BLOG

Arquiteturas por aplicativo protegem aplicativos em casa e na nuvem

Miniatura de Lori MacVittie
Lori MacVittie
Publicado em 19 de abril de 2018

Porque uma maçã podre não precisa estragar todo o grupo.

Imagem: Uma maçã podre, BobbyBoggs182

O data center está sendo impulsionado pela transformação digital para mudar. Nuvem, contêineres e violações catastróficas estão forçando o foco na mudança para acontecer mais cedo ou mais tarde. Grande parte do foco está no impacto da entrega contínua e das implantações por aplicativo, que podem causar estragos nos cronogramas de implantação tradicionais. Tentar coordenar cronogramas tradicionais e modernos certamente fará com que até mesmo matemáticos acostumados a resolver problemas de contagem do tipo Josefo desistam e desistam da tentativa.

Se o benefício de implementar uma abordagem arquitetônica por aplicativo para serviços e infraestrutura de aplicativos com relação à implantação contínua não for suficiente para levá-lo nessa direção, considere que também há vantagens significativas de segurança em fazer isso.

Se você puder imaginar o data center e seu perímetro de segurança como um barril e, em seguida, enchê-lo com maçãs (cada uma representando um das centenas de aplicativos que você implantou), notará que uma maçã toca muitas outras. Não todos, mas alguns. E se uma dessas maçãs estraga, a doença se espalha para quem a toca. Que estão tocando uns nos outros, que estão tocando outros, e assim por diante, até que o barril inteiro esteja podre.

Se ao menos o processo fosse tão lento em um data center quando um aplicativo (aplicativo) da Apple quebra. Mas, graças à velocidade digital, a deterioração se espalha pela rede para outros aplicativos muito mais rápido do que as maçãs do ditado que nos alerta sobre o risco.

Este é um dos melhores motivos de segurança para adotar uma arquitetura por aplicativo, mesmo que você não esteja (ou não vá) adotar cronogramas de implantação por aplicativo.

 

Uma arquitetura por aplicativo com menor risco

Adotar uma arquitetura por aplicativo é como embrulhar individualmente cada maçã antes de jogá-la no barril. Mesmo que estrague, ele fica isolado dos outros que está tocando e evita que eles também sejam infectados. Embora certamente gostaríamos de um mundo em que não houvesse risco algum, a maioria de nós não vive em uma terra de arco-íris e unicórnios e reconhece que sempre há risco em um mundo conectado e nosso objetivo é minimizá-lo o máximo possível.

Ao empregar uma arquitetura por aplicativo, podemos atingir esse objetivo restringindo o raio de ataque de um determinado aplicativo para si mesmo, para o máximo de ameaças possível. 

Uma abordagem por aplicativo no data center permite a implantação de uma variedade de serviços de segurança específicos do aplicativo, projetados para mitigar o risco de bots, roubo de credenciais, preenchimento de credenciais, ataques DDoS na camada de aplicativo (como inundações GET, PUSH e POST) e as conhecidas vulnerabilidades OWASP Top Ten.  

A Alert Logic chama isso de “segmentação em nível de aplicativo” e observa que está rapidamente se tornando uma prática recomendada na nuvem:

“O padrão significativo que vemos surgindo repetidamente em instalações de nuvem pública é a segmentação de infraestrutura em nível de aplicativo. Os melhores administradores de nuvem que conhecemos tendem a segmentar cada aplicativo em sua própria VPC (Virtual Private Cloud), o que reduz drasticamente o raio de alcance de qualquer violação. Até mesmo os menores aplicativos WordPress ou Drupal têm seu próprio VPC, então há menos oportunidades para os invasores se moverem lateralmente ou lançarem ataques capazes de se desdobrar rapidamente em calamidades em toda a empresa.”

Essa abordagem funciona igualmente bem no data center e é igualmente crítica (talvez até mais) para proteger aplicativos contra movimentos laterais no caso de uma violação bem-sucedida.

Pode parecer irônico que uma arquitetura por aplicativo não seja tanto sobre proteger todos os outros aplicativos que você implantou quanto qualquer aplicativo individual. Mas adotar essa abordagem força um foco em proteger cada aplicativo individual com a consciência de que é um ponto de entrada potencial e com o entendimento de que todos os outros aplicativos (internos) podem ser um invasor.

Uma abordagem por aplicativo funciona ainda melhor com serviços de aplicativos prontos para a nuvem que podem ser implantados tanto na nuvem (ou em várias nuvens) quanto em casa, no data center. A padronização em uma solução de serviços de aplicativos significa paridade de políticas que garante a segurança consistente desejada à medida que as organizações colonizam nuvens públicas como parte de seus esforços de transformação digital.

Esteja você na nuvem (ou em muitas nuvens) ou em casa no data center, uma arquitetura por aplicativo é uma abordagem de segurança vantajosa para todos, que pode reduzir o risco para aplicativos individuais ao mesmo tempo em que protege todo o barril e mantém o negócio competitivo na economia digital.