Hoy en día, las aplicaciones se desarrollan en ciclos cada vez más rápidos y ágiles, y lo mismo sucede con las implementaciones e integraciones de nuevas prestaciones o funcionalidades. Todo ello, a la vez que aparecen lenguajes y plataformas más modernos, listos para ser adoptados.
Los equipos de software despliegan sus aplicaciones en diferentes entornos: contenedores, multiclouds, clouds híbridas, balanceos de carga entre múltiples CDN, etc. Todo esto hace que proteger la capa exterior de la web sea un desafío creciente.
Las empresas punteras o que se encuentran en este momento en plena transformación digital adoptan procesos de iteración cada vez más rápidos que son ejecutados por sus equipos de desarrollo, operaciones y seguridad. Sin embargo, para llevar dichos procesos a buen término de forma escalable sin que se vean afectados la seguridad y el rendimiento (las dos grandes variables a tener en cuenta en la experiencia de usuario), son necesarias soluciones con capacidades específicas a prueba de futuro.
En este artículo profundizamos en las 10 capacidades clave para crear aplicaciones web y API críticas modernas, protegidas y eficientes.
1. Flexibilidad en el despliegue.
Las arquitecturas y uso de lenguajes van variando con el tiempo. Pero independientemente de dónde se ubiquen las aplicaciones, API o microservicios, lo importante es disponer de una amplia gama de opciones de instalación y de un sistema que permita la máxima visibilidad para monitorizar todo de forma sencilla, pasando por las aplicaciones legacy, las de adopción más reciente y las que están por venir.
2. Reforzar la seguridad del Edge.
Actualmente, los clientes reclaman más protección contra ataques en la capa de aplicación, algo para lo que los WAF basados en hardware o algunas CDN no fueron diseñadas.
Ubicar un WAF en el borde de la red como refuerzo es la mejor opción para muchos ingenieros de operaciones, ya que ahí es donde se utiliza el caché para eliminar la carga de los servidores web y aplicaciones. Además, permite a los ingenieros marcar la casilla «compliance» de obligado cumplimiento en auditorías de seguridad.
3. Proteger las apps sin impactar en el rendimiento.
En lugar de analizar y de tomar decisiones sobre cada una de las peticiones, es posible optar por sistemas de bloqueo automatizado en función de un umbral determinado, directamente sobre la infraestructura de producción y eliminando los falsos positivos casi en su totalidad.
4. Proteger los recursos identificando y bloqueando bots y scrapers.
Los ataques suelen utilizar la automatización y botnets para hacerse con datos valiosos, especialmente de sitios ricos en contenidos, como pueden ser los medios de comunicación, los ecommerce o sites de empresas tecnológicas. Una forma eficaz de proteger estos recursos es utilizar reglas rate-limiting que prevengan comportamientos abusivos. Estas reglas también ayudan a prevenir ataques automatizados vía bots y a bloquear grandes volúmenes de peticiones maliciosas. Aunque en este caso es importante su precisión, es decir, que no generen falsos positivos que impidan el acceso o mermen la experiencia de usuarios legítimos, con el consecuente impacto negativo en el negocio.
5. Guía para priorizar recursos.
A los equipos de ingeniería nunca les faltan problemas que resolver. El reto es entender cuáles son los más importantes y priorizarlos. Contar con informes claros que aporten visibilidad de los tipos de ataques y objetivos más comunes es una ayuda clave para que los responsables de seguridad puedan obtener de forma autónoma los datos, entender mejor el tipo de ataques que amenazan su código y utilizar sus recursos de la forma más eficiente.
6. Gestión de la seguridad a partir de datos accionables.
La seguridad no puede ser un complemento secundario. Alinear los equipos de seguridad, desarrollo y operaciones es crucial para que todos ellos entiendan los requerimientos de seguridad en el ciclo de desarrollo antes de que los problemas surjan y afecten al negocio. Por tanto, es importante que tengan acceso a los datos para entender de forma clara −e incluso personalizable a través del panel de control o mediante alertas− cómo las peticiones están impactando en su app o servicio.
7. Proteger las aplicaciones sin mermar prestaciones.
Las aplicaciones móviles que permiten a los usuarios acceder a los productos y servicios ofrecidos online desde cualquier lugar se apoyan en las API para transferir todos esos datos críticos. No son, por consiguiente, ajenas a amenazas y ataques. Lograr una protección para el más amplio espectro de amenazas y tener la máxima visibilidad de indicadores de negocio como el número de transacciones por minuto, checkouts por hora, uso de descuentos, etc. sin impactar el rendimiento es fundamental para proporcionar una experiencia de usuario excelente por parte de estas apps. Además, la visibilidad en tiempo real tiene la ventaja añadida de permitir a los equipos de seguridad identificar patrones de abuso que, de otra forma, quedan ocultos en los data logs.
8. Afrontar vulnerabilidades proactivamente.
El software crea nuevas vulnerabilidades que atraen a ciberdelincuentes capaces de perpetrar un ataque en apenas unas horas. Una opción para ganar tiempo ante estas situaciones es poner en marcha una defensa proactiva mediante parches virtuales contra diferentes vulnerabilidades comunes y gestionarla de forma personalizada.
9. Los datos que los equipos de operaciones necesitan para garantizar el rendimiento del sitio.
Indicadores como el uso de la CPU y la memoria son esenciales para los equipos de operaciones. Poder obtener estas y otras métricas directamente a través de una API facilita enormemente su labor. Y también ayuda a los técnicos de cara a poder realizar un diagnóstico más ágil y a tener la posibilidad de acceder a otros datos significativos. Entre ellos, errores en el lado de cliente o del servidor, tiempos grandes de respuesta o fallos en los links del código (que pueden señalar problemas graves en la lógica de la aplicación o en la configuración del servidor).
10. Dotar a los equipos de operaciones de datos que garanticen tiempos y rendimiento.
En un contexto multicloud y caracterizado por los ciclos ágiles comentados con anterioridad, la efectividad de los WAF legacy está cada vez más en entredicho. El principal problema es que requieren ajustes y configuraciones continuos para frenar los ataques. La alternativa es aplicar métodos de detección que permitan la toma de decisiones instantánea evaluando de forma muy precisa el contexto en el que se produce cada petición y cómo se ejecuta. La alternativa son soluciones modernas, diseñadas para realizar decisiones instantáneas concatenadas que detectan si se están produciendo ataques en las peticiones.
Desde Fastly (Signal Sciences) cubrimos estas diez capacidades clave y otras muchas. Nuestras soluciones de seguridad para aplicaciones web dan respuesta a las necesidades de los equipos modernos de desarrollo, operaciones y seguridad, cuyo día a día se ocupa en la iteración y lanzamiento de software. Signal Sciences ha desarrollado un conjunto de soluciones que suponen una cobertura completa y de muy fácil instalación.
