Las arquitecturas por aplicación protegen las aplicaciones en casa y en la nube
Porque una manzana podrida no tiene por qué arruinar el resto.
Imagen: Una manzana podrida, BobbyBoggs182
El centro de datos está siendo impulsado por la transformación digital hacia el cambio. La nube, los contenedores y las infracciones catastróficas están obligando a poner el foco en el cambio para que llegue más temprano que tarde. Gran parte de la atención se centra en el impacto de la entrega continua y las implementaciones por aplicación, que pueden causar estragos en los cronogramas de implementación tradicionales. Intentar coordinar horarios tradicionales y modernos seguramente provocará que incluso los matemáticos que se sienten cómodos resolviendo problemas de conteo tipo Josefo se den por vencidos y abandonen el intento.
Si el beneficio de implementar un enfoque arquitectónico por aplicación para los servicios y la infraestructura de la aplicação con respecto a la implementación continua no es suficiente para avanzar en esa dirección, considere que también existen importantes ventajas de seguridad al hacerlo.
Si puedes imaginar el centro de datos y su perímetro de seguridad como un barril y luego llenarlo con manzanas (cada una representando una de los cientos de aplicaciones que has implementado), notarás que una manzana toca a muchas otras. No todos, pero algunos de ellos. Y si una de esas manzanas se echa a perder, el contagio se propaga a todos los que la tocan. Los cuales tocan a otros, los cuales tocan a otros, y así sucesivamente hasta que todo el barril está podrido.
Ojalá el proceso fuese igual de lento en un centro de datos cuando una aplicación falla. Pero gracias a la velocidad digital, el daño se propaga a través de la red a otras aplicaciones mucho más rápido que las manzanas del adagio que nos advierten del riesgo.
Esta es una de las mejores razones de seguridad para adoptar una arquitectura por aplicación, incluso si no está (o no estará) adoptando cronogramas de implementación por aplicación.
Una arquitectura por aplicación con menor riesgo
Adoptar una arquitectura por aplicación es como envolver individualmente cada manzana antes de arrojarla al barril. Incluso si sale mal, queda aislado de los demás con los que tiene contacto y evita que se infecten también. Si bien sin duda disfrutaríamos de un mundo en el que no hubiera riesgos, la mayoría de nosotros no vivimos en una tierra de arcoíris y unicornios y reconocemos que siempre hay riesgos en un mundo conectado y nuestro objetivo es minimizarlos tanto como sea posible.
Al emplear una arquitectura por aplicación, podemos alcanzar ese objetivo restringiendo el radio de explosión de una aplicação determinada a sí misma para tantas amenazas como sea posible.
Un enfoque por aplicación en el centro de datos permite la implementación de una variedad de servicios de seguridad específicos de cada aplicación diseñados para mitigar el riesgo de bots, robo de credenciales, credential stuffing, ataques DDoS a la capa de aplicación (como inundaciones GET, PUSH y POST) y las conocidas vulnerabilidades Top Ten de OWASP.
Alert Logic lo denomina “segmentación a nivel de aplicación” y señala que se está convirtiendo rápidamente en una práctica recomendada en la nube:
“El patrón significativo que vemos surgir una y otra vez en las instalaciones de nube pública es la segmentación de la infraestructura a nivel de aplicación. Los mejores administradores de nube que conocemos tienden a segmentar cada aplicação en su propia VPC (nube privada virtual), lo que reduce drásticamente el radio de explosión de cualquier violación individual. Incluso las aplicaciones más pequeñas de WordPress o Drupal obtienen su propia VPC, por lo que hay menos oportunidades para que los atacantes se muevan lateralmente o lancen ataques capaces de convertirse rápidamente en calamidades a nivel empresarial”.
Este enfoque funciona igual de bien en el centro de datos y es igual de crítico (quizás más) para proteger las aplicaciones contra el movimiento lateral en caso de una violación exitosa.
Puede parecer irónico que una arquitectura por aplicación no se centre tanto en proteger todas las demás aplicaciones implementadas como a cada aplicación individual. Sin embargo, este enfoque obliga a centrarse en proteger cada aplicación individual, conscientes de que es un punto de entrada potencial y de que cualquier otra aplicación (interna) podría ser un atacante.
Un enfoque por aplicación funciona incluso mejor con servicios de aplicação preparados para la nube que pueden implementarse tanto en la nube (o en múltiples nubes) como en casa, en el centro de datos. La estandarización de una solución de servicios de aplicação significa paridad de políticas que garantiza la seguridad consistente deseada a medida que las organizaciones colonizan nubes públicas como parte de sus esfuerzos de transformación digital .
Ya sea que esté en la nube (o en muchas nubes) o que se quede en casa en el centro de datos, una arquitectura por aplicación es un enfoque de seguridad beneficioso para todos que puede reducir el riesgo para las aplicaciones individuales al mismo tiempo que protege todo el conjunto y mantiene la empresa competitiva en la economía digital.