Las empresas que operan en el entorno monolítico tradicional pueden tener estructuras organizativas estrictas. Como resultado, el requisito de seguridad puede impedirles la transición a un modelo de implementación de aplicaciones híbrido o nativo de la nube.
A pesar de las dificultades obvias, la mayoría de las empresas quieren aprovechar las capacidades nativas de la nube. Hoy en día, la mayoría de las entidades están considerando o evaluando nativos de la nube para mejorar la experiencia de sus clientes. En algunos casos, es la capacidad de extraer análisis de mercado de clientes más ricos o proporcionar excelencia operativa.
Cloud-native es una agenda estratégica clave que permite a los clientes aprovechar muchas capacidades y marcos nuevos. Permite a las organizaciones construir y evolucionar en el futuro para obtener una ventaja sobre sus competidores.
Las aplicaciones están evolucionando.
¡Seamos sinceros! Las aplicaciones están evolucionando muy rápidamente. Las aplicaciones tradicionales ahora se complementan con capacidades adicionales nativas de la nube. Tenemos aplicaciones tradicionales que funcionan con los nuevos servicios frontales o backend modulares en contenedores..
La aplicación principal sigue siendo un monolito de 3 niveles, pero los servicios nativos de la nube están atornillados para enviar datos a la aplicación principal del centro de datos privado..
Objetivos en transición
Idealmente, las empresas tendrán una postura de seguridad con la que estén contentas. Tienen firewalls, IDS / IPS, WAF y segmentación: enfoques que funcionan perfectamente bien.
A medida que nos embarcamos en servicios nativos de la nube, necesitamos agregar otra capa de seguridad. Las empresas deben asegurarse de tener capacidades de seguridad iguales o mejores que antes.
Esto crea un vacío que debe llenarse. La transición implica la capacidad de mantener la cobertura, la visibilidad y el control, en entornos tradicionales, mientras se aprovechan los servicios nativos de la nube. Todo hecho con una postura de seguridad de confianza cero de denegación predeterminada.
El entorno complejo.
Objetivamente, dentro de los entornos tradicionales, hay una variedad de arquitecturas de centros de datos que operan en modelos de implementación públicos, privados, híbridos y de múltiples nubes. Formalmente era solo privado y público, pero ahora las normas convencionales son híbridas y multi-nube..
Hay una transición vectorial que se produce en todo el entorno físico, en la nube y en la aplicación. Esta transición es altamente dinámica y heterogénea. En algún momento futuro, es probable que tengamos conectividad híbrida.
Seguridad y nube híbrida
Uno de los principales enfoques de la conectividad híbrida es en las interacciones. Es común que las grandes empresas tengan un poco de todo. Habrá aplicaciones en la nube, en las instalaciones, microservicios y monolitos. Todas estas entidades viven y operan en silos..
Se necesita una buena cobertura de cada interacción entre componentes dentro de diferentes arquitecturas. Para una seguridad efectiva, uno debe monitorear comportamientos inesperados durante las interacciones. Si se pasa por alto esta cobertura, entonces la puerta está abierta al compromiso ya que estos componentes se comunican con otros. La seguridad será el eslabón más débil..
El enfoque de red tradicional
El enfoque de red tradicional es con lo que todos están familiarizados y es cómo se implementa la mayoría de la seguridad hoy en día. También es la arquitectura menos flexible, ya que la seguridad está vinculada a una dirección IP, VLAN o tupla tradicional de 5. El enfoque tradicional es una forma ineficaz de establecer una política de seguridad..
Además, la creación de redes es específica del proveedor. La forma en que implementa una ACL o VLAN planteará diferentes configuraciones por proveedor y, en algunos casos, también existen diferencias dentro del mismo proveedor. Algunos han evolucionado a Chef o Puppet, pero la mayoría de los vendedores siguen haciendo CLI, que es manual y propenso a errores.
El hipervisor
Para la aplicación, hay una superficie de ataque que abarca todo en el hipervisor. Es muy extenso cuando considera cuántas máquinas virtuales se pueden colocar en un hipervisor. Cuanto más VM, mayor es el radio de explosión.
Por lo tanto, existe la posibilidad de escape de VM, donde el compromiso de una VM puede resultar en que un mal actor acceda a todas las otras VM en ese hipervisor. Esencialmente, un hipervisor puede aumentar inadvertidamente la superficie de ataque.
Cortafuegos basados en host
En los últimos tiempos, los firewalls basados en host hicieron algunas mejoras en la seguridad al evitar el acceso de tráfico entrante no deseado a través del número de puerto. En consecuencia, la superficie de ataque y el control ahora se encuentran en el nivel de carga de trabajo. Sin embargo, todavía nos enfrentamos al problema de que la política se lleva a cabo de manera distribuida..
Las herramientas descritas anteriormente describen una variedad de enfoques de seguridad, todos los cuales se implementan ampliamente en la actualidad. Todas son soluciones necesarias que lo llevan de un modelo de seguridad tosco a uno de grano fino. Sin embargo, el cambio a híbrido y nativo de la nube requiere un enfoque aún más detallado, que se llama confianza cero.
La siguiente fase evolutiva.
Estamos llegando a una fase en la que las soluciones para entornos virtualizados basados en máquinas virtuales en las nubes públicas y privadas están comenzando a madurar. Por lo tanto, a medida que llegamos a esta fase, ya estamos comenzando a presenciar la próxima evolución..
El siguiente paso en la evolución de los entornos dirigidos por DevOps se basa en contenedores y marcos de orquestación. Esto trae otro orden de magnitud a la complejidad del entorno en términos de computación y redes..
Los entornos virtualizados existentes basados en máquinas virtuales no podrán manejar la complejidad que presentan los entornos en contenedores. Entonces, ¿cuál es el camino correcto a seguir??
Independencia de red y aplicación
El marco de seguridad y cumplimiento debe ser independiente de la red. En cierto sentido, deberían operar como dos barcos que pasan en la noche. Además, deben estar basados en la identidad..
El beneficio clave de una solución basada en la identidad es que está obteniendo visibilidad en la comunicación de servicio a servicio, que se convierte en los componentes básicos para la autenticación y el control de acceso.
Políticas de seguridad uniformes y escala adaptativa
Necesita la capacidad de cubrir una amplia variedad de combinaciones posibles. No se trata solo de cubrir diferentes tipos de infraestructuras, también debe cubrir las interacciones entre ellas, que pueden implementarse en entornos muy complejos.
En el mundo moderno, tenemos funciones de orquestación, contenedores, servicios efímeros y dinámicos que cambian con la capacidad de aumentar y disminuir. Por lo tanto, la solución de seguridad debe ser adaptativa con los servicios subyacentes, ya sea que se esté ampliando o evolucionando..
Cifrar automáticamente datos en movimiento (mTLS)
A medida que nuestras aplicaciones abarcan modelos de implementación híbridos y de múltiples nubes, el cifrado se complica con los sistemas de infraestructura de clave pública (PKI) y la administración de tokens.
Si tiene una solución que expande los entornos de aplicaciones, físicos y en la nube, tendrá un enfoque elástico y generalizado. Eventualmente, esto le permite encriptar datos en movimiento sin la sobrecarga de administrar complejos sistemas PKI.
Cero confianza
Cualquier usuario, microservicio, puerto o API puede introducir vulnerabilidades. Esto nos devuelve a cero confianza: "nunca confíes, siempre verifica". La idea de mover el perímetro para proteger los activos internos es un mandato para el modelo de seguridad de confianza cero. Los perímetros aumentarán en número, volviéndose más granulares y más cerca de la carga de trabajo. La identidad será el nuevo perímetro..
Sin embargo, todos los activos que necesitaba proteger, cuando se concentraba únicamente en los servicios salientes, son más complejos en términos de magnitud cuando ahora tiene que proteger los activos internos. Las soluciones actuales simplemente no se escalarán para satisfacer este nivel. Tenemos un orden de magnitud que es mayor en escala que el medio ambiente que necesita proteger.
Por lo tanto, es obligatorio contar con una solución diseñada desde cero, que sea tan escalable como el centro de datos y el entorno informático. La confianza cero se vuelve aún más importante durante el período de transición porque tiene más diálogo entre los servicios y las cargas de trabajo implementadas en diferentes entornos. Además, el medio entre los entornos puede tener un nivel variable de confianza.
Por lo tanto, la decisión de adoptar el enfoque de confianza cero es un elemento crítico para mantener una postura de seguridad efectiva durante la fase de transición. Si no confía en su perímetro, la única forma de asegurarlo es encriptando toda la comunicación entre los servicios.
Resumen de solución de muestra
Idealmente, la solución debe ofrecer una plataforma de seguridad única a nivel de aplicación. Una solución de capa 7 permite a los administradores comprender el "quién" y el "cuándo". Además, ayuda a determinar los servicios que se utilizan mientras se tiene la capacidad de nivel de aplicación aprovechando NLP.
Una red que es independiente y una solución de seguridad centrada en la aplicación es la propuesta de valor base. Cubre una amplia variedad de entornos virtuales y de red con un enfoque en la transición a la nube nativa con un enfoque de confianza cero.
La carga de trabajo centrada, no centrada en la red, es lo que hace que la solución sea más estable, legible y manejable. Amortigua el uso de la automatización para derivar la política de menor privilegio de la actividad observada.
Esto proporciona un enfoque de círculo completo de visualización, actividad, política y las diferencias entre ellos. La política centrada en la carga de trabajo advierte cuando una actividad viola la política y dónde la política puede ser demasiado flexible teniendo en cuenta la actividad observada. Las políticas deben establecerse utilizando atributos lógicos, no atributos físicos..
La plataforma de seguridad garantiza que sepa exactamente lo que está sucediendo, mientras se somete a la transición de entornos de aplicaciones heredados a entornos nativos de la nube. Se determina con éxito, llenando el vacío para una migración segura y sin problemas.
Únase a las comunidades de Network World en Facebook y LinkedIn para comentar temas que son lo más importante.
