BLOG | OFICINA DEL CTO

El proxy es un componente clave para el futuro de la seguridad

Miniatura F5
F5
Publicado el 5 de diciembre de 2019


A medida que avanzamos hacia la tercera fase de la transformación digital , la recopilación y el análisis de datos y telemetría de cada punto de la ruta de la aplicação del código al cliente es fundamental. Las empresas dependen en gran medida de análisis con aprendizaje automático que proporcionan todo tipo de datos, como patrones de uso de los consumidores, seguimiento de inventario y variaciones estacionales que mejoran el rendimiento, crean eficiencias y aumentan la ventaja competitiva. Al mismo tiempo, el aprendizaje automático también es fundamental para combatir las amenazas de seguridad avanzadas que las empresas enfrentan hoy y seguirán enfrentando en el futuro.

Sin embargo, todavía existe un debate arquitectura de seguridad que es fundamental para aprovechar el valor del aprendizaje automático: ¿filtrado de paquetes o proxy? Este debate estaba muy presente hace casi veinte años, cuando yo era pasante en el grupo de innovación en seguridad de la Oficina del CTO de Cisco, y continúa hoy en día.

Al principio, el filtrado de paquetes de red pareció triunfar gracias a la concentración en las velocidades y los avances. Los métodos de filtrado de paquetes operan sobre paquetes individuales, lo que en el pasado a menudo los hacía más rápidos que sus primos proxy orientados a la conexión. Las soluciones de seguridad basadas en enfoques de filtrado de paquetes evolucionaron hacia motores con más estado que se volvieron "conscientes de la aplicación" y pusieron un mayor foco en la aplicação y la identidad. Aun así, la propuesta de valor central de la seguridad basada en el filtrado de paquetes dependía en gran medida de la inspección de paquetes individuales a gran velocidad.

Con el tiempo, sin embargo, los servidores proxy programables “con fluidez en aplicaciones” evolucionaron para proporcionar un valor que eclipsó las ventajas iniciales del filtrado de paquetes. La clave de ese valor es doble: En primer lugar, los servidores proxy proporcionan visibilidad de cada interacción (desde el usuario hasta la aplicação, desde la red hasta la aplicação y a través de flujos comerciales lógicos), lo que permite detectar ataques avanzados. Y en segundo lugar, un proxy programable puede inyectar código, enriquecer encabezados e insertar datos de seguimiento para instrumentar dinámicamente clientes y aplicações. En otras palabras, la inspección ya no era suficiente: los servidores proxy brindan la capacidad fundamental de instrumentar las interacciones con la amplitud y profundidad de datos necesarios para descubrir patrones y producir información de seguridad procesable.

El poder de la inspección y la instrumentación

Está claro que todavía es necesario filtrar el tráfico malo y centrar las capacidades de inspección en el tráfico bueno. Esto brinda a las organizaciones la capacidad de abarcar tanto aspectos amplios como profundos, con una arquitectura que se alinea con un enfoque de diseño de “confianza cero” al conectar la identidad del usuario con otras políticas de control de acceso.

Además, la sofisticación de los ataques ha ido más allá de los ataques rudimentarios detectados con un análisis de un "punto en el tiempo" de una conexión con un único dispositivo en línea como un WAF. La detección y mitigación de ataques avanzados requiere la correlación de múltiples señales o puntos de datos durante un período de tiempo en toda la ruta de datos.

El futuro de la seguridad depende de la telemetría, que es mucho más que puntos de datos técnicos extraídos de paquetes. Requiere una visión holística de las interacciones desde el cliente hasta la aplicação y el comportamiento. El aprendizaje automático requiere enormes cantidades de datos para establecer y reconocer patrones. Es por esto que los servidores proxy programables son una parte tan importante de un enfoque de seguridad avanzado. Los datos de alta fidelidad recibidos desde la instrumentación garantizan datos de gran calidad que permiten la protección contra ataques a las aplicação e incluso su predicción.

Al final del día, a las empresas les resultará muy difícil obtener las mejoras de rendimiento, la eficiencia y las ventajas competitivas que pueden derivar del aprendizaje automático si luchan constantemente contra ataques avanzados utilizando la mitad de las herramientas de que disponen.