Segurança de data center e nuvem — Por que precisamos de uma revolução
Apresentando uma série de blogs do CTO da Illumio, PJ Kirner, que abordará os principais conceitos para ajudar você a pensar sobre a segurança do data center e da nuvem de uma nova maneira e realinhar sua abordagem com a evolução dos requisitos em todos os ambientes de aplicativos.
As revoluções acontecem por um bom motivo. Eles são o resultado de uma divergência de expectativas e realidade, causando uma frustração reprimida que impulsiona a necessidade de mudança. As formas antigas não se alinham mais aos novos requisitos e a pressão atinge um ponto de ebulição em que não há outra opção a não ser fazer essa mudança.
As evoluções nos aplicativos, no data center e na nuvem levaram a segurança ao limite, onde formas antigas, como pontos de estrangulamento e abordagens baseadas em rede, não se alinham mais aos novos requisitos das equipes de aplicativos. Essas equipes se acostumaram com novos modelos de utilização de recursos e entrega de aplicativos e não há como voltar atrás. É hora de uma revolução na segurança.
Pressão do data center
Vimos o data center evoluir rapidamente na última década e meia, o que nos permitiu utilizar melhor os recursos, alcançar novos níveis de escala e avançar mais rápido do que nunca. Já se foram os dias em que se supunha que seus aplicativos eram mais ou menos estáticos e estavam todos em seu data center privado.
Novos níveis de consumo, escala e velocidade criaram novos desafios e pressão para as equipes de segurança.
- A virtualização abstraiu os principais recursos de computação, rede e armazenamento do data center, tornando as cargas de trabalho mais portáteis e adaptáveis, ao mesmo tempo em que torna os aplicativos mais escaláveis e resilientes.
- A nuvem criou ambientes elásticos e sob demanda que nos permitem satisfazer nossas necessidades de infraestrutura sob demanda, facilitando o consumo e tornando a utilização mais eficiente.
- Os contêineres são cada vez mais comuns nos ambientes atuais, permitindo uma maneira rápida de desenvolver, criar e empacotar aplicativos e serviços.
Pressão das aplicações
A infraestrutura não é a única área de evolução e inovação. Vimos mudanças semelhantes na forma como desenvolvemos e entregamos aplicativos. Graças à integração contínua e à entrega contínua (CI/CD), nossas expectativas em todo o ciclo de vida de entrega de software (SDLC) evoluíram. Agora, esperamos que o software seja desenvolvido e entregue com mais rapidez e fluidez do que as abordagens tradicionais baseadas em versões.
Para muitos, já se foram os dias de ciclos de lançamento distintos, em que as equipes podiam entrar em uma sala e planejar os detalhes para uma próxima data de lançamento. Toda semana e, em alguns casos, todos os dias ou até várias vezes ao dia, um novo código é desenvolvido e colocado em produção.
Os aplicativos monolíticos foram substituídos pelas arquiteturas de microsserviços. Os aplicativos em si e as arquiteturas de serviços relacionadas também se tornaram mais complexos e seus componentes mais conectados. Os aplicativos dependem de dados e serviços em todo o ambiente, gerando uma comunicação exponencialmente maior entre Leste e Oeste do que já vimos no passado.
Mais interconexões significam caminhos mais abertos, o que pode levar a uma maior superfície de ataque para defesa e a mais riscos para a empresa. Além disso, a natureza efêmera dos contêineres, além da conexão entre esses ambientes, criam um novo conjunto de desafios para a segurança.
O movimento DevOps reuniu desenvolvedores e equipes de operações para alimentar essa necessidade de agilidade de aplicativos e infraestrutura. Mas a primeira geração desse movimento deixou a segurança fora do circuito. Para muitos, o envolvimento com a segurança era visto como um obstáculo ao progresso e à filosofia de implantações rápidas e, em alguns casos, fazia com que a segurança fosse totalmente ignorada.
A segurança não acompanhou
A evolução na infraestrutura e nos aplicativos do data center impulsionou o movimento das organizações de se tornarem mais orientadas por software e se moverem mais rápido do que nunca. A segurança sempre foi importante, mas à medida que as organizações se tornam mais dependentes do software para impulsionar seus negócios, está se tornando cada vez mais essencial obter a segurança correta para minimizar os riscos comerciais. Errar pode significar perda de dados, impacto na receita, efeito duradouro na marca e até penalidades relacionadas à conformidade. A segurança não acompanhou a evolução que vimos na infraestrutura e nos aplicativos.
As soluções tradicionais baseadas em rede para aplicar políticas não são apenas impraticáveis, mas também podem ser totalmente impossíveis de arquitetar e implantar. Com os aplicativos sendo a soma de suas partes, às vezes distribuídos entre data centers e até mesmo na nuvem, a complexidade de aplicar políticas de forma consistente pode ser um grande desafio. Junte isso ao fato de que a infraestrutura de aplicativos está se tornando cada vez mais dinâmica, manter a política em sincronia com o movimento e a escala pode ser quase impossível.
Um dos objetivos da evolução da segurança é afastar o equilíbrio da vantagem do atacante e aproveitar os pontos fortes do defensor.
Até mesmo os atacantes evoluíram para derrotar as abordagens de segurança mais recentes. Mudar o equilíbrio em vantagem para o defensor requer um modelo que deixe de ser reativo e passe a ser ameaçado para um modelo que mude proativamente o jogo, devolvendo ao defensor o controle. Para fazer isso, precisamos abordar a segurança de uma nova maneira e pensar de forma diferente sobre os ambientes de aplicativos e como os protegemos.
As abordagens de segurança atuais podem ser um obstáculo, retardando o progresso, se não um obstáculo total. Ao continuar seguindo o caminho tradicional, há o risco de que as equipes de desenvolvimento busquem formas de contornar a segurança para continuar avançando no ritmo necessário para permanecerem eficientes.
Essa necessidade de eficiência é um dos motivos pelos quais precisamos repensar a segurança e alinhá-la melhor com as evoluções que vimos em todo o data center.
Segurança em evolução para ambientes de aplicativos modernos
Embora a maioria das soluções de segurança atuais se baseie em suposições antigas de que as coisas se movem mais lentamente e são mais ou menos estáticas, sabemos que a realidade não é mais verdadeira.
Mesmo que você ainda não esteja sentindo todo o impacto, as empresas estão cada vez mais impulsionadas pelo software, os aplicativos estão se movendo mais rapidamente e os ambientes de aplicativos estão se tornando mais complexos e heterogêneos, exigindo uma revolução no data center e segurança na nuvem.
Tecnologias como virtualização e IaaS abstraíram a infraestrutura para se alinhar melhor aos requisitos dos aplicativos. Precisamos pensar em segurança de maneira semelhante.
Ver as cargas de trabalho no contexto do aplicativo e dos processos de negócios é a melhor maneira de entender os riscos e criar políticas. É também a única linguagem comum que todas as equipes da organização conseguem entender. Uma equipe de desenvolvimento de aplicativos não pensa em seu ambiente de aplicativos no contexto da rede (endereços IP e portas). Eles pensam sobre isso no contexto dos componentes desse aplicativo, como eles estão relacionados e como funcionam juntos.
O mesmo vale para proprietários de processos de negócios que pensam em seus processos, nos aplicativos e serviços relacionados e em como todos trabalham juntos para atender às necessidades dos negócios.
Essa mudança de perspectiva é fundamental e é o primeiro passo para abrir as portas para uma nova abordagem. É a única maneira de criar uma segurança que se adapte aos ambientes de aplicativos modernos que estão espalhados por plataformas e locais, movendo-se e escalando dinamicamente para atender às demandas.
Em meu próximo post, falarei sobre por que um mapa centrado em aplicativos é essencial e como ele se torna a base para repensar e desenvolver a segurança.
Nota do editor: Leia a próxima postagem, “Você precisa de um mapa para desenvolver a segurança.”