Protección de las aplicaciones en múltiples nubes
Actualizado: 7 ene 2021
Por Radware -– 9 de diciembre de 2020
Con las aplicaciones basadas en la nube, surgen nuevos riesgos de seguridad que requieren una experiencia que generalmente es escasa y que puede retrasar la implementación y el mantenimiento de las aplicaciones.
Mientras que los WAFs desempeñan un papel crucial en la protección de las aplicaciones, implementar y gestionar un WAF puede ser complejo y requiere un perfeccionamiento continuo de las políticas de seguridad.
La gestión de estas políticas suele requerir experiencia y un profundo conocimiento de cualquier solución de WAF.
Además, no siempre es posible aprovechar el mismo WAF en entornos de nube heterogéneos, lo que limita la capacidad de hacer cumplir las políticas de seguridad en todos los entornos.
Generalmente, las DevOps automatizan los ciclos de implementación de integración de las aplicaciones (CI/CD) que aceleran el proceso de implementar nuevas aplicaciones.
Para lograrlo, suelen integrarse con soluciones que facilitan la integración y la velocidad.
Por este motivo, las soluciones de seguridad, que suelen ser complejas, no se priorizan y dejan a las aplicaciones desprotegidas.
El monitoreo de eventos de seguridad en todas las aplicaciones es otro desafío porque no existe un panel central en los distintos entornos de computación en la nube.
También se requiere experiencia en seguridad para comprender qué actualizaciones de las políticas de seguridad deben implementarse en función de la información que resulta de la generación de informes antes mencionada.
[También puede interesarte: From Survival to Security and Availability]
Qué buscar
Al evaluar una solución, buscas el nivel más alto de protección de las aplicaciones mientras se minimizan los falsos positivos y el mantenimiento, y la capacidad de ejecutarse en múltiples entornos de nube pública y privada. Además, debes considerar si la solución ofrece lo siguiente:
Cobertura completa de OWASP Top-10 incluidas inyecciones, secuencias de comandos entre sitios (XSS), falsificación de solicitudes entre sitios, autenticación rota y gestión de sesiones y configuración incorrecta de la seguridad.
Costo total de propiedad (TCO) reducido con el mínimo de falsos positivos a través de la tecnología única de generación automática de políticas diseñadas para proteger una aplicación web automáticamente.
Protección contra ataques web de día cero mediante modelos de seguridad positivos y negativos (basados en firmas) que garantizan la menor cantidad de falsos positivos y un esfuerzo operativo mínimo, pero también una protección sólida contra amenazas conocidas y desconocidas (día cero).
[También puede interesarte: Application Security in Today’s Multi-Cloud World]
Medidas basadas en huellas digitales para la protección contra bots. El poder de la huella digital está en la información consolidada extraída de docenas de atributos del navegador recopilados del lado del cliente, lo que facilita la clasificación precisa de los bots.
Informes procesables. Por ejemplo, Alteon Multi Cloud de Radware proporciona una herramienta de supervisión y generación de informes que facilita monitorear eventos y acciones de protección de aplicaciones, ataques que identifica y transacciones bloqueadas.
Escalabilidad. Un WAF es una función intensiva para los recursos. La asignación de recursos de WAF para que coincidan con los períodos de mayor uso de la aplicación puede resultar costosa cuando se opera en un entorno en la nube. Implementar un firewall no tiene por qué ser un proceso complejo que consuma muchos recursos.
Elegir una solución con la capacidad de abarcar múltiples entornos en la nube y escalar automáticamente los servicios de WAF para que coincidan con los niveles de uso de las aplicaciones permite implementar sin problemas políticas de seguridad de las aplicaciones sin una gran experiencia.