentes nubes, tenants y centros de datos, tiene mucho sentido alojar la seguridad dentro de cada aplicación. Esto garantiza que la seguridad es inherente, es decir, no se puede olvidar, eliminar o eludir. También significa que la seguridad está disponible cuando y donde se necesita, y puede eliminarse como parte de la fase de desmantelamiento de la aplicación.

Además, este modelo ofrece la oportunidad de que la seguridad pueda “desplazarse hacia la izquierda” en términos de estar presente en todas las etapas del ciclo de vida y en todos los entornos, lo que significa que, por primera vez, los controles de seguridad no se encuentran en las fases de implementación y ejecución o en las de preproducción y producción.

Llevando la seguridad a la organización

Los equipos de seguridad quieren dejar de ser «el departamento del no». Cada vez más, quieren llevar la seguridad a la organización en lugar de arrastrar la organización a la seguridad. La mejor manera de lograrlo es permitir que los equipos de DevOps consuman la seguridad de la manera que mejor se adapte a sus necesidades, implementando y usando la seguridad desde el inicio de una aplicación o programa, en lugar de después.

Por ejemplo, implicaría implementar controles de seguridad en etapas anteriores al ciclo de vida de desarrollo: modelado de amenazas, pruebas de seguridad de aplicaciones estáticas, análisis de composición de software… Además de hacer que los controles de seguridad de fases posteriores estén disponibles también en entornos de fases anteriores: firewall de aplicaciones web, pruebas de seguridad de aplicaciones dinámicas, etc., en entornos de desarrollo y prueba.

La seguridad distribuida significa operar diferentes tecnologías, pilas y controles en diferentes entornos, los que supone afrontar nuevos retos y lo que, en muchos casos, no proporciona ninguna economía de escala. La diversidad de entornos aumenta y se vuelve exponencialmente más difícil soportar cada nuevo entorno y conjunto de controles.

Asimismo, significa obtener poca consistencia de seguridad a través de diferentes entornos, y lo que es más importante, es necesario gestionar diferentes alertas, informes y registros de cada entorno, lo que hace que sea complicado administrarlos o predecirlos.

El camino por delante

En un mundo ideal, ¿cómo funciona la seguridad en un entorno descentralizado con múltiples usuarios, aplicaciones y nubes? La respuesta es una pila uniforme que se puede implementar en cualquier lugar que se necesite.

La pila sería de factor de forma pequeño, adecuada para entornos modernos y admitiría una implementación y desmantelamiento rápidos. También incluiría controles de seguridad integrales que son maduros y de nivel empresarial.

Habría un punto de control central: un único punto para definir la política una vez y desplegarla globalmente. La definición de la política sería flexible y estaría definida por la red, la identidad, la seguridad y la aplicación. El punto de control central también proporcionaría visibilidad, logging e informes centralizados y uniformes. 

Y toda la solución sería impulsada por API al 100 % para permitir que los equipos de desarrollo, seguridad y operaciones funcionen de una manera colaborativa real y al ritmo del negocio.

About Author

Director general de F5 en España y Portugal

Leave A Reply