La nueva startup Accurics aborda la infraestructura de la nube …



Accurics ofrece un producto gratuito para evitar la «deriva» entre la infraestructura definida a través del código y la infraestructura que se ejecuta en la nube.

El inicio de seguridad en la nube Accurics surgió del sigilo hoy para enfrentar los desafíos de asegurar la infraestructura en la nube durante todo el ciclo de vida de DevOps. Accurics ha recaudado $ 5 millones en fondos de inversores como ClearSky, WestWave Cash, Firebolt Ventures y Protected Octane.

La compañía también está lanzando una versión gratuita de su plataforma, cuyo objetivo es minimizar la «deriva» entre la infraestructura definida a través del código y la computación de infraestructura que se ejecuta en la nube. A medida que las organizaciones adoptan nuevas tecnologías como contenedores y sin servidor, la infraestructura en la nube se está volviendo cada vez más inmutable, y la infraestructura rara vez se modifica después de su implementación. Si es necesario modificar algo después de la implementación, se debe aprovisionar nueva infraestructura.

La adopción amplia y rápida de tecnologías en la nube está impulsando la innovación, dice el cofundador y CEO de Accurics, Sachin Aggarwal, pero presenta nuevos desafíos en la protección de pilas de nubes más complejas.

Los problemas de seguridad en las implementaciones en la nube a menudo se ignoran porque encontrar y solucionar problemas es costoso y complicado. Los equipos de seguridad lidian con múltiples interfaces de administración, lo que aumenta el riesgo de errores manuales. Las implementaciones híbridas y de varias nubes pueden empeorar el problema.

A medida que aumentan las implementaciones en la nube, también lo hacen los problemas con coherencia. Tecnologías como Docker, Terraform, Kubernetes y OpenFaaS administran la infraestructura a través del código y reducen los errores manuales, pero dificultan el mantenimiento de la gobernanza en la pila de la nube. Luego está la deriva de la nube: en entornos donde el cambio es constante, poco está bloqueado. Los usuarios privilegiados pueden realizar cambios de infraestructura en la producción, pero incluso los cambios legítimos pueden ser riesgosos.

«Lo que sucede es que una vez que se aprovisiona la nube, los usuarios altamente privilegiados tienden a hacer cambios en la nube», dijo Aggarwal a Dim Studying. «Eso podría ser un buen cambio o un mal cambio». Una deriva de la configuración original podría indicar que un empleado necesitaba hacer un cambio en la producción y no tuvo tiempo para volver a implementar una nueva versión en la nube. También podría indicar que un atacante se está moviendo lateralmente en todo el entorno.

Accurics tiene como objetivo proteger la pila nativa de la nube completa durante todo el ciclo de vida de DevOps, desde que se define en código hasta el ciclo de vida de la infraestructura empleada en la producción. Su plataforma escanea códigos como Terraform, Kubernetes YAML, Dockerfile y OpenFaaS YAML para detectar y corregir configuraciones erróneas, violaciones de políticas y posibles rutas de incumplimiento antes de que se aprovisione la infraestructura de la nube. También monitorea la infraestructura implementada en AWS, Azure y Google Cloud Platform para alertar sobre cambios en la producción que podrían introducir una deriva de seguridad.

«La idea es proporcionar suficientes datos a un cliente (mostrando) que algo ha cambiado y se ha movido de su estado unique», explica Aggarwal. Una vez que Accurics detecta un cambio, realiza un análisis para ver si debe integrarse en la foundation del código o revertirse si es malo. Con el tiempo, está destinado a eliminar la deriva y proteger la pila de la nube al conciliar los cambios en la infraestructura de la nube que podrían introducir riesgos a través de la línea de foundation definida a través del código.

«Se está haciendo evidente que las personas usan o dependen más de la automatización que de los procesos manuales», continúa.

Además de monitorear y responder a cambios riesgosos en la producción, Accurics escanea la infraestructura como código para detectar violaciones de las prácticas comunes de cumplimiento y seguridad, como SOC 2, GDPR, PCI, HIPAA, ISO, CIS Benchmark y las mejores prácticas de AWS . Esta es un área en la que Paolo Montini, director de datos de LendingClub y jefe de gestión de riesgos cibernéticos, consideró útil Accurics.

LendingClub es un mercado electronic en línea creado para conectar a prestatarios e inversores, y su posición como empresa de tecnología financiera lo obliga a hacer malabarismos con la innovación, la ciberseguridad y el cumplimiento. La compañía ha estado funcionando desde 2006, mucho tiempo para una empresa de tecnología financiera, y su stack tecnológico es «enorme», con unas 500 a 600 aplicaciones internas, dice Montini. A lo largo de los años de desarrollo, parcheo y mantenimiento de sistemas nuevos y heredados, surgirá una situación en la que algo se rompe en algún lugar. El desafío, dice, es encontrar y solucionar los problemas.

«Por un lado, como compañía de tecnología, necesitamos ser ágiles, movernos rápido y movernos rápidamente, por lo que estamos buscando una solución que pueda implementar un nuevo producto, nuevos servicios y nuevos sistemas que respalden nuestras operaciones de manera rápida y rápida». manera fácil «, explica Montini. «Al mismo tiempo, esto generalmente presenta más riesgos. Tenemos que estar seguros de que, aunque somos ágiles y nos movemos rápidamente con las implementaciones, lo hacemos de forma segura».

LendingClub estaba buscando un producto que ayudara a la compañía a equilibrar la agilidad y la seguridad. A Montini le gustó que Accurics se alineara con la prioridad de seguridad de LendingClub por diseño y verificó diferentes políticas, regulaciones y marcos antes de la implementación. Además, agrega, la plataforma explica el error humano que puede conducir a una configuración incorrecta.

«Siempre vas a depender de los seres humanos al closing del día, y el element humano desafortunadamente introduce imprevisibilidad y errores», agrega. Combinado con la necesidad de agilidad e innovación, aumenta la probabilidad de una configuración incorrecta. Cuando LendingClub ejecutó Accurics por primera vez, detectó configuraciones incorrectas a pesar de la insistencia de los ejecutivos de TI de que todo en producción había sido revisado, y tenían un proceso para rastrearlo.

Contenido relacionado:

Kelly Sheridan es la Editora de personalized de Dim Studying, donde se enfoca en noticias y análisis de seguridad cibernética. Ella es una periodista de tecnología de negocios que previamente reportó para InformationWeek, donde cubrió Microsoft, y Insurance policies & Know-how, donde cubrió asuntos financieros … Ver biografía completa

Más ideas





Enlace a la noticia original