A medida que las organizaciones adoptan el desarrollo nativo de la nube, crean nuevos tipos de aplicaciones y microservicios que son más fáciles de escalar y agregan más valor empresarial.
Pero la creciente adopción de microservicios ha introducido nuevos riesgos de seguridad porque los microservicios y las aplicaciones modernas contienen más’piezas’que aumentan la superficie de ataque.
En un mundo donde los perímetros tradicionales están desapareciendo y las organizaciones buscan nuevas estrategias defensivas para hacer frente a las amenazas, hablamos con Idit Levine, director ejecutivo y fundador de Solo.io, para averiguar por qué una red de servicios podría ser la respuesta.
BN: Cómo ¿Los esfuerzos de transformación digital empresarial han afectado la ciberseguridad?
IL: La conclusión aquí es que cada vez que las grandes organizaciones digitalizan sus operaciones y migran aplicaciones a la nube, aumentan su exposición a las amenazas. Los equipos de TI, DevOps y SecOps intentan constantemente mantenerse un paso por delante de posibles piratas informáticos, atacantes y actores de amenazas. El perímetro de seguridad tradicional ha desaparecido, la superficie de ataque sigue creciendo y continúan surgiendo nuevos vectores de ataque.
La aparición de microservicios y tecnologías modernas nativas de la nube ha eliminado el perímetro. No hace mucho tiempo, un perímetro separaba los activos de una empresa del mundo exterior. Hoy en día, las organizaciones están sujetas a amenazas tanto externas como internas, y los ciberdelincuentes se aprovechan del creciente número de recursos expuestos y potencialmente vulnerables en su infraestructura. Especialmente cuando se trata de grandes fuerzas de trabajo remotas y dispersas, que utilizan plataformas en la nube para acceder a las aplicaciones, los sistemas y los datos de la empresa.
La conclusión es que no existe una’solución mágica’, ningún escudo protector único que puede utilizar para cubrir toda la organización. Las amenazas se han vuelto más complejas y las infracciones ocurren meses antes de que se detecte la amenaza. Como tal, las organizaciones adoptan continuamente nuevos tipos de soluciones para reducir su superficie de ataque y mejorar su postura de seguridad para hacer frente a ataques de denegación de servicio (DDOS), incursiones de ransomware y filtraciones de datos.
BN: ¿Cuál es el papel de Service Mesh en el refuerzo de la seguridad?
IL: Service Mesh es un marco de red de aplicaciones que sustenta las arquitecturas de microservicios, lo que facilita la comunicación entre cada uno de los servicios, junto con el tráfico de aplicaciones. monitoreo y administración.
Al aumentar el tráfico en la red, una arquitectura de microservicios conlleva riesgos muy específicos; tenga en cuenta que una aplicación distribuida puede contener muchas piezas, en comparación con las aplicaciones anteriores que solo tenían una. También se realizan más cambios en estas aplicaciones con frecuencia. Posteriormente, las organizaciones deben asegurar cada uno de estos elementos y autorizar el acceso a los equipos de desarrolladores que trabajan en las diversas aplicaciones que soportan. Ahora bien, aunque esto suena como un proceso difícil y complejo de administrar, puede abordarse fácilmente mediante tecnologías de malla de servicio.
Una tecnología de malla de servicio brinda conectividad, seguridad, observabilidad y confiabilidad para la red; lo hace en la capa de plataforma, en lugar de en la capa de aplicación. Como tal, también permite el control sobre el tráfico de red creciente, lo que permite a las organizaciones administrar y proteger cada elemento de un microservicio.
BN: ¿La malla de servicios puede admitir iniciativas de confianza cero?
IL: La respuesta corta es: ¡sí, lo hace! En resumen, la confianza cero permite a las organizaciones validar cada dispositivo, cada transacción, cada vez. Es por eso que es perfecto para entornos de aplicaciones nativas de la nube complejas y de rápido movimiento. La confianza cero y la red de servicios en realidad van de la mano. Son tecnologías complementarias ideales para entornos en contenedores que permiten a los desarrolladores implementar aplicaciones de forma más rápida y segura. Por ejemplo, la malla de servicios de Istio ya se está convirtiendo en la malla de servicios de facto en los entornos de Kubernetes. Por supuesto, las arquitecturas de microservicios pueden estar formadas por cientos, incluso miles de componentes, que los equipos de desarrolladores y otros usuarios actualizan constantemente. Cuando se implementa confianza cero en un entorno de malla de servicios, puede monitorear y facilitar activamente el acceso restringido y”confiable”a escala.
Ayuda a autenticar, validar criptográficamente y autorizar personas, dispositivos y personas. Se puede utilizar para hacer cumplir políticas e identificar amenazas potenciales. Puede delinear patrones de tráfico aprobados, junto con reglas sobre quién puede interactuar con qué. Por ejemplo, si un desarrollador supera cierto límite de tráfico o tiene acceso a una base de datos privada, esa conexión puede cerrarse inmediatamente. Zero Trust agrega controles de seguridad integrales a la malla de servicios y las puertas de enlace API para proteger los microservicios y los entornos en contenedores, lo que mejora drásticamente su postura de seguridad.
BN: ¿La seguridad se ve comprometida si elige una arquitectura’sin sidecar’?
IL: Esto se refiere a la malla ambiental de Istio, que es una innovación más reciente. Básicamente, la malla de servicios simplifica la comunicación entre servicios en arquitecturas de microservicios y basadas en contenedores. Esto facilita el diagnóstico de cualquier error de comunicación que pueda ocurrir en la capa de infraestructura. En general, este proceso acelera el desarrollo, las pruebas y la implementación de aplicaciones.
La red de servicios de Istio generalmente se implementa junto con el código de la aplicación en un contenedor sidecar, que dirige el tráfico y supervisa las interacciones entre los componentes. Es compatible con Kubernetes y ayuda a ofrecer entornos en contenedores basados en microservicios que funcionan sin problemas.
La malla ambiental de Istio es una opción de plano de datos sin sidecar para la malla de servicios de Istio. Ofrece una experiencia más transparente con un soporte de aplicaciones mucho más amplio. Ofrece ahorros de costos, mejoras de rendimiento y seguridad mejorada al mantener la seguridad de confianza cero y la aplicación de políticas. Le permite implementar una arquitectura de confianza cero en la capa de red para otorgar acceso a los equipos DevOps, CloudOps y SRE aplicables, cuando sea necesario. Esto significa que la seguridad no se ve comprometida en absoluto; de hecho, se puede mejorar. La ventaja de la malla ambiental de Istio es que se puede implementar como una infraestructura de malla compartida en las arquitecturas de malla ambiental estándar e Istio, lo que proporciona una mayor escala y flexibilidad.
BN: ¿Qué papel ve usted? para Istio y código abierto en redes de seguridad?
IL: Somos grandes defensores de Istio y continuaremos contribuyendo al desarrollo de Istio service mesh y Istio ambient mesh. Esto incluirá un enfoque en la seguridad y las pruebas de rendimiento.
Siempre estamos interesados en futuras colaboraciones y en recibir comentarios de la comunidad de Istio sobre cómo podemos seguir realizando mejoras. Cuando considera las numerosas funciones de seguridad que ofrece Service Mesh actualmente, como la aplicación de políticas basadas en reglas, la autenticación flexible de usuarios y máquinas y las políticas de confianza cero, ¡no puede evitar entusiasmarse con lo que le depara el futuro!
Crédito de la imagen: Funtap/depositphotos.com