Las arquitecturas de ciberseguridad y los modelos operativos existentes se rompen a medida que las empresas adoptan plataformas de nube pública. ¿Por qué? Casi todas las infracciones en la nube se derivan de una mala configuración, más que de ataques que comprometan la infraestructura subyacente de la nube.
Así que la nube requiere una configuración segura de las aplicaciones y los sistemas. Pero los mecanismos tradicionales de ciberseguridad no fueron diseñados para garantizar una configuración segura ni para operar al ritmo necesario para captar las ventajas de agilidad y rapidez que esperan los líderes empresariales. Como resultado, a medida que las empresas intentan capturar el valor de la nube, deben adoptar nuevas arquitecturas y procesos de seguridad para proteger sus cargas de trabajo en la nube. Así, la migración a la nube puede aumentar no sólo la entrega de valor empresarial, sino también la seguridad de sus sistemas y aplicaciones en comparación con el antiguo mundo local.
La "seguridad como código" (SaC)1 ha sido el enfoque más eficaz para proteger las cargas de trabajo en la nube con rapidez y agilidad. En este punto, la mayoría de los líderes de la nube están de acuerdo en que la infraestructura como código (IaC) les permite automatizar la construcción de sistemas en la nube sin una configuración manual propensa a errores. La IaC lleva esto un paso más allá al definir las políticas y normas de ciberseguridad de forma programada, de modo que puedan ser referenciadas automáticamente en los scripts de configuración utilizados para aprovisionar los sistemas en la nube y los sistemas que se ejecutan en la nube puedan ser comparados con las políticas de seguridad para evitar la "deriva "2 (Anexo 1). Si la empresa, por ejemplo, establece una política según la cual toda la información personal identificable (PII) debe ser encriptada cuando se almacena, esa política se traduce en un proceso que se lanza automáticamente cada vez que un desarrollador envía código. El código que infringe la política de PII se rechaza automáticamente.
La captación de valor en la nube requiere que la mayoría de las empresas construyan un motor de transformación (Recuadro 2) para integrar la nube en el negocio y las tecnologías, impulsar la adopción en los dominios empresariales prioritarios y establecer las capacidades fundacionales necesarias para escalar el uso de la nube de forma segura y económica. El SaC es el mecanismo para desarrollar las capacidades fundamentales en materia de seguridad y gestión de riesgos en la nube.
Sí, el SaC podría implementarse teóricamente en los propios centros de datos de una empresa, pero las capacidades de automatización disponibles en los proveedores de servicios en la nube (CSP) hacen que sea mucho más práctico hacerlo en la nube.
Las tres ventajas más potentes del SaCLa primera ventaja del SaC es la velocidad. Para aprovechar plenamente las ventajas empresariales de la nube, los equipos de seguridad deben moverse a un ritmo al que no están acostumbrados en los entornos locales. La intervención manual introduce fricciones que ralentizan el desarrollo y erosionan la propuesta de valor global de la nube para la empresa.
La segunda ventaja es la reducción del riesgo. Los controles de seguridad locales simplemente no tienen en cuenta los matices de la nube. La seguridad en la nube requiere que los controles se muevan con una carga de trabajo durante todo su ciclo de vida. La única manera de lograr este nivel de seguridad integrada es a través de SaC.
Por último, la SaC es un facilitador del negocio. Los requisitos de seguridad y cumplimiento son cada vez más importantes para los productos y servicios principales de las empresas. En este sentido, el SaC no sólo acelera el tiempo de comercialización, sino que amplía las oportunidades de innovación y creatividad de los productos sin comprometer la seguridad mod apk.
Aplicación del enfoque SaCLa implementación de SaC requiere un cambio sustancial de política, arquitectura y cultura para casi todas las empresas. Por esta razón, a muchas les ha resultado útil utilizar el marco SaC para clasificar las cargas de trabajo según su sensibilidad y criticidad y, a continuación, aplicar controles específicos, basados en el riesgo de la carga de trabajo y el tipo de despliegue. Además, proporciona un proyecto para una arquitectura de estado futuro y describe las decisiones clave que deben tomarse para instanciar el SaC de forma eficaz y eficiente a través de varios casos de uso de automatización. Por último, el marco define cómo debe cambiar el modelo operativo de la empresa para extraer todos los beneficios de la adopción de la nube
Tras clasificar la sensibilidad y la criticidad de la carga de trabajo y sus datos, el siguiente paso es aplicar políticas específicas que, en última instancia, pueden instanciarse como código. Para llegar a este nivel, las organizaciones suelen encontrar tres opciones para cada área de control.
La primera es identificar y redactar nuevas políticas para tener en cuenta las tecnologías que no están presentes en las instalaciones. Consideremos la seguridad de los contenedores, por ejemplo. Las empresas que han operado históricamente en las instalaciones probablemente no están aplicando el escaneo de contenedores en busca de vulnerabilidades en el envío, el despliegue y el tiempo de ejecución. Del mismo modo, deberían existir políticas para utilizar imágenes de confianza y registros seguros. Otro ejemplo de una brecha común en las normas es la seguridad de las API y la necesidad de autenticar el tráfico y controlar el uso de las API con una pasarela.