BLOG

Segurança consistente na nuvem requer consistência

Miniatura de Lori MacVittie
Lori MacVittie
Publicado em 11 de abril de 2019

Nos últimos quatro anos consecutivos, perguntamos aos entrevistados globais sobre os desafios enfrentados em sua jornada para um modelo operacional moderno e multinuvem.

Nos últimos três anos, temos ouvido constantemente que o maior desafio é "segurança consistente em todos os aplicativos". Agora, certamente parte desse desafio se deve à maneira como as organizações passaram a operar em uma realidade de múltiplas nuvens — acidentalmente. A maioria caiu nessa por meio de desenvolvedores e unidades de negócios que adotaram a nuvem para "contornar as ineficiências da TI tradicional". Hoje, a multinuvem é uma decisão consciente, motivada principalmente pelo tipo de aplicativo que está sendo implantado.

Mas o desafio da segurança consistente em todos esses aplicativos permanece. Um dos culpados parece ser que os serviços de aplicativos nem sempre acompanham os aplicativos que protegem. Considere estes pontos do nosso State of Application Services 2019 :

A disparidade entre implantações de serviços de aplicativos locais e em nuvem pública gera preocupações de segurança. Embora o número médio de serviços de aplicativos em uso no geral seja de 14, esse número cai pela metade para implantações de nuvem pública. Isso significa que as organizações estão implantando aplicativos na nuvem pública, mas não estão acompanhando as implantações de serviços de aplicativos na mesma proporção.

Enquanto 66% dos entrevistados implantam um WAF, apenas 33% indicam que usam um WAF para aplicativos de produção implantados em uma nuvem pública. Outros serviços de aplicativos relacionados à segurança sofrem o mesmo declínio no uso na nuvem pública, o que é preocupante, porque é quase impossível atingir a paridade da política de segurança sem os serviços de aplicativos que a aplicam.

Quase metade das organizações (48%) com uma iniciativa de transformação digital estão preocupadas com a dificuldade de obter segurança consistente para aplicativos distribuídos entre várias plataformas de nuvem, enquanto 45% dizem que proteger seus aplicativos de ameaças existentes e emergentes é seu maior desafio.

Há três coisas a serem observadas aqui. Primeiro, há uma falta de implantação de serviços de aplicativos relacionados à segurança com os aplicativos que eles foram projetados para proteger na nuvem pública. Isso torna relativamente fácil responder aos 45% dos entrevistados que se perguntam sobre a capacidade de proteger aplicativos contra ameaças existentes e emergentes: comece implantando serviços de aplicativos de segurança para proteger esses aplicativos. Embora não sejam infalíveis, serviços de aplicativos modernos, como firewalls avançados de aplicativos da web, proteção comportamental contra DDoS e defesas contra bots, podem diminuir drasticamente o risco de ser pego de surpresa por uma ameaça emergente. Considerando as taxas em que tais serviços são implantados hoje, parece que uma boa abordagem para lidar com o desafio da segurança consistente é ser consistente sobre os serviços de aplicativos que você está implantando para proteger os aplicativos em todos os ambientes.

Taxas de implantação de serviços de aplicativos de segurança

Em segundo lugar - e talvez menos óbvio - a consistência vai além do serviço do aplicativo. Afinal, existem muitos firewalls de aplicativos web, mas suas capacidades não são necessariamente iguais. Mesmo assumindo a consistência de recursos, é uma tarefa bastante monumental tentar pegar políticas do ON-PREM WAF A e convertê-las em algo utilizável pelo OFF-PREM WAF B. É como entregar a alguém um documento "como fazer" escrito em uma linguagem que ele não entende. Então, primeiro, ele precisa ser traduzido, e isso leva tempo — e conhecimento em ambos os idiomas. Então, sim, será mais fácil aplicar a política de segurança de forma consistente em todos os aplicativos se você padronizar um único provedor para esse serviço de aplicativo. Um serviço, um idioma, uma política.

É um tanto irônico que o principal serviço de aplicativo sem o qual os entrevistados não implementam um aplicativo seja a segurança , mas, ainda assim, analisar os detalhes da implementação mostra que talvez isso não seja totalmente verdade. Na nuvem, pelo menos, parece que a segurança está sendo deixada de lado com mais frequência do que deveria.

Por último - e menos óbvio - não vamos ignorar o fardo operacional de gerenciar manualmente serviços de aplicativos em várias nuvens e data centers. É significativamente mais desafiador gerenciar qualquer coisa manualmente — até mesmo as mesmas coisas — quando dispersas em vários locais. Tratar políticas como artefatos de código e abordar a implantação dos serviços e políticas associadas com foco na automação pode reduzir erros, enganos e omissões que poderiam ocorrer. Automação e orquestração alcançam consistência pela própria natureza dos scripts e códigos que são capazes de replicar o mesmo resultado repetidamente. Como observou o antigo filósofo grego Aristóteles: "Somos o que fazemos repetidamente. A excelência, então, não é um ato, mas um hábito." Automação e orquestração, então, devem ser consideradas um hábito (prática) importante a ser adquirido na busca pela consistência em várias nuvens.

Para alcançar segurança consistente em todos os aplicativos em um mundo multi-nuvem, é preciso consistência:

  1. Consistência na implantação dos serviços de aplicativos que protegem e defendem os aplicativos
  2. Consistência nos recursos do serviço de aplicativo em todos os ambientes
  3. O uso de automação e orquestração para facilitar a implantação rápida, frequente e consistente de serviços de aplicativos e políticas de segurança

Segurança consistente requer comportamento, práticas e ferramentas consistentes . Ao combinar os três, as organizações podem alcançar consistência nas práticas de segurança, adquirindo o hábito de proteger os aplicativos, bem como os negócios e os consumidores que dependem deles.