La seguridad de la aplicación está cambiando. Como resultado, los equipos de DevOps son cada vez más responsables de la seguridad. Si bien la experiencia de DevOps en los procesos del ciclo de vida del desarrollo les permite introducir eficazmente los requisitos de seguridad en las primeras etapas del ciclo de vida del software, estos equipos pueden no tener los recursos para anticiparse a las amenazas, ni la amplitud de conocimientos suficientes para aplicar las diversas soluciones y políticas de seguridad necesarias para proteger las aplicaciones modernas.
Los servicios de seguridad en la nube nativos brindan a los desarrolladores de unidades de negocios y DevOps opciones específicas para la plataforma que funcionan bien para muchos requisitos de aplicação . Sin embargo, a medida que las organizaciones adoptan cada vez más soluciones multicloud, los costos de estos servicios nativos comienzan a superar los beneficios. Si bien unos pocos servicios de seguridad son suficientes en una única plataforma en la nube, se necesitan muchos servicios de seguridad para brindar la misma protección en dos o más plataformas en la nube. Cada plataforma tiene sus propios requisitos de gestión de identidad, políticas de seguridad, API y procedimientos de gestión, lo que reduce la eficiencia general. Aumentar la eficiencia operativa y la seguridad es una prioridad máxima para las iniciativas de transformación digital empresarial y los objetivos de liderazgo empresarial.
La complejidad de implementación y gestión asociada con los servicios de seguridad nativos es la primera fuente importante de ineficiencia operativa. Las dificultades asociadas con la gestión de todos los componentes de múltiples servicios de seguridad nativos pueden tener graves consecuencias negativas para una empresa. Brechas de seguridad en configuraciones incorrectas fueron explotados en el 66% de los ataques (ya sea a través de atacantes que explotan una falla en el firewall de la aplicação web para acceder a las credenciales de la cuenta o atacantes que aprovechan un recurso mal configurado). Los ingenieros de DevOps tienen la tarea de identificar el tiempo de comercialización más rápido posible. Reducir la sobrecarga asociada con el mantenimiento y la comprensión de las políticas de seguridad en múltiples proveedores de nube puede permitir que los equipos de DevOps concentren mejor su atención y recursos en ese objetivo.
El cambio a otro proveedor que pueda implementar una política de seguridad consistente en todas las aplicaciones en un entorno multinube puede reducir significativamente la cantidad de gastos de implementación de seguridad que recae sobre los equipos de DevOps. El uso de este tipo de servicio puede reducir la frecuencia con la que las malas configuraciones de seguridad son empujadas a los entornos de producción. Simplifica la integración de políticas y configuraciones en los conductos de CI/CD proporcionando a los equipos de DevOps un conjunto de herramientas de automatización que pueden utilizarse para la estandarización, lo que a su vez permite integrar los servicios de seguridad en las cadenas de herramientas de automatización empresarial existentes.
La baja visibilidad de la seguridad de la infraestructura en la nube es otra fuente de menor eficiencia operativa que conlleva el uso de servicios de seguridad nativos. Aunque las organizaciones se benefician de una implementación más rápida cuando utilizan servicios nativos, el 36% de los encuestados admite que estos servicios nativos no brindan visibilidad adecuada de la infraestructura de seguridad en la nube. Si bien los equipos de DevOps se hacen cargo cada vez más de la implementación y la gestión de la seguridad de las aplicação , la supervisión de la seguridad empresarial y los informes siguen siendo responsabilidades de SecOps. Los servicios de seguridad en la nube distribuidos y nativos significan que los informes y análisis de seguridad también serán distribuidos y específicos de la nube de manera predeterminada. La naturaleza distribuida de los análisis ofusca el panorama de seguridad del sistema en su conjunto. Como resultado, los equipos de SecOps podrían solo ser capaces de Dar recomendaciones aisladas y específicas para cada proveedor. El uso de servicios de seguridad comunes implementados a través de un proveedor de seguridad multi-nube estandarizado garantiza que las mismas políticas de seguridad se compartan entre todas las aplicações. Esto permite que SecOps haga recomendaciones basadas en análisis de seguridad compartidos de una manera que beneficia a todo el sistema.
La necesidad de adoptar una estrategia de seguridad multicloud que garantice el cumplimiento entre diferentes proveedores de nube es otra fuente de ineficiencia operativa con los servicios de seguridad nativos. Los equipos de DevOps deben cumplir con los requisitos de seguridad internos y de la industria. Históricamente, los equipos centralizados de InfoSec ayudan a establecer y auditar controles de seguridad en todas las aplicações, particularmente en organizaciones como las de atención médica y servicios financieros que trabajan con información personal confidencial o protegida. Con el cambio hacia la izquierda en la seguridad de las aplicação , DevOps ahora es tan responsable de mantener la alineación con los requisitos de seguridad empresarial como SecOps. Es difícil mantener los requisitos de seguridad empresarial cuando las políticas de seguridad nativas son exclusivas de un proveedor de nube específico, ya sea AWS, Azure o Google Cloud. Las auditorías también se vuelven menos eficientes. La implementación de políticas de seguridad comunes en múltiples nubes reduce el tiempo dedicado a auditar configuraciones de seguridad. La inclusión de soluciones de visibilidad puede permitir a una organización crear una ventanilla única que reduzca la complejidad de las pruebas de cumplimiento y mejore la colaboración entre equipos.
Los cambios en las convenciones de desarrollo de aplicaciones han aumentado las responsabilidades relacionadas con la seguridad que recaen en el ámbito de DevOps. Como resultado, es más preciso referirse a estos equipos como DevSecOps y reconocerlo como parte del modelo operacional de seguridad de SecOps. El uso continuo de políticas de seguridad nativas y específicas del proveedor añade una importante sobrecarga administrativa, eliminando gran parte del beneficio del modelo DevOps. La estandarización en torno a una solución de seguridad empresarial multinube aumenta la eficiencia operativa y crea oportunidades para conectar con nuevos socios estratégicos de seguridad, reduciendo el potencial de pérdida de eficiencia operativa al pasar a un entorno multinube.