BLOG

Necesitamos transformar nuestro modelo de seguridad por completo.

Miniatura de Lori MacVittie
Lori MacVittie
Publicado el 21 de septiembre de 2015

Es un mundo de aplicação . Esto empieza a sonar trillado y cliché, pero sigue siendo cierto. Cuando se trata de seguridad, eso significa que nuestro enfoque debe comenzar con la aplicação y avanzar hacia el usuario.

Pero hoy en día no es así como construimos arquitecturas de seguridad.

Hoy en día construimos arquitecturas de seguridad intentando colocar un muro (de fuego) impenetrable alrededor del perímetro. A medida que avanzamos hacia el interior de la aplicação, las trincheras de seguridad que construimos son cada vez menos granulares hasta que, finalmente, llegamos a la aplicación y prácticamente no queda nada. Nuestra seguridad más afín a la aplicación es la que está más alejada de la aplicación que necesita proteger, y no al revés. Nos deja tratando de escalar masivamente en el borde de la red (donde se requieren los costosos dispositivos basados en hardware para soportar el ancho de banda y la densidad de puertos necesarios) en lugar de escalar más modestamente más cerca de la aplicación, donde un software menos costoso y más fácil de administrar y "dispositivos" virtualizados podrían ubicarse más fácilmente.

Necesitamos dar un giro a esta arquitectura y refactorizar la seguridad para que se ajuste mejor a los modelos de negocio y aplicação actuales. 

Necesitamos dejar de intentar ser “conscientes de las aplicação ” en el perímetro corporativo para poder escalar mejor y obtener valor de la infraestructura de seguridad.  Necesitamos dejar de ser tan agnósticos respecto de las aplicação y comenzar a trasladar todo eso hacia el desarrollo y las operaciones y un modelo de software que se escale tanto económica como arquitectónicamente. Necesitamos una infraestructura de seguridad corporativa genérica en el borde tradicional de la red y una arquitectura de seguridad específica para cada aplicación en el nuevo perímetro: la aplicação.

aplicaciones y brechas de seguridad

Esto es especialmente cierto cuando se considera el impacto que la nube está teniendo en las aplicações . No en el centro de datos, sino en las aplicações . Lo que necesitamos proteger son las aplicações , no la red, y no podemos hacerlo si nuestra estrategia de seguridad depende de tener control total sobre la red (y quién accede a ella). Debemos considerar cómo proteger la aplicação , ya sea que esté en el centro de datos o no, y construir una estrategia de seguridad basada en esa base, en lugar de aquella en la que confiábamos antes de que la nube alterase el centro de datos.

Pensemos en el próximo tsunami de aplicações generadas por la Internet de las cosas y la adopción de arquitecturas de microservicios. Si cada “nueva” tecnología generalmente resulta en un aumento de 10 veces en las aplicações, entonces ¿cuántas aplicações generarán dos “nuevas” tecnologías simultáneas? ¿Cuántas nuevas políticas de seguridad serán necesarias en el borde de la red para dar soporte a todas y cada una de esas aplicações?

Sí. Mucho. Un orden o dos de magnitud más de lo que hay hoy.

¿Qué sucedería si moviéramos esos elementos a la izquierda (en términos del flujo de implementación; a la derecha si estás viendo un diagrama de red tradicional) y los moviéramos a un entorno más definido e implementado por software? ¿Qué sucedería si reclutáramos a las personas que desarrollan y conocen profundamente las aplicações para que nos ayudaran a desarrollar las políticas que las protegerán y luego las integráramos en el proceso de implementación? ¿Entrar en el pipeline de CI/CD? ¿Qué pasaría si empaquetáramos las aplicaciones de la misma manera, con los mismos servicios de seguridad que necesitan, ya sea en la nube pública o en las instalaciones locales? ¿De alguna manera se logró alcanzar una seguridad consistente en todas las infraestructuras de TI que el 60% de las organizaciones considera el factor más importante para proteger los entornos de nube [ Cloud Security Spotlight ]?

¿Eso se escalaría?  

Supongo que sí, con menos interrupciones y mayor capacidad de gestión que el modelo actual.

La nube es disruptiva. La movilidad es disruptiva. La Internet de las cosas será disruptiva. Eso no siempre es malo, especialmente cuando nos brinda la oportunidad de repensar y reevaluar la forma en que implementamos, entregamos y protegemos las aplicações.

Tal vez sea hora de darle un giro a nuestro modelo de seguridad y adoptar la aplicación como el nuevo perímetro, como una mejor forma de escalar la seguridad, proteger las aplicaciones y defender la santidad de nuestros datos.