Seguridad en la nube: El perímetro empresarial

Cuando Leónidas de Esparta se encontró ante la perspectiva de defender Esparta contra un ejército persa mucho más grande y más cruel, eligió específicamente el estrecho paso de las Termópilas para hacerlo. En la batalla del puente de Stirling , William Wallace y sus fuerzas escocesas aprovecharon el estrecho cruce del puente para derrotar a los ingleses. Cuando estás atrapado en una mazmorra, te quedas parado en la puerta, reduciendo las capacidades efectivas de esos cien zombis a solo dos o tres a la vez.     

La estrategia de obligar a un atacante a atravesar un único punto de control restrictivo es antigua. Básicamente reduce la ventaja de tener un número significativamente mayor de atacantes que de defensores.

Hemos estado utilizando esta estrategia durante años en tecnología. Se llama cortafuegos. Es un punto de control estratégico y generalmente es “la puerta de entrada” al objetivo (aplicaciones y datos). Y eso funcionó muy bien, siempre y cuando todo estuviera detrás del firewall y fuera el único punto a través del cual un atacante podía acceder a su objetivo.

Sin embargo, con la prevalencia actual de la nube, los atacantes tienen muchos más puntos a través de los cuales pueden acceder a sus objetivos. Cada aplicación requiere su propio perímetro de protección. Necesitan su propia protección DDoS y sus propias políticas de seguridad de aplicação web personales y privadas. Necesitan básicamente las mismas protecciones que siempre han tenido, pero ahora las necesitan en otro lugar. La arquitectura, no los dispositivos, es tan importante para proteger las fuerzas de su negocio (es decir, sus aplicaciones) desplegadas en el vasto campo de batalla que es Internet.

Hay varias opciones disponibles. Por ejemplo, puede implementar protección por aplicación como parte de un “paquete de arquitectura de aplicação ” más grande donde sea que se implemente. Esto podría ser local, en un entorno inspirado en la nube, o podría ser en la nube pública. Dondequiera que esté, ahí está, y ahí es donde implementas tus protecciones, con la aplicação para formar un perímetro por aplicación que es específico para la aplicación y brinda el mismo control estratégico que brindó el paso en las Termópilas.  La ventaja aquí es que la seguridad de la aplicación viene incluida con la misma, necesariamente. Estamos llevando Zero Trust a la nube. 

Otra estrategia se basa en principios presentes en las arquitecturas sin servidor: un enfoque que prioriza la nube para centralizar la seguridad (aún muy demandado en la lista de deseos de muchos profesionales de seguridad) sin sacrificar los beneficios de una solución simplificada basada en la nube. Se trata de adaptar el control estratégico tradicional que ofrece un firewall y trasladarlo a la nube, a un modelo “como servicio”. Este enfoque ofrece a las organizaciones la capacidad de centralizar la seguridad de las aplicaciones y, al mismo tiempo, evitar un modelo probablemente costoso en el que el centro de datos continúa alojando los servicios de seguridad “principales” y todo el tráfico debe fluir a través de él. La mejor manera de abordar esta ineficiencia es migrando la seguridad, como la protección DDoS y los firewalls de aplicaciones, a la nube, donde tanto el ancho de banda como la capacidad y el acceso están ampliamente disponibles. La ventaja de la centralización y la eliminación de la gestión de dispositivos es significativa. 

Independientemente del enfoque que haya elegido (o planee elegir), hay una dura realidad que se destaca: el perímetro corporativo ya no es el perímetro del negocio. Con un número cada vez mayor de aplicaciones en varias nubes y el crecimiento constante pero seguro de la Internet de las cosas, las estrategias de seguridad no solo deben comenzar a considerar cómo proteger las aplicaciones en la nube, sino cómo usar la nube para proteger las aplicaciones en todas partes .