¿Puede DevSecOps prevenir un apocalipsis zombie?
- Gestión de apps
Hacer un progreso constante dentro de cualquier iniciativa DevSecOps a menudo puede ser una tarea abrumadora. Los desarrolladores tienden a superar en número a las operaciones, con poca o ninguna responsabilidad de seguridad. Esto deja a DevSecOps condenado a trabajar con la misma pila de seguridad de red que se diseñó originalmente hace décadas para los entornos locales.
Aún así, la expectativa es soportar ciclos de implementación reducidos en entornos nativos de la nube e híbridos sin comprometer los estándares de seguridad.
Para cumplir con un pedido tan alto, los equipos de DevSecOps están armados con grupos de seguridad y listas de acceso (que son más de las mismas tecnologías de firewall distribuido) para asegurar un perímetro que esencialmente ya no existe.
Por qué los entornos nativos de la nube se atascan en la administración de redes basada en reglas
La administración de la infraestructura de red basada en reglas ha funcionado durante décadas, y sin duda seguirá brindando soporte a muchas empresas en el futuro, a menos que su entorno de producción incluya una huella de nube pública que admita ciclos de lanzamiento de implementación continua.
En lugar de dejar de lado la premisa del perímetro binario (dentro o fuera) y redefinirla por completo, los profesionales de la seguridad esencialmente han recreado múltiples perímetros virtualizados en la nube pública. En teoría, podría girar al menos tantos perímetros como instancias en ejecución. Desafortunadamente, las mismas reglas de red que funcionaron bien para un perímetro se descomponen en un entorno virtualizado que tiene cientos de instancias que admiten requisitos que cambian dinámicamente.
De hecho, la naturaleza misma de la nube está impulsada por la lógica de negocios en la capa de aplicación, que se disocia de la infraestructura de red por diseño. Esto crea una situación Catch-22 para los profesionales de seguridad nativos de la nube, lo que obliga a los equipos de DevSecOps a asignar manualmente las reglas de la red a una lógica empresarial altamente ágil y virtualizada. Ningún ser humano puede entregar resultados de manera realista a lo largo del tiempo (y mantenerse sano). La realidad es que la administración de red basada en reglas nunca puede mantenerse al día con los requisitos de la lógica empresarial nativa de la nube.
Independientemente de cuán capacitados sean los equipos de DevSecOps o cuán motivados estén para liderar el nuevo y valiente mundo de un despliegue seguro continuo, la dura verdad tiende a ser decepcionante. Si bien DevSecOps aspira a ofrecer agilidad sin comprometer la seguridad, los profesionales dedican gran parte de su tiempo a eso.
Atrapado por una cultura de seguridad que ha favorecido la burocracia sobre la automatización durante décadas, DevSecOps tiende a perpetuar la misma dicotomía que desencadenó la práctica emergente. En una cultura nativa de la nube impulsada por la innovación y la automatización, la agilidad es lo primero. Esto inevitablemente se convierte en un ejercicio de futilidad: cuanto más ágil sea su implementación, más vulnerable se volverá.
Eso significa renunciar a la idea de que la administración de redes basada en reglas es una metodología de seguridad viable. La complejidad de administrar varios grupos de seguridad dedicados (hasta cinco) para cada instancia rápidamente se sale de control. Dado el imperativo de mantener el entorno ágil de la nube, muchos equipos sacrifican conscientemente la seguridad en el altar de la agilidad, dejando una enorme superficie de ataque vulnerable al acceso sin restricciones.
Descubre la innovación
Para asegurar el éxito empresarial, ahora y a futuro, es imprescindible maximizar el retorno de la inversión existente en software, a la vez que innovar y adoptar nuevas tecnologías. Los retos que hay abordar para competir en un mundo de TI Híbrida incluyen DevOps, Seguridad, Gestión de riesgos y Análisis predictivo. Puedes obtener más información sobre cómo abordar estos retos e innovar en este enlace.