El modelo de seguridad empresarial tradicional está fundamentalmente roto. Gran parte de esto se debe a la brecha que existe entre:
- Lo que intentamos proteger: aplicaciones y datos
- Dónde y cómo colocamos los controles para protegerlo: agentes de seguridad en las máquinas y controles de seguridad en la red
- Y la complejidad de nuestra infraestructura hiperconectada
Para entender el porqué, considere el siguiente ejemplo. Imagine asegurar una compañía cuyos empleados estén alojados en un solo rascacielos y sea el único inquilino en ese edificio. Los guardias en la puerta de entrada gobiernan el acceso al edificio y vigilan lo que parezca extraño en el vestíbulo, tareas ambas que son relativamente sencillas. Ahora imagine distribuir esos empleados de manera que ocupen partes de los pisos en diferentes edificios por toda la ciudad.
Imagine también que llenamos el resto de cada edificio con empleados de otras compañías. Ahora los edificios tienen empleados de diferentes tipos de organizaciones: un banco, un bar, una sucursal y una bolera. El control de acceso y determinar lo que se ve raro en el vestíbulo se torna de repente exponencialmente más complicado.
Según Tom Corn, vicepresidente sénior de VMware y gerente general de productos de seguridad, esta hipótesis es la analogía perfecta para los desafíos que enfrentan las empresas a la hora de proteger sus aplicaciones y datos.
Los modernos centros de datos combinan miles de aplicaciones en una infraestructura común compartida, dice Corn. Y muy pocas de esas aplicaciones existen como montones monolíticos (el modelo de “rascacielos único”). Las aplicaciones son ahora sistemas distribuidos. Y como las arquitecturas de aplicaciones cambiaron de ser montones monolíticos a ser sistemas distribuidos, la capacidad de identificar y asegurar una aplicación por medio de controles de seguridad que entienden a una sola máquina o a un enlace único de red comenzó a descifrarse. ¿El resultado? Es imposible alinear controles y políticas con lo que realmente se está tratando de proteger. Se ha vuelto casi imposible contener brechas en partes limitadas de nuestros entornos. Y los entornos se han vuelto tan complejos que administrar políticas e investigar ataques se vuelve extremadamente complejo.
El resultado neto es un modelo de seguridad que simplemente no funciona, y donde lo único que excede el crecimiento en el gasto de la empresa en seguridad es el crecimiento de las pérdidas de la empresa en seguridad.
Pero hay una solución en el horizonte, y gran parte de ella regresa a lo básico: centrarse en el riesgo, centrarse en las aplicaciones y los datos, centrarse en la ciberhigiene. Estos conceptos no son nuevos. Lo nuevo es la capacidad de hacer esto de forma operacional. Ese es el valor de la seguridad del centro de datos definido por software.
Una revolución en la infraestructura
La virtualización brinda a las organizaciones la capacidad de pensar la seguridad de forma diferente. Como capa de abstracción relativamente ubicua que se encuentra entre la infraestructura física debajo de ella y las aplicaciones y los datos encima de ella, nos permite ver, administrar y asegurar la infraestructura a través de la lente de la aplicación. Y nos permite hacerlo sin tener que volver a crear las aplicaciones o la infraestructura física.
Por ejemplo, la virtualización de la red permite la microsegmentación, donde básicamente podemos compartimentar las máquinas que componen una aplicación o alcance regulatorio, dándole su propio “centro de datos virtual”. El resultado: la colocación del control y las normas son más simples, el movimiento lateral es más difícil, y las configuraciones erróneas y los desajustes se reducen drásticamente. El control de aplicaciones también se puede volver a imaginar a través de la virtualización informática. La capa de virtualización está en posición para ver tanto lo que se está ejecutando como lo que se suministró (lo que se pretendía ejecutar).
Puede ver esto, no solo por máquina, sino de forma distribuida, teniendo en cuenta cómo se comunican los procesos en las máquinas. La virtualización puede aprovecharse como un punto de aplicación flexible, por lo cual las desviaciones del estado deseado pueden tener una respuesta automática. Y puede hacer todo esto desde una posición mucho más segura que un agente huésped.
“Es hora de cambiar la forma en que defendemos nuestras aplicaciones y nuestros datos”, concluye Corn. “La seguridad necesita ser diseñada, en lugar de echarle un cerrojo. La posibilidad de hacer precisamente eso puede ser uno de los mayores agregados de valor de la nube”.