TRANSFORMACIÓN DIGITAL

Políticas comunes o Servicios nativos: abordar la seguridad multinube

CONTENIDO RELACIONADO

Proteger cada una de las aplicaciones en un mundo multinube. ›

Descubra las mejores prácticas para proteger sus aplicaciones de F5 y Shape.

Más información ›

Los servicios de nubes nativos funcionan hasta cierto punto. Aceleran el desarrollo de aplicaciones que satisfacen las necesidades de la mayoría de los clientes. Sin embargo, los servicios nativos son específicos de un solo proveedor de nubes y carecen de la flexibilidad necesaria para acomodar a los clientes cuyas necesidades no se ajustan a las de la mayoría. La integración de otros proveedores que ofrecen características y políticas de seguridad comunes a través de múltiples proveedores de nube puede ayudarle a contar con aplicaciones que superan a los servicios nativos, permitiendo el uso continuo de múltiples servicios de este tipo en un entorno multinube, mientras se garantiza la coherencia y el cumplimiento de las posturas de seguridad en todas sus aplicaciones.

POLÍTICAS COMUNES O SERVICIOS NATIVOS: ABORDAR LA SEGURIDAD MULTINUBE

Los servicios nativos de seguridad en la nube reducen la eficiencia operativa en los entornos multinube.

La seguridad de la aplicación está cambiando. Como resultado, los equipos de DevOps son cada vez más responsables de la seguridad. Si bien la experiencia de DevOps en los procesos del ciclo de vida del desarrollo les permite introducir eficazmente los requisitos de seguridad en las primeras etapas del ciclo de vida del software, estos equipos pueden no tener los recursos para anticiparse a las amenazas, ni la amplitud de conocimientos suficientes para aplicar las diversas soluciones y políticas de seguridad necesarias para proteger las aplicaciones modernas.

Los servicios nativos de seguridad de la nube proporcionan a los desarrolladores de DevOps y de unidades de negocio opciones de plataforma específicas que funcionan bien para muchos requisitos de aplicación. Sin embargo, a medida que las organizaciones adoptan cada vez más soluciones multinube, los costos de estos servicios nativos comienzan a superar los beneficios. Cuando unos pocos servicios de seguridad bastan en una sola plataforma de nube, se necesitan muchos servicios de seguridad para proporcionar la misma protección en dos o más plataformas de nube. Cada plataforma tiene sus propios requisitos de gestión de identidades, políticas de seguridad, API y procedimientos de gestión, lo que reduce la eficiencia general. El aumento de la eficiencia operativa y la seguridad es una prioridad fundamental para las iniciativas de transformación digital de las empresas y los objetivos de liderazgo empresarial.

Reducción de la eficiencia debido a los gastos de gestión

La complejidad de aplicación y gestión asociada a los servicios nativos de seguridad es la primera fuente importante de ineficiencia operacional. Las dificultades asociadas a la gestión de todos los componentes de los múltiples servicios nativos de seguridad pueden tener graves consecuencias negativas para una empresa. En el 66 % de los ataques se aprovecharon los problemas de seguridad en las configuraciones erróneas (ya sea mediante atacantes que aprovecharon un fallo en el firewall de la aplicación web para acceder a las credenciales de la cuenta o atacantes que se aprovecharon de un recurso mal configurado). Los ingenieros de DevOps tienen la tarea de identificar el tiempo de comercialización más rápido posible. La reducción de los gastos generales asociados con el mantenimiento y la comprensión de las políticas de seguridad en múltiples proveedores de nubes puede permitir a los equipos de DevOps centrar mejor su atención y sus recursos en ese objetivo.

Retos de las operaciones de seguridad: encontrar personal cualificado (39 %), cumplimiento (38 %), visibilidad de la infraestructura (36 %), y retos en la aplicación de políticas de seguridad coherentes (33 %).

El cambio a otro proveedor que pueda implementar una política de seguridad consistente en todas las aplicaciones en un entorno multinube puede reducir significativamente la cantidad de gastos de implementación de seguridad que recae sobre los equipos de DevOps. El uso de este tipo de servicio puede reducir la frecuencia con la que las malas configuraciones de seguridad son empujadas a los entornos de producción. Simplifica la integración de políticas y configuraciones en los conductos de CI/CD proporcionando a los equipos de DevOps un conjunto de herramientas de automatización que pueden utilizarse para la estandarización, lo que a su vez permite integrar los servicios de seguridad en las cadenas de herramientas de automatización empresarial existentes.

Reducción de la eficiencia debido a la disminución de la visibilidad de la seguridad de la infraestructura de la nube

La baja visibilidad de la seguridad de la infraestructura de la nube es otra fuente de reducción de la eficiencia operacional que viene con el uso de los servicios nativos de seguridad. Aunque las organizaciones se benefician de un despliegue más rápido cuando utilizan servicios de este tipo, el 36 % de los encuestados admiten que estos servicios nativos no proporcionan una visibilidad adecuada de la infraestructura de seguridad de la nube. Aunque los equipos de DevOps se encargan cada vez más del despliegue y la gestión de la seguridad de las aplicaciones, la supervisión de la seguridad de la empresa y la elaboración de informes siguen siendo responsabilidades de SecOps. Los servicios de seguridad en la nube distribuidos y nativos significan que los informes y análisis de seguridad también se distribuirán y serán específicos de la nube por defecto. La naturaleza distribuida de los análisis ofusca el panorama de seguridad del sistema en su conjunto. Como resultado, los equipos de SecOps sólo podrían dar recomendaciones aisladas y específicas del proveedor. El uso de servicios de seguridad comunes implementados a través de un proveedor de seguridad multinube estandarizado asegura que las mismas políticas de seguridad sean compartidas a través de todas las aplicaciones. Esto permite a SecOps hacer recomendaciones basadas en análisis de seguridad compartidos de forma que se beneficie todo el sistema.

Reducción de la eficiencia debido al aumento de los gastos de gestión

La necesidad de adoptar una estrategia de seguridad multinube que garantice el cumplimiento entre los diferentes proveedores de nubes es otra fuente de ineficiencia operativa con los servicios nativos de seguridad. Los equipos de DevOps deben cumplir con los requisitos de seguridad tanto internos como del sector. Históricamente, los equipos centralizados de InfoSec ayudan a establecer y auditar controles de seguridad en todas las aplicaciones, particularmente en organizaciones como las de atención sanitaria y servicios financieros que trabajan con información personal confidencial o protegida. Con el cambio en la seguridad de las aplicaciones, DevOps es ahora tan responsable de mantener la alineación con los requisitos de seguridad de la empresa como SecOps. Es difícil mantener los requisitos de seguridad de la empresa cuando las políticas de seguridad nativas son exclusivas de un proveedor de nube específico, ya sea AWS, Azure o Google Cloud. Las auditorías también se vuelven menos eficientes. La implementación de políticas de seguridad comunes para varias nubes reduce el tiempo dedicado a la auditoría de las configuraciones de seguridad. La inclusión de soluciones de visibilidad puede permitir a una organización crear una ventanilla única que reduzca la complejidad de las pruebas de conformidad y mejore la colaboración entre los equipos.

El 96 % de las organizaciones se preocupan por su actual nivel de seguridad en la nube. La pérdida de datos, la detección y respuesta y la gestión de la multinube encabezan la lista de las mayores preocupaciones de las organizaciones.

Adoptar políticas comunes de seguridad mejora la eficiencia de Devsecops

Los cambios en las convenciones de desarrollo de aplicaciones han aumentado las responsabilidades relacionadas con la seguridad que recaen en el ámbito de DevOps. Como resultado, es más preciso referirse a estos equipos como DevSecOps y reconocerlo como parte del modelo operacional de seguridad de SecOps. El uso continuo de políticas de seguridad nativas y específicas del proveedor añade una importante sobrecarga administrativa, eliminando gran parte del beneficio del modelo DevOps. La estandarización en torno a una solución de seguridad empresarial multinube aumenta la eficiencia operativa y crea oportunidades para conectar con nuevos socios estratégicos de seguridad, reduciendo el potencial de pérdida de eficiencia operativa al pasar a un entorno multinube.



MÁS INFORMACIÓN

SOAS 2020 | DEVOPS EDITION

Estado de los servicios de aplicaciones en 2020: DevOps Edition

Descubre cómo los profesionales de DevOps se están ajustando al mundo enfocado en las aplicaciones.

MULTI-CLOUD APPLICATION SERVICES | SOLUTIONS

Multi-cloud application services

Learn more about the application services and management tools that can improve the efficiency of your multi-cloud environment.

LABORATORIO DE SERVICIOS DE NUBE | DEVCENTRAL

Laboratorio F5 Cloud Services ahora ya disponible en GitHub

Explore un práctico laboratorio interactivo de servicios en la nube en GitHub.