Usando práticas recomendadas para proteger aplicativos em ambientes multinuvem

0
737

This post is also available in: Inglês Francês Alemão Italiano Espanhol Russo

De mecanismos de comércio eletrônico sofisticados a soluções de produtividade baseadas em nuvem e ferramentas pessoais em smartphones, os aplicativos determinam como as coisas são feitas. As organizações continuam fazendo a transição desses aplicativos para a nuvem em uma velocidade acelerada.

De acordo com  Relatório de perspectivas da diretoria a Radware, 76% dos entrevistados aceleraram seus planos de migração de aplicativos e infraestrutura para a nuvem. Não só as empresas estão em transição para a nuvem, como também estão adotando uma estratégia multinuvem. De acordo com os resultados da pesquisa da Flexera, 93% das organizações adotaram uma estratégia de nuvem híbrida.

A presença online geralmente é a salvação de muitas empresas, por isso, tanto a segurança quanto a disponibilidade de aplicativos devem ser questões prioritárias para as organizações.

A adoção de um ambiente de nuvem heterogêneo resulta na falta de continuidade para gestão, segurança e relatórios. Cada ambiente de nuvem pública conta com suas próprias ferramentas de gestão, monitoramento, entrega de aplicativos e serviços de segurança.

Os desafios

Essa falta de consistência cria uma série de desafios para a segurança do aplicativo:

Proteção de aplicativos – Atualmente, os ataques a aplicativos são tão diversos que apenas um Web Application Firewall (WAF) não é mais suficiente para protegê-los. Também é necessária proteção para a Interface de Programação de Aplicativos (API) e contra BOTs sofisticados. À medida que os hackers investigam vulnerabilidades de rede e aplicativos para iniciar ataques a aplicativos e obter acesso a dados confidenciais, a proteção do aplicativo torna-se fundamental para proteger os negócios e a sua marca.

Muitas vezes, as organizações precisam configurar e gerenciar vários produtos de segurança de aplicativos com diferentes capacidades em diferentes ambientes. Por fim, a superfície de ataque aumenta, uma vez que um aplicativo deixa os limites do data center local de uma organização.

[Você também pode se interessar por: Managing Applications Across Multiple Data Centers: (Gerenciamento de aplicativos em vários data centers: A Case Study] um estudo de caso)

Complexidade – Mover aplicativos para a nuvem complica ainda mais a segurança cibernética. Os fornecedores de nuvem não fornecem controles de segurança abrangentes e as construções de segurança também não são consistentes entre os fornecedores.

Serviços de domínio cruzado que abrangem rede, aplicativo e segurança exigem experiência de domínio e colaboração entre as equipes, criando conflitos e atrasos nos testes e provisionamentos.

Isso leva a aplicativos mal protegidos.

Visibilidade acionável – À medida que os aplicativos são implantados em nuvens públicas e privadas, é imprescindível monitorar seu desempenho, a experiência do usuário, identificar violações de SLA, gerenciar eventos de segurança de aplicativos e diagnosticar a causa raiz. Um único painel de controle que forneça visibilidade e análise de todos esses fatores é fundamental para garantir que as aplicações de uma organização estejam proporcionando uma experiência digital superior.

[Você também pode se interessar por: How WAFs Can Mitigate The OWASP Top 10] (Como WAFs podem mitigar o OWASP Top 10)

Custos inesperados – A capacidade de controlar os custos ao alocar dinamicamente serviços de entrega e proteção de aplicativos em ambientes heterogêneos quando necessário é fundamental. Por quê? Porque muitas organizações que implantam em ambientes de nuvem pública geralmente incorrem em custos inesperados, uma vez que os serviços escalam com o aumento do uso.

Automação – Automatizar a implantação de serviços rapidamente, ou dimensionar os recursos de aplicativos dinamicamente, torna-se fundamental em um ambiente de nuvem pública, porque os preços são estruturados em torno do consumo de uso/recursos. Qualquer componente nesta cadeia de suprimentos requer automação para transformar processos manualmente orientados em etapas automatizadas que não requerem experiência.

Disponibilidade do serviço – A disponibilidade para atender às solicitações do usuário e dimensionar automaticamente é fundamental para empresas que buscam automatizar as operações de back-end. Isso significa ter a capacidade de adicionar e remover serviços sob demanda sem intervenção manual para licenciamento e para recuperar a capacidade quando não estiver mais em uso. Isso poupa tempo e dinheiro.

Bloqueio – Pode ocorrer porque um provedor de nuvem pode fornecer recursos de segurança e escalabilidade de aplicativos que outro não fornece. Além disso, a falta de padronização entre nuvens pode exigir serviços de consultoria de valor agregado, como técnico e assessoria.

Recursos críticos

Qualquer solução para enfrentar os desafios acima deve incluir os seguintes elementos para transição, segurança e gerenciamento de aplicativos na nuvem:

  • Conjunto completo de tecnologias de segurança de aplicativos integradas com facilidade
  • Mesma solução e recursos em vários ambientes físicos, virtuais e na nuvem
  • Fornecer KPIs em vários ambientes e facilitar a solução de problemas em todos os ambientes
  • Por fim, a adoção de multinuvem não deve ser por causa do custo, que foi a razão que motivou a adoção de nuvem!

Segurança integrada de aplicativo: A solução escolhida deve incluir um conjunto completo de módulos de proteção de aplicativos para fornecer melhor cobertura de segurança em todas as superfícies de ameaças a aplicativos:

  • Firewall de aplicativos da Web para proteger contra ataques baseados na Web (OWASP Top 10 e além).
  • Gerenciador de bots para proteger contra ameaças automatizadas baseadas em bots nocivos.
  • Proteção abrangente de API para proteger APIs e fornecer visibilidade total sobre ameaças direcionadas à API.
  • Inteligência de ameaças para proteger contra invasores desconhecidos e ativos.

Rapidez na implantação: Deve ser simples de implantar, gerenciar e manter, sem precisar de especialistas. Como exemplo, se você tiver vários constituintes, como NetOps, SecOps e DevOps, a solução deve ser fácil de implantar desde o Dia 1, provavelmente pelo NetOps. No Dia 2, as equipes de DevOps e SecOps usariam as políticas de segurança reconstruídas como modelo de autoatendimento. Você usaria especialistas em segurança para criar esses modelos simples de usar. A partir do Dia 3, você deve se concentrar na otimização e evolução contínuas das políticas implantadas. tenha certeza de que todas as soluções que você implantar permitem o aprendizado.

[Você também pode se interessar por: Distribute Application Workloads Across Multiple Clouds & Data Centers] (Distribua cargas de trabalho de aplicativos em multinuvens e data centers)

Padronizado e consistente: Era fácil quando você tinha o controle sobre os aplicativos em seu local. Com multinuvens, tenha certeza de que você consiga implantar as mesmas políticas de modo consistente. Tenha um plano de controle centralizado para gerenciar e atualizar políticas em todos os ambientes.

Acionável: É muito importante acompanhar os KPIs e a postura de segurança. As informações devem ser acionáveis e úteis para você tomar ações. Por exemplo, digamos que você tem muitos falsos positivos. Você não deveria depender de especialistas em segurança para refinar uma política.

Custo otimizado: O mundo já está indo em direção a controles de custos centralizados e descontos de volume. Garanta que, independentemente das tecnologias separadas que você usa para a proteção de aplicativos, você tenha uma elasticidade nos preços onde uma capacidade desativada possa ser reutilizada em outro ambiente sem ter que pagar por tudo novamente.

Garantir uma implantação híbrida ou multinuvem não precisa ser complexo ou caro para as organizações. Com a solução e as ferramentas certas, é possível se beneficiar da nuvem no local, pública e privada para gerar valor para o seu negócio.

Previous articleForrester elege Radware líder em proteção DDoS
Next articleSegurança e DevOps: Mantenha tudo seguro
Prakash Sinha is a technology executive and evangelist for Radware and brings over 29 years of experience in strategy, product management, product marketing and engineering. Prakash has been a part of executive teams of four software and network infrastructure startups, all of which were acquired. Before Radware, Prakash led product management for Citrix NetScaler and was instrumental in introducing multi-tenant and virtualized NetScaler product lines to market. Prior to Citrix, Prakash held leadership positions in architecture, engineering, and product management at leading technology companies such as Cisco, Informatica, and Tandem Computers. Prakash holds a Bachelor in Electrical Engineering from BIT, Mesra and an MBA from Haas School of Business at UC Berkeley.

LEAVE A REPLY

Please enter your comment!
Please enter your name here