Desde su punto de vista, ¿cuáles son las tecnologías y modelos que permiten proporcionar una mayor seguridad a los usuarios de aplicaciones en la nube?
La computación en la nube es un modelo que garantiza una amplia seguridad. Por una parte, los proveedores cloud cuentan con estándares de seguridad muy altos a los que, adicionalmente, cada tipo de cliente u organización puede sumar sus necesidades específicas.
Los fabricantes de seguridad debemos mantener el equilibrio entre este alto nivel de protección y una buena velocidad de respuesta, alta escalabilidad y contención de costes.
¿Cuáles diría que son los principales riesgos a los que están sometidas las empresas que utilizan servicios en la nube?
A pesar de los altos niveles de seguridad del modelo cloud, siguen existiendo riesgos y amenazas avanzadas externas que es necesario afrontar con agilidad y consistencia. Especialmente en un entorno híbrido con varios proveedores de nube en el que el ecosistema de aplicaciones crece a un ritmo vertiginoso. Hablamos de apropiación de cuentas, relleno de credenciales, bots dañinos, uso indebido de aplicaciones y API, abuso de transacciones y mal uso de tarjetas de crédito, entre otras amenazas que hacen peligrar la reputación del cliente.
Te interesa: Diez capacidades clave para crear aplicaciones web y API protegidas y eficientes.
Pero, además, existen otros riesgos internos que es importante tener en cuenta. Por ejemplo, valorar si la configuración de seguridad por defecto de nuestro proveedor es adecuada para nuestro perfil de empresa específico; cómo nos integramos con otros proveedores sin crear puertas traseras que amenacen nuestro negocio; si tenemos capacidad para mantener actualizados nuestros aplicativos para evitar accesos deprecados que queden fuera del mantenimiento…
¿Qué soluciones propone su compañía para incrementar la seguridad en la nube de las organizaciones?
Fastly cuenta con la primera WAF para aplicaciones web y API cien por cien agnóstica a la CDN, por lo que se puede implementar en cualquier plataforma tanto en la nube como en la infraestructura del cliente, o incluso en la edge de Fastly o entornos híbridos. Todo bajo una misma parametrización y con las mismas reglas, simplificando mucho el coste de mantenimiento del WAF.
Su implementación es rápida y muy flexible, y se integra fácilmente con las herramientas de DevOps. Esto aporta mucha agilidad a los equipos de desarrollo y simplifica el trabajo de gestión de todos los endpoint WAF, así como sus API.
Next Gen WAF está basado en la intención; es decir, que inspecciona el contexto de las peticiones en lugar de usar reglas de coincidencia de patrones estáticos. Gracias a ello, detecta con mayor fiabilidad amenazas avanzadas como los ATO (apropiación de cuentas), ataques de bots maliciosos o de denegación de servicio, etc. Y reduce drásticamente los falsos positivos tan frecuentes en WAF antiguos. Además, al estar en la misma CDN, reduce la latencia de estos análisis.
Para mejorar la experiencia de usuario de los responsables de seguridad, su consola de gestión unificada también aporta una amplia visibilidad sin la necesidad de iniciar sesión en varias interfaces diferentes.