Pasar de DevOps a CloudOps: el problema de las cuatro cajas



Dado que los equipos de SOC ejecutan servicios en múltiples plataformas en la nube, su gran preocupación es cómo implementar la configuración de más de 200 servidores de manera integral.

Siempre ha habido problemas con los silos organizativos, es decir, con equipos aislados que no funcionan bien juntos. Quizás por eso comenzaron los silos. Pero una de las desconexiones organizativas más comunes que he visto en los últimos 5 años o más es la de los equipos de seguridad frente a los desarrolladores. A esto lo llamamos el problema de las dos cajas.

Había dos grupos responsables de diferentes aspectos del application y los productos de la empresa. Los desarrolladores se preocupan por hacer que su código funcione, y los equipos de seguridad se preocupan por que su código solo funcione según lo previsto. Puede ver a dónde va esto: los grandes enfrentamientos abrieron una brecha entre los dos equipos. Y este dilema solo empeora con la migración a la nube.

La introducción de DevOps creó un problema de tres cajas.

Los desarrolladores quieren estar completamente enfocados en el código, por lo que la función DevOps asumió las responsabilidades operativas. Y la seguridad es una función operativa.

El modelo DevOps tiene enormes beneficios para la funcionalidad organizacional, impecablemente descritos por Gene Kim en sus libros. Estos incluyen la comunicación abierta, un ambiente de trabajo positivo y el desmantelamiento de silos.

Sin embargo, la seguridad sigue siendo un problema en el modelo DevOps. Históricamente, las herramientas de seguridad se crearon para equipos de seguridad. Con el problema de las dos cajas, los equipos de seguridad eran los únicos responsables de elegir y utilizar las herramientas de seguridad. Pero con el problema de las tres cajas, los equipos de DevOps ahora tienen esa responsabilidad.

Esto no es ideal cuando las herramientas de seguridad todavía están diseñadas para equipos de seguridad. Es posible que la gente de DevOps no esté codificando todos los días, pero piensan como desarrolladores y no quieren herramientas torpes con páginas de documentación.

Las herramientas de seguridad también requieren aportaciones de los desarrolladores, lo que no ha cambiado desde el problema de las dos cajas. Solo la responsabilidad pasó de la seguridad a DevOps. El desafío central de los desarrolladores frente a la seguridad persistió.

Con infraestructuras de nube complejas, los equipos de DevOps se centran en mucho más que la seguridad. Se centran en la orquestación general y la gestión de procesos.

Algunas empresas han encontrado una solución para sortear este desafío. Introduzca CloudOps y el problema de las cuatro cajas.

Las empresas con equipos de CloudOps tienen mucha infraestructura en la nube con una estrategia multinube. Cambian la dinámica a la que se enfrentan los modelos anteriores al incluir la seguridad. Con el problema de las cuatro cajas, los desarrolladores solo son responsables de la codificación y DevOps es responsable de la integración y entrega continuas (CI / CD).

Los equipos de CloudOps se preocupan por la agilidad y la elasticidad. La optimización de la arquitectura, la gestión de costes, la compatibilidad y la excelencia operativa en la nube son su principal objetivo.

Los controles de seguridad no son su prioridad, pero son parte del juego. Stability for CloudOps se centra en la gestión de la postura de seguridad en la nube (CSPM) en lugar de parches y otros desafíos de seguridad clásicos.

Estos equipos están ejecutando servicios en los tres principales actores de la nube. Están menos preocupados por la configuración de cada servidor, sino por cómo acumular la configuración normal de más de 200 servidores de una manera completa.

Ver esta evolución me ha dejado preguntándome, «¿Por qué tanto revuelo?» ¿Cuál es el problema central que lleva a las empresas a reasignar tantos recursos y responsabilidades?

Todo se decrease a la razón inicial del problema de las dos cajas. Los equipos solo quieren centrarse en su responsabilidad principal. Lo que suena genial: la gente está motivada para hacer su trabajo. Pero no querer hablar con otras personas crea un problema, ya que las empresas están formadas por innumerables equipos que deber trabajar juntos para que la empresa funcione.

El problema de las cuatro cajas surge de años de conversaciones dolorosas, procesos rotos y callejones sin salida. Los equipos de CloudOps tienen algunas funciones de seguridad en su equipo y hablan con el equipo de seguridad cuando hay un problema que resolver. Este «hablar» es un sistema de tickets, pero sigue siendo comunicación entre equipos.

Cuando la seguridad (u operaciones de seguridad / SecOps) escanea la infraestructura para asegurarse de que todos los entornos en la nube sean seguros, envían avisos a CloudOps de cualquier problema. CloudOps recibe la alerta que indica el problema, quién es responsable y cómo solucionarlo.

Esto parece tecnología que resuelve un problema de personas. Al automatizar toda la cadena con un sistema de gestión de tickets, los problemas de seguridad se abordan sin que el equipo de seguridad hable con el equipo de desarrollo.

Independientemente de la implementación, el concepto central sigue siendo el mismo: seguridad sin contacto y totalmente automatizada.

Independientemente del enfoque, las empresas buscan soluciones de seguridad que puedan integrarse en este ecosistema automatizado great.

¿Estamos atrapados con el problema de las cuatro cajas?
No lo creo. Es probable que CloudOps agregue funciones de seguridad más tradicionales, como la respuesta a incidentes, haciendo que todo lo relacionado con la administración de la infraestructura de la nube se centralice bajo una función independiente.

Eso sería un gran cambio, como un SOC mini-nube dentro de CloudOps.

Con tal cambio, podríamos ver que el problema se reduce a solo dos o tres equipos involucrados en la seguridad. Si un equipo de CloudOps gestiona toda la seguridad de la infraestructura de la nube, así como la agilidad y la orquestación generales, es posible que solo trabajen con los desarrolladores a través de un sistema de tickets para solucionar problemas de código específicos. Una modificación sería Three Bins para CloudOps, Desarrolladores y DevOps si el tiempo de ejecución y la gestión de canalización de CI / CD permanecen separados.

Esta evolución constante de la estructura de la organización y la responsabilidad de la seguridad dificulta la tarea de dotar de own a un equipo de seguridad o diseñar una pila de seguridad viable.

Mi consejo para toda la gente de seguridad: aprenda algo sobre los entornos en la nube. No hay vuelta atrás de la transformación digital, y usted será el más adecuado si puede proteger la infraestructura de la nube. La necesidad de seguridad no va a ninguna parte, está aumentando. Los desarrolladores, DevOps y CloudOps necesitan la mentalidad de la persona de seguridad para trabajar dentro de la estructura de su organización y garantizar que los datos comerciales permanezcan seguros.

Steve es responsable de la estrategia world-wide y la ejecución de las soluciones Hybrid Cloud Stability y Network Protection de Trend Micro.
Desde que se incorporó a Trend Micro en 2001, Steve ha ocupado diversos puestos, entre los que se incluyen el de director de producto y director de marketing and advertising. También trabajó … Ver biografía completa

Lectura recomendada:

Más información





Enlace a la noticia original