Shift (Web App) Seguridad Lefter
El concepto de “desplazarse a la izquierda” para atender las preocupaciones de TI adecuadas está creciendo. La idea es básicamente avanzar más hacia las funciones del canal de entrega de desarrollo de aplicaciones que, cuando se aplican antes, pueden generar una mayor estabilidad y seguridad del código resultante. La seguridad es una de esas funciones que pueden producir beneficios significativos en términos de reducción de conflictos y errores que surgen en la producción y cuestan tiempo y dinero que la empresa preferiría no gastar.
La mayoría de las veces, las funciones de seguridad propuestas como listas para "desplazarse a la izquierda" son las que se relacionan directamente con el código: escaneo de vulnerabilidades, parches automáticos, detección de intrusiones y servicios similares. Lo que rara vez (de hecho, probablemente nunca hasta esta publicación) se menciona son los beneficios de trasladar las funciones del firewall de aplicação web a la izquierda.
Existe una buena lógica detrás de desplazar este tipo de funcionalidad hacia la izquierda, es decir, la afinidad de la aplicação . Los servicios altamente afines a la aplicação , como la seguridad de aplicação web, el equilibrio de carga y la optimización, son específicos de una aplicação. No un protocolo como HTTP, sino la aplicação misma. La seguridad y optimización de las aplicação , en particular, a menudo contienen configuraciones que requieren comprender URI específicos (como llamadas API RESTful), los tipos de datos que se intercambian (y sus formatos), así como la identificación de usuarios y dispositivos que pueden ser específicos de la aplicación o partes específicas de la aplicación.
Esto significa que una política de seguridad de una aplicação web se basa en gran medida en la aplicação, lo que significa que la política es buena únicamente para esa aplicação . La coincidencia de datos y URI puede (y de hecho lo hace) introducir la posibilidad de errores, lo que puede provocar que la aplicação deje de funcionar. Cuando ese error aparece por primera vez en producción, ruedan cabezas. Se pierde tiempo, se desperdicia dinero y el presupuesto de cafeína para la semana se dispara y deja a todos los demás bebiendo agua coloreada durante el resto del mes. No está nada bien.
Pasar la configuración y las pruebas de estas políticas afines de la aplicação a la fase de prueba puede suponer una gran ventaja en términos de eliminar la mayoría de los conflictos o errores (con suerte, todos, excepto Heisenberg) y garantizar una implementación más fluida, rápida y menos complicada a través de la cadena de producción.
La creciente disponibilidad de software y ediciones virtuales de los servicios de firewall de aplicação web tradicionales implica la capacidad de aprovisionar estos servicios en una mayor cantidad de entornos y garantizar mayores niveles de acceso en el proceso de implementación. Cambiar la seguridad de las aplicação web a la izquierda también significa la capacidad de aplicar escaneo de vulnerabilidades al servicio de seguridad de las aplicaciones web mientras protege la aplicação bajo prueba, lo que brinda a las operaciones de seguridad y al desarrollo una mejor comprensión de la interacción entre ambos, así como la oportunidad de ajustar las políticas para garantizar un comportamiento adecuado (esperado y deseado). Las políticas, especialmente aquellas que pueden estar encapsuladas en formato de plantilla , son fáciles de mover entre entornos y pueden tratarse como código, almacenado en repositorios y versionado para uso futuro.
La disponibilidad de API y plantillas junto con la virtualización de servicios afines de aplicación hosteada tradicionalmente en la red permite que las organizaciones desplacen la seguridad hacia la izquierda y logren ganancias reales en la optimización del proceso de producción.