El papel de la visibilidad en la protección de las aplicaciones en la nube


Los enfoques tradicionales de los centros de datos no están diseñados para proteger las aplicaciones modernas en la nube.

Estamos viviendo un renacimiento del desarrollo de aplicaciones. Las organizaciones están cambiando tanto el lugar donde viven las aplicaciones como la forma en que se construyen.

Aplicaciones en vivo en la nube pública
Las aplicaciones se están creando en plataformas de nube pública a un ritmo rápido a medida que las empresas aceleran sus migraciones a la nube. Las nubes públicas ofrecen a los desarrolladores una enorme flexibilidad en cuanto a cómo se crean e implementan las aplicaciones. Esto ha dado lugar a arquitecturas que constan de uno o más de los siguientes:

  • Aplicaciones basadas en instancias o máquinas virtuales
  • Aplicaciones basadas en contenedores
  • Aplicaciones sin servidor

Las aplicaciones se basan en servicios
Casualmente, se está produciendo otro cambio tectónico en la forma en que se crean las aplicaciones, a saber, a través de un enfoque basado en servicios. Cada vez más, las aplicaciones se crean como microservicios que se comunican a través de API bien definidas. A menudo, estas API son remotas o externas. Esto significa que una aplicación puede utilizar varios métodos para realizar una tarea, que incluyen:

  • Twilio para enviar mensajes de texto
  • AWS S3 para almacenar y recuperar imágenes
  • Mailchimp para enviar correos electrónicos
  • Copo de nieve para almacenar y recuperar filas de datos
  • Datadog para registrar eventos

Una nueva categoría de tráfico
Esta colisión de dónde viven las aplicaciones (nube pública) y cómo se construyen (basadas en servicios) está creando una nueva categoría masiva de tráfico: conexiones iniciadas por aplicaciones a program como servicio (SaaS), plataforma como servicio. -servicio (PaaS) e Web de par en par. Por lo general, los puntos finales de servicio a los que se conectan las aplicaciones (por ejemplo, https://api.datadoghq.com para Datadog) se identifican mediante un nombre de dominio completo (FQDN) o URL, que puede traducirse en cientos o miles de protocolos de Net ( Direcciones IP) durante la resolución. Esas listas de direcciones IP son dinámicas. Al mismo tiempo, los controles de seguridad nativos de los proveedores de servicios en la nube, como las listas de management de acceso (ACL), los grupos de seguridad y las tablas de ruta, se basan en direcciones IP.

Por lo tanto, para habilitar de manera confiable este tipo de conexiones en nubes públicas, los controles de seguridad deben relajarse para permitir la comunicación a cualquier dirección IP. Esto generate una superficie de ataque expuesta significativamente mayor que la que las empresas realmente quieren que se abra.

Antes de que las empresas relajaran estos controles, las comunicaciones a destinos externos estaban restringidas a rangos y direcciones IP en listas seguras. Por tanto, si una aplicación o un recurso informático se veía comprometido, su gráfico de comunicación se limitaba a los destinos de la lista segura. Ahora, si esos controles de seguridad de salida se relajan para permitir comunicaciones a cualquier dirección IP, una instancia comprometida podría resultar en:

  • Ser parte de un servidor de comando y regulate (C2) y llevar a cabo actividades nefastas, como distribución de malware, extracción de criptomonedas, interrupción de operaciones, ataques DDoS, and many others.
  • Extraer datos de la nube privada virtual (VPC)

No hace falta decir que las empresas necesitan una mejor gestión y management del tráfico de salida para permitir este tipo de conexiones iniciadas por aplicaciones y máquinas. En pocas palabras, deben poder habilitar un espectro completo de políticas de seguridad que puedan ser utilizadas directamente por los equipos de aplicaciones y DevOps sin complicarlo demasiado o requerir un intercambio constante con los equipos de seguridad para cada aplicación y situación.

¿Quiere asegurar? Empiece por la visibilidad
Dado que no puede asegurar lo que no puede ver, ¿cómo puede obtener visibilidad del tráfico de salida en las nubes públicas? En el antiguo mundo de los centros de datos, existe un perímetro claro para implementar una solución de seguridad de crimson. Estas arquitecturas generalmente ofrecen una solución bien definida que logra visibilidad y cumplimiento al estar en la ruta de la pink de todo el tráfico.

Las nubes públicas, por otro lado, no tienen un perímetro definido. Cada recurso puede estar expuesto a Online con un solo clic: una regla de grupo de seguridad abierta o una ACL, una entrada de tabla de ruta abierta, una dirección IP pública adjunta a una interfaz o alguna combinación de estos.

Estar en la ruta de la pink de todo el tráfico en los recursos de la nube pública no solo no es trivial en ciertos casos, es imposible. Por ejemplo, cuando las aplicaciones inician conexiones a destinos externos, el primer paso es resolver el DNS del destino. En las nubes públicas, ningún otro recurso puede estar en la ruta de ese tráfico porque el proveedor de la nube siempre maneja esa resolución de DNS. Por lo tanto, cualquier solución diseñada para operar y sobresalir en el centro de datos tradicional será ineficaz en una nube pública para la visibilidad. Esta es la razón por la que los proveedores tradicionales de seguridad y monitoreo de redes no pueden proporcionar una solución coherente que consista tanto en visibilidad como en cumplimiento en las nubes públicas.

Resolver problemas de visibilidad y regulate con los supuestos correctos
El futuro del desarrollo de aplicaciones y la infraestructura está en las nubes públicas, y para muchas organizaciones, no es solo el futuro es hoy. Asegurar los datos, las aplicaciones y los servicios en este nuevo entorno es elementary para que las empresas se defiendan de las infracciones, la exfiltración de datos y las pérdidas económicas resultantes. Los enfoques de centros de datos antiguos, basados ​​en demasiadas suposiciones que ya no son ciertas, no pueden lograr estos objetivos en las nubes públicas. Las empresas deben adoptar y desarrollar soluciones que nazcan en la nube y para la nube con los supuestos correctos para la era de la nube pública.

Praveen Patnala es cofundador de Valtix, una empresa de seguridad en la nube. Antes, fue ingeniero de Google Cloud Platform. Anteriormente trabajó en Andiamo antes de unirse como empleado temprano en BloomReach y luego en LaserLike. Praveen se centra en la infraestructura, la seguridad, … Ver biografía completa

Lectura recomendada:

Más información





Enlace a la noticia unique