Para ganar la carrera de seguridad en la nube, necesita la receta correcta para el éxito
Para ganar la carrera de la seguridad en la nube, las organizaciones necesitan los ingredientes correctos para una seguridad efectiva, incluida la visibilidad y el control en las nubes, y la automatización de la seguridad, abordando las vulnerabilidades a través del desarrollo y el ciclo de vida de la aplicación
Busque ralentizar a un equipo de desarrollo con seguridad y espere ser recibido con una ola de frustración. Entre la falta de integración de las herramientas de seguridad y la confusión sobre la responsabilidad compartida, los equipos de seguridad a menudo juegan desde atrás cuando se trata de defender los entornos de la nube.
Satisfacer las necesidades de DevOps y las múltiples nubes que las empresas ahora necesitan proteger requiere una plataforma unificada que automatice los controles de seguridad y el cumplimiento para hosts y contenedores, independientemente del proveedor de la nube o el modelo de implementación. Para ganar la carrera de seguridad en la nube, las organizaciones necesitan los ingredientes correctos para una seguridad efectiva a fin de terminar en el círculo de ganadores.
Ingrediente #1: Unificado y portátil
Comencemos con una desafortunada verdad. Las herramientas de seguridad tradicionales simplemente no funcionan en la nube; no están diseñados para escalar junto con entornos de nube dinámicos. El resultado final son brechas en la visibilidad y la seguridad. Enfrentar esos desafíos con soluciones puntuales es insostenible para los equipos de seguridad que buscan mantenerse al día con las realidades de un mundo nativo de la nube. A medida que se hicieron evidentes las limitaciones de esos productos puntuales, esto condujo a enfoques ad hoc diseñados para abordar los puntos ciegos y la falta de integración.
Eliminar las brechas de visibilidad requiere una plataforma de seguridad nativa de la nube: una solución unificada capaz de brindar visibilidad sobre la cantidad cada vez mayor de contenedores y microservicios que las organizaciones actuales necesitan proteger. Armadas con visibilidad integral y descubrimiento continuo de cargas de trabajo, estas plataformas respaldan los esfuerzos para identificar vulnerabilidades y, en última instancia, ayudan a los equipos de DevOps a integrar la seguridad en los flujos de trabajo de CI/CD para que los problemas puedan solucionarse antes de que lleguen a producción.
La seguridad debe moverse a la velocidad de DevOps y debe funcionar en cualquier nube para que cuando las cargas de trabajo se muevan, la seguridad y la visibilidad se mantengan. Es un mundo de múltiples nubes, y las soluciones de seguridad deben vivir en él y no pasarse al exterior.
Ingrediente #2: Automatizado y rápido
Los cambios rápidos también son parte de ese mundo. Los microservicios, por ejemplo, se pueden activar rápidamente y, a menudo, son de corta duración. Si bien pueden simplificar las actualizaciones de aplicaciones, también son un recordatorio de cuán dinámicos son los entornos de nube. Las empresas necesitan saber qué se ejecuta, dónde y quién lo ejecuta. Con el descubrimiento y el monitoreo automatizados de activos, las organizaciones pueden controlar todo lo que sucede en su entorno de nube sin ralentizar nada.
Como se señaló anteriormente, la integración de la seguridad con CI/CD mejora la seguridad al permitir un enfoque de «desplazamiento a la izquierda». La automatización permite que la seguridad se orqueste de manera más efectiva para resolver vulnerabilidades y riesgos de seguridad al principio del ciclo de vida del desarrollo, aunque se debe tener cuidado para evitar que se introduzcan agujeros de seguridad a través de plantillas de infraestructura como código (IaC). Recientemente, una encuesta de 300 CISO realizada por IDC reveló que el 67 % de los encuestados veían las configuraciones incorrectas de seguridad en los entornos de producción como una de las principales preocupaciones. Al automatizar el descubrimiento de configuraciones incorrectas, las organizaciones pueden reducir la posibilidad de que una de ellas se deslice a través de sus defensas e impacte a sus clientes o negocios.
Ingrediente #3: Integrado y escalable
Para garantizar el éxito, los equipos de seguridad y DevOps deben operar como un motor finamente ajustado. A estas alturas debería quedar claro que la seguridad no puede tratarse como una ocurrencia tardía o reforzarse. Debe integrarse en el proceso de desarrollo desde el principio e implementarse para que funcione sin problemas con aplicaciones, instancias en la nube y cargas de trabajo en la nube. Al hacerlo, los equipos pueden crear de forma segura en la nube sabiendo que las aplicaciones nativas de la nube están protegidas desde el plano de control hasta el tiempo de ejecución.
Este es el ingrediente que hace que el término nativo de la nube sea una parte esencial del equipo ganador de seguridad en la nube que está tratando de crear para su organización. Las herramientas no nativas de la nube aumentan la complejidad; no están optimizados para aplicaciones nativas de la nube y dificultan el monitoreo. También requieren más intervención manual.
Por el contrario, las soluciones nativas de la nube garantizan la coherencia en todo el estado de la nube. Impulsadas por API e integradas con herramientas DevOps, las soluciones nativas de la nube permiten a las organizaciones mantener los niveles de seguridad y cumplimiento operando a velocidades máximas para tomar la delantera y ganar la carrera.
La solución adecuada también permitirá a las empresas escalar a voluntad de acuerdo con sus necesidades. A medida que las empresas crecen, la seguridad debe crecer junto con ellas. Las soluciones de seguridad en la nube deben poder escalar a voluntad, agregando y retirando capacidades de la manera más simple posible para que las empresas puedan obtener la seguridad que necesitan cuando la necesitan, donde la necesitan.
Una combinación ganadora
Para ganar la carrera de la seguridad en la nube se requieren los ingredientes correctos, al igual que la protección de su entorno en la nube. La capacidad de aprovechar una plataforma nativa de la nube que brinda visibilidad y control en entornos públicos, privados, híbridos y de múltiples nubes es una combinación ganadora para cualquier negocio.
Al automatizar la gestión de la seguridad en la nube a lo largo del ciclo de vida del desarrollo de aplicaciones y al brindar monitoreo en tiempo real de los recursos de la nube, este tipo de enfoque permite a las organizaciones evitar los tipos de errores de configuración de la nube que a menudo se aprovechan en los ataques cibernéticos e implementar aplicaciones de manera segura.
Fuente: CSO online