Nube

Cómo los proveedores de nube pública están haciendo que la seguridad no sea un problema para los desarrolladores de aplicaciones

0 0 3 minutos de lectura
Cómo los proveedores de nube pública están haciendo que la seguridad no sea un problema para los desarrolladores de aplicaciones

Los desarrolladores a menudo prefieren escribir aplicaciones que protegerlas, pero los proveedores de nube pública pueden ayudarlos a hacer ambas cosas.

cloudsec

Imagen: iStockphoto/Jirsak

Otro día, otra brecha de seguridad. Esta vez, 93 millones de votantes mexicanos fueron sancionados por una instancia insegura de MongoDB alojada en AWS. Como dejó en claro la vicepresidenta de MongoDB, Kelly Stirman, el problema no es el software, porque «MongoDB no tiene problemas de seguridad», sino las personas que no lo protegen.

Nube: un informe de lectura obligada

Todo esto es cierto, pero quizás explique por qué la nube se ve cada vez más atractiva.

¡Pero espera! Usted se queja de que esta vulnerabilidad de MongoDB ocurrió en un servidor alojado por Amazon. real. Eso es nube. Pero hay algo más en el mercado, destacado por Stephen O’Grady de Redmonk: Amazon y otros están eliminando toda esta complejidad de back-end, convirtiendo la seguridad en un problema, no en un problema de TI. Esta es una buena noticia para todos.

Los servidores no acaban con la seguridad, la gente sí

He estado trabajando en MongoDB durante dos años y me encanta, sobre todo porque a mucha gente le encanta. De las bases de datos NoSQL, MongoDB no es la más fácil de agrupar (así es Cassandra), ni siquiera necesariamente la más escalable. Sin embargo, es popular porque es muy fácil de usar, extremadamente escalable y se puede usar para una amplia gama de cargas de trabajo.

LEER  Cisco, Microsoft en enfrentamiento de seguridad

Desafortunadamente, sospecho que su facilidad de uso es la causa de la violación de datos de México, así como de otras violaciones reportadas. Así como muchos desarrolladores piensan que el esquema flexible de MongoDB significa «sin esquema» (lo que rara vez es una buena idea en la práctica), algunos aparentemente se enfocan más en construir sus aplicaciones que en protegerlas, olvidando las reglas de higiene operativas más básicas.

Publicaciones relacionadas

Vea 10 áreas de la ley que los abogados de violación de datos le instan a cumplir (Tecnopedia)

Como dijo Stirman a The Register, «No hay problemas de seguridad con MongoDB, MongoDB incluye amplias funciones de seguridad». Sin embargo, continuó, algunos desarrolladores aparentemente han implementado MongoDB sin sus funciones de seguridad habilitadas. ¿Por qué? «Creo que en realidad es solo una cuestión de conveniencia», dijo Stillman.

Esta comodidad, esta facilidad de uso, es atractiva… y peligrosa. Stirman concluyó: «Tenemos que esperar más de esto en el futuro. La gente no siempre sigue las mejores prácticas».

Pero, ¿y si el software les obliga a hacerlo?

confía en mí, estoy nublado

He hablado antes sobre cómo la seguridad se traslada a la nube a medida que aumentan las cargas de trabajo. Pero hay una diferencia entre una solución de seguridad creada para ejecutarse en la nube y una integrada en la estructura de la propia aplicación.

El último enfoque es una característica de los nuevos servicios de Amazon Web Services, Microsoft Azure y Google Cloud. Estos servicios, como el servicio de almacenamiento de datos de Amazon Redshift, manejan todas las posibles complejidades para el usuario y reducen significativamente las posibles minas terrestres de seguridad en el proceso.

La alternativa, representada por O’Grady, es fea:

En un nivel puramente técnico, la fragmentación es actualmente sistémica y la nueva normalidad. Elija una categoría de tecnología, no solo hay una variedad de tecnologías para elegir, sino también un número creciente de enfoques técnicos para elegir. Primero, cada uno de estos debe comprenderse en profundidad antes de elegir la tecnología, incluso si son completamente nuevos y, por lo tanto, difíciles de conceptualizar. Y en todos los niveles hay muchos métodos de este tipo para estudiar y digerir.

Comprenda, luego integre y ore para que no queden agujeros de seguridad evidentes. Buena suerte.

El futuro de SEE Security es la nube a medida que crece la confianza empresarial en Amazon (Tecnopedia)

Por el contrario, los servicios de nube pública «se ocupan de los problemas de otras personas, así como de su hardware o software subyacente», señaló O’Grady en otra publicación, y señaló que uno de los problemas es que Amazon y otros proporcionan sus propios recursos. Los clientes son la seguridad. Con respecto a los proveedores de nube pública, O’Grady dijo:

Sin embargo, ¿qué pasa si, en marcado contraste con la historia de la industria, surge un modelo competitivo que abstrae por completo la complejidad tradicional? ¿Qué pasaría si la elección cada vez más difícil entre opciones de software especializadas y esotéricas diera paso a páginas web y un conjunto de API para implementaciones como servicio?

En este mundo de múltiples nubes, los desarrolladores disfrutarán de un mayor grado de comodidad sin tener que preocuparse por proteger la infraestructura subyacente. Amazon lo hará por ellos. Si usted es un vendedor ambulante tradicional de bits y bytes, eso es motivo de preocupación, pero si es otro desarrollador con mejores cosas que hacer que crear otro software y esperar que sea seguro, entonces esto es motivo de celebración.

LEER  Cómo hacer una copia de seguridad de archivos en la nube usando Dropbox Backup
Etiquetas
0 0 3 minutos de lectura

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Botón volver arriba