À medida que as organizações adotam o desenvolvimento nativo da nuvem, elas criam novos tipos de aplicativos e microsserviços que são mais fáceis de escalar e agregam mais valor comercial.
Mas a crescente adoção de microsserviços introduziu novos riscos de segurança porque os microsserviços e os aplicativos modernos contêm mais’peças’que aumentam a superfície de ataque.
Em um mundo onde os perímetros tradicionais estão desaparecendo e as organizações estão buscando novas estratégias defensivas para lidar com as ameaças, conversamos com Idit Levine, CEO e fundador da Solo.io, para descobrir por que uma malha de serviço pode ser a resposta.
BN: Como os esforços de transformação digital corporativa impactaram a segurança cibernética?
IL: O ponto principal aqui é que toda vez que grandes organizações digitalizam suas operações e migram aplicativos para a nuvem, elas aumentam sua exposição a ameaças. As equipes de TI, DevOps e SecOps estão constantemente tentando ficar um passo à frente de possíveis hackers, invasores e agentes de ameaças. O perímetro de segurança tradicional desapareceu, a superfície de ataque continua crescendo e novos vetores de ataque continuam surgindo.
O surgimento de tecnologias e microsserviços modernos nativos da nuvem eliminou o perímetro. Não faz muito tempo, um perímetro separava os ativos de uma empresa do mundo exterior. Atualmente, as organizações estão sujeitas a ameaças externas e internas, com os cibercriminosos aproveitando o número crescente de recursos expostos e potencialmente vulneráveis em sua infraestrutura. Especialmente quando você está lidando com forças de trabalho remotas grandes e dispersas, todas usando plataformas de nuvem para acessar aplicativos, sistemas e dados da empresa.
O resultado final é que não há’bala de prata’, nem escudo protetor único que você pode usar para cobrir toda a organização. As ameaças se tornaram mais complexas, com violações ocorrendo meses antes de a ameaça ser detectada. Como tal, as organizações estão adotando continuamente novos tipos de soluções para reduzir sua superfície de ataque e melhorar sua postura de segurança para lidar com ataques de negação de serviço (DDOS), incursões de ransomware e violações de dados.
BN: Qual é o papel da malha de serviço no reforço da segurança?
IL: A malha de serviço é uma estrutura de rede de aplicativos que sustenta arquiteturas de microsserviços, facilitando a comunicação entre cada um dos serviços, juntamente com o tráfego de aplicativos monitoramento e gerenciamento.
Ao aumentar o tráfego na rede, uma arquitetura de microsserviços traz riscos muito específicos–lembre-se de que um aplicativo distribuído pode conter muitas partes, em comparação com aplicativos anteriores que tinham apenas uma. Também há mais alterações sendo feitas nesses aplicativos com frequência. Posteriormente, as organizações são obrigadas a proteger cada um desses elementos e autorizar o acesso às equipes de desenvolvedores que trabalham nos vários aplicativos aos quais eles dão suporte. Agora, embora isso pareça um processo complicado e complexo de gerenciar, ele pode ser facilmente resolvido por tecnologias de malha de serviço.
Uma tecnologia de malha de serviço oferece conectividade, segurança, observabilidade e confiabilidade para a rede; ele faz isso na camada da plataforma, e não na camada do aplicativo. Como tal, ele também permite o controle sobre o crescente tráfego de rede, permitindo que as organizações gerenciem e protejam todos os elementos de um microsserviço.
BN: A malha de serviço pode oferecer suporte a iniciativas de confiança zero?
IL: A resposta curta é: sim! Para recapitular, a confiança zero permite que as organizações validem cada dispositivo, cada transação, todas as vezes. É por isso que é perfeito para ambientes de aplicativos nativos de nuvem complexos e dinâmicos. Zerotrust e malha de serviço realmente andam de mãos dadas. São tecnologias complementares ideais para ambientes conteinerizados, permitindo que os desenvolvedores implementem aplicativos com mais rapidez e segurança. Por exemplo, a malha de serviço do Istio já está se tornando a malha de serviço de fato em ambientes Kubernetes. É claro que as arquiteturas de microsserviços podem ser compostas por centenas, até milhares de componentes, constantemente atualizados por equipes de desenvolvedores e outros usuários. Quando a confiança zero é implementada em um ambiente de malha de serviço, ela pode monitorar ativamente e facilitar o acesso restrito e”confiável”em escala.
Ele ajuda a autenticar e validar criptograficamente e autorizar pessoas, dispositivos e personas. Ele pode ser usado para impor políticas e identificar possíveis ameaças. Ele pode delinear padrões de tráfego aprovados, juntamente com regras para quem pode se envolver com o quê. Por exemplo, se um desenvolvedor exceder um determinado limite de tráfego ou tiver acesso a um banco de dados privado, essa conexão poderá ser encerrada imediatamente. Zero-trust adiciona controles de segurança abrangentes à malha de serviço e gateways de API para proteger microsserviços e ambientes em contêineres, melhorando drasticamente sua postura de segurança.
BN: A segurança é comprometida se você escolher uma arquitetura’sidecarless’?
IL: Isso é uma referência ao Istio ambient mesh, que é uma inovação mais recente. Essencialmente, a malha de serviço simplifica a comunicação entre serviços em arquiteturas baseadas em contêineres e microsserviços. Isso facilita o diagnóstico de qualquer erro de comunicação que possa ocorrer na camada de infraestrutura. No geral, esse processo acelera o desenvolvimento, o teste e a implantação de aplicativos.
A malha de serviço do Istio é normalmente implantada junto com o código do aplicativo em um contêiner sidecar, que direciona o tráfego e monitora as interações entre os componentes. É compatível com o Kubernetes e ajuda a fornecer ambientes em contêiner baseados em microsserviços de execução suave.
A malha de ambiente do Istio é uma opção de plano de dados sem sidecar para a malha de serviço do Istio. Ele oferece uma experiência mais transparente com suporte a aplicativos muito mais amplo. Ele oferece economia de custos, melhorias de desempenho e segurança aprimorada, mantendo a segurança de confiança zero e a aplicação de políticas. Ele permite que você implemente uma arquitetura de confiança zero na camada de rede para conceder acesso às equipes aplicáveis de DevOps, CloudOps e SRE, conforme e quando necessário. Isso significa que a segurança não é comprometida; na verdade, pode ser aprimorado. A vantagem da malha de ambiente do Istio é que ela pode ser implantada como uma infraestrutura de malha compartilhada nas arquiteturas padrão e de malha de ambiente do Istio, proporcionando maior escala e flexibilidade.
BN: Qual função você vê para Istio e código aberto em redes de segurança?
IL: Somos grandes defensores do Istio e continuaremos a contribuir para o desenvolvimento da malha de serviço do Istio e da malha de ambiente do Istio. Isso incluirá um foco em testes de segurança e desempenho.
Estamos sempre interessados em colaborações futuras e em receber feedback da comunidade do Istio sobre como podemos continuar a fazer melhorias. Quando você considera os muitos recursos de segurança que a malha de serviço oferece atualmente, como aplicação de políticas baseadas em regras, autenticação flexível de usuários e máquinas e políticas de confiança zero, você não pode deixar de ficar animado com o que o futuro reserva!
Crédito da imagem: Funtap/depositphotos.com