Uso de las mejores prácticas para asegurar las aplicaciones en los entornos de nubes múltiples

0
926

This post is also available in: Inglés Francés Alemán Italiano Portugués, Brasil Ruso

Desde motores sofisticados de comercio electrónico hasta soluciones de productividad basadas en la nube y herramientas personales en los teléfonos móviles, las aplicaciones impulsan la forma en que se hacen las cosas.

Las organizaciones continúan con la transición de estas aplicaciones a la nube a un ritmo acelerado.

Según el reporte de Radware, el 76 % de los encuestados han acelerado sus planes de migración de las aplicaciones y la infraestructura a la nube.

Las empresas no solo están haciendo la transición a la nube, sino que también están adoptando una estrategia de nubes múltiples. Según los resultados de la encuesta de Flexera, el 93 % de las organizaciones han adoptado la estrategia de la nube híbrida.

La presencia en línea suele ser la actividad comercial principal de muchas empresas, por lo que tanto la seguridad como la disponibilidad de las aplicaciones deben ser sus preocupaciones prioritarias.

Adoptar un entorno heterogéneo en la nube resulta en la falta de continuidad de la gestión, seguridad y generación de informes.

Cada entorno en la nube pública tiene sus propias herramientas de gestión y monitoreo, entrega de aplicaciones y servicios de seguridad.

Los desafíos

Esta falta de consistencia crea una serie de desafíos para la seguridad de las aplicaciones:

Protección de las aplicaciones – En la actualidad los ataques a las aplicaciones son tan diversos que ya no es suficiente protegerlas con solo un firewall de aplicaciones web (WAF). También se necesita protección para la interfaz de programación de las aplicaciones (API) y contra BOTs sofisticados. Mientras los hackers investigan las vulnerabilidades de la red y las aplicaciones para lanzar ataques y obtener acceso a datos sensibles, la protección de las aplicaciones se vuelve crucial para proteger tu empresa y tu marca.

Las organizaciones a menudo tienen que configurar y gestionar múltiples productos de seguridad de las aplicaciones con diferentes capacidades en diferentes entornos. Por último, la superficie de ataque aumenta una vez que una aplicación deja los límites del centro de datos en las instalaciones de la organización.

[También puede interesarte: Gestión de las aplicaciones en múltiples centros de datos: Estudio de un caso]:

Complejidad – Mover las aplicaciones a la nube complica aún más la ciberseguridad. Los proveedores de la nube no brindan controles de seguridad completos, ni las construcciones de seguridad son consistentes entre los diferentes proveedores.

Los servicios entre dominios que abarcan redes, aplicaciones y seguridad requieren experiencia en el dominio y colaboración entre equipos, lo que genera conflictos y retrasos en las pruebas y el aprovisionamiento.

Esto resulta en aplicaciones mal protegidas.

Visibilidad accionable – A medida que las aplicaciones se implementan en nubes públicas y privadas, monitorear su desempeño y la experiencia del usuario, identificar vulnerabilidades de SLA, gestionar los eventos de seguridad de las aplicaciones y diagnosticar su causa raíz son aspectos fundamentales. Un solo panel de vidrio que proporciona visibilidad y análisis de todos estos factores es esencial para asegurar que las aplicaciones de una organización brinden una experiencia digital superior.

[También puede interesarte: Cómo los WAFs pueden mitigar The OWASP Top 10]

Costos inesperados – La capacidad de controlar los costos cuando se asigna la entrega de aplicaciones y los servicios de protección de manera dinámica en entornos heterogéneos es esencial ¿Por qué? Porque muchas organizaciones que implementan dentro de los entornos de la nube pública suelen experimentar costos inesperados una vez que los servicios escalan debido al incremento del uso.

Automatización – Automatizar la implementación de servicios rápidamente, o escalar los recursos de la aplicación de forma dinámica, se vuelve fundamental en un entorno de nube pública porque los precios se estructuran en torno al uso o consumo de los recursos. Cualquier componente de esta cadena de suministro requiere automatización para transformar los procesos impulsados ​​manualmente en pasos automatizados que no requieren experiencia.

Disponibilidad del servicio – La disponibilidad para atender las solicitudes de los usuarios y escalar automáticamente es esencial para las empresas que quieren automatizar las operaciones de soporte. Esto significa tener la capacidad de agregar y eliminar servicios a pedido sin intervención manual para la concesión de licencias, y recuperar la capacidad cuando ya no esté en uso. Esto ahorra tiempo y dinero.

Bloqueo – Esto puede ocurrir debido a que un proveedor de nube podría ofrecer capacidades de seguridad de las aplicaciones y escalabilidad que otro no tiene. Además, la falta de estandarización entre las nubes puede requerir servicios de asesoría de valor agregado, como consejos técnicos y consultoría. 

Capacidades esenciales

Cualquier solución que aborde los desafíos anteriores debe incluir los siguientes elementos para realizar la transición, proteger y gestionar las aplicaciones en la nube:

– Un conjunto completo de tecnologías de seguridad de las aplicaciones integradas de manera sencilla.
– Las mismas capacidades y soluciones en los diversos entornos físicos, virtuales y en la nube.
– Indicadores clave de rendimiento (KPIs) y solución fácil de los problemas en todos los diferentes entornos.
– Por último, la adopción de nubes múltiples no se debería hacer a expensas de los costos, ¡que fue la razón para adoptar la nube en primer lugar!

Seguridad integrada de las aplicaciones: La elección de una solución debe incluir un conjunto completo de módulos de protección de las aplicaciones que proporcione la mejor cobertura de seguridad en toda la superficie de amenazas de las aplicaciones:

– Un firewall de aplicaciones web para protección contra ataques basados en la web (OWASP Top 10 y más allá).
Gestión de bots para protección contra amenazas automatizadas basadas en bots maliciosos.
– Protección completa para proteger contra, y brindar visibilidad completa de las amenazas dirigidas a las APIs.
– Inteligencia de amenazas para la protección contra atacantes desconocidos y activos.

Implementación más rápida: Debe ser fácil de implementar, gestionar y mantener sin necesidad de expertos. Por ejemplo, si tienes varios componentes, como NetOps, SecOps y DevOps, la solución debe ser fácil de implementar el día 1, probablemente por NetOps. El día dos, los equipos de DevOps y SecOps deberían usar las políticas de seguridad predefinidas como una plantilla de autoservicio. Necesitarías expertos en seguridad para crear estas plantillas fáciles de usar. El día 3 y los siguientes, deberían dedicarse a la optimización continua y evolución de las políticas implementadas. Asegúrate de que cualquier solución que implementes permita el aprendizaje.

[También puede interesarte: Workloads de aplicaciones distribuidas en múltiples nubes y centros de datos]

Estandarizada y consistente: Cuando tenías el control de las aplicaciones en tus instalaciones, todo era más fácil. En nubes múltiples, debes asegurarte de que puedes implementar las mismas políticas de manera consistente. Debes tener un panel de control centralizado para gestionar y actualizar las políticas en todos los entornos.

Accionable: Es muy importante hacer un seguimiento de los KPIs y la postura de seguridad. La información debe ser algo con lo que puedes actuar y accionable. Por ejemplo, digamos que tienes demasiados falsos positivos. No deberías depender de expertos en seguridad para mejorar una política.

Costo optimizado: El mundo ya avanza hacia controles de costos centralizados y descuentos por volumen. Asegúrate de que, independientemente de las diferentes tecnologías que utilices para proteger tus aplicaciones, obtienes elasticidad en los precios y de que una capacidad que se da de baja se pueda reutilizar en otro entorno sin un nuevo pago.

Asegurar una implementación híbrida o de nubes múltiples no tiene por qué ser complejo o costoso para las organizaciones. Con la solución y las herramientas correctas, es posible obtener beneficios en las instalaciones y en la nube pública y privada para impulsar el valor de tu empresa.

Artículo anteriorSeguridad y DevOps: No cometas errores
Artículo siguienteMitigación de los ataques Low-and-Slow a las aplicaciones y APIs
Prakash Sinha is a technology executive and evangelist for Radware and brings over 29 years of experience in strategy, product management, product marketing and engineering. Prakash has been a part of executive teams of four software and network infrastructure startups, all of which were acquired. Before Radware, Prakash led product management for Citrix NetScaler and was instrumental in introducing multi-tenant and virtualized NetScaler product lines to market. Prior to Citrix, Prakash held leadership positions in architecture, engineering, and product management at leading technology companies such as Cisco, Informatica, and Tandem Computers. Prakash holds a Bachelor in Electrical Engineering from BIT, Mesra and an MBA from Haas School of Business at UC Berkeley.

Dejar respuesta

Please enter your comment!
Please enter your name here