BLOG

Seguridad de nivel empresarial para sus aplicaciones en la nube

Robert Haynes Miniatura
Robert Haynes
Publicado el 27 de octubre de 2016

Si tiene aplicações HTTP en la nube (cualquier nube), existe una posibilidad razonable de que sean vulnerables. Las aplicações y los protocolos que ejecutan siguen siendo los principales objetivos de ataques de aplicação como la inyección SQL o las vulnerabilidades del protocolo TLS. De hecho, en un informe reciente de WhiteHat Security , las aplicações de una variedad de sectores industriales fueron “regularmente vulnerables entre 151 y 270 días al año” en más del 50 por ciento de los casos. Esto significa que, para la mayoría de las organizaciones, más de la mitad de sus aplicações son vulnerables la mitad del tiempo.

Los proveedores de nube entienden esto. Han invertido mucho tiempo y dinero en proteger su infraestructura y sus redes. Reconocen la necesidad de una seguridad sólida y, en general, han cumplido con su parte del trato, trabajando duro para proteger los hipervisores, las redes, el plano de control y la seguridad física.  

Sin embargo, proteger la aplicação es un problema más difícil. El firewall de aplicação web, o WAF , se ha convertido en la solución preferida para proteger las aplicações de ataques a la capa de aplicación. Los proveedores de la nube, comprometidos con su misión constante de brindar mejor seguridad a sus clientes, han comenzado a ofrecer servicios WAF. Sin embargo, la seguridad de la capa de aplicación debe lograr un equilibrio delicado entre una protección eficaz y una simplicidad operativa, lo que hace difícil que un servicio en la nube generalizado ofrezca algo más que una protección simple y, francamente, fácilmente derrotable.

El problema es que ejecutar un WAF (cualquier tipo de WAF) es una operación complicada y de alto valor. Se necesitan personas, conocimientos y mantenimiento continuo. Si no se utiliza la tecnología adecuada, todo ese esfuerzo será en vano. Las herramientas básicas de protección de capa 7 generalmente se basan en la coincidencia de patrones simples. Si bien esto puede ser una defensa valiosa contra algunos ataques de rutina, no constituye una protección integral para sus aplicações.

Su mejor opción es utilizar un WAF con todas las funciones (que lo lleve más allá de la coincidencia de patrones básica y lo lleve a los ámbitos de la identificación de clientes, el aprendizaje automático y la inspección de respuestas). Puede elegir el nivel de protección que requiere cada una de sus aplicações o servicios y luego implementar los controles adecuados. Y si bien una protección más completa exige más administración, las soluciones WAF repletas de funciones vienen con mejores herramientas para la gestión y distribución centralizada de políticas.

Si su aplicação necesita protección, es mejor protegerla de manera efectiva. Asegúrese de tener la tecnología adecuada no solo para cumplir con un requisito corporativo o regulatorio, sino también para defender de manera proactiva su aplicação y el negocio que respalda.