1 45 Table of Contents 47 108

Red Seguridad 093

46 red seguridad segundo trimestre 2021 opinión Hoy en día, las aplicaciones se desarro- llan en ciclos cada vez más rápidos y ágiles, y lo mismo sucede con las imple- mentaciones e integraciones de nuevas prestaciones o funcionalidades. Todo ello, a la vez que aparecen lenguajes y plataformas más modernos, listos para ser adoptados. Los equipos de software despliegan sus aplicaciones en diferentes entornos: contenedores, multiclouds , clouds híbri- das, balanceos de carga entre múltiples CDN, etc. Todo esto hace que proteger la capa exterior de la web sea un desafío creciente. Las empresas punteras o que se en- cuentran en este momento en plena transformación digital adoptan proce- sos de iteración cada vez más rápidos que son ejecutados por sus equipos de desarrollo, operaciones y seguridad. Sin embargo, para llevar dichos procesos a buen término de manera escalable sin que se vean afectados la seguridad y el rendimiento (las dos grandes variables a tener en cuenta en la experiencia de usuario), son necesarias soluciones con capacidades específicas a prueba de futuro. Capacidades En este artículo profundizamos en las 10 capacidades clave para crear aplicacio- nes web y API críticas modernas, prote- gidas y eficientes. 1. Flexibilidad en el despliegue. Las arquitecturas y uso de lenguajes van variando con el tiempo. Pero indepen- dientemente de dónde se ubiquen las aplicaciones, API o microservicios, lo importante es disponer de una amplia gama de opciones de instalación y de un sistema que permita la máxima visi- bilidad para monitorizar todo de forma sencilla, pasando por las aplicaciones legacy , las de adopción más reciente y las que están por venir. 2. Reforzar la seguridad del Edge. Actualmente, los clientes reclaman más protección contra ataques en la capa de aplicación, algo para lo que los WAF basados en hardware o algunas CDN no fueron diseñadas. Ubicar un WAF en el borde de la red como refuerzo es la mejor opción para muchos ingenieros de operaciones, ya que ahí es donde se utiliza el caché para eliminar la carga de los servidores web y aplicaciones. Además, permite a los in- genieros marcar la casilla “ compliance ” de obligado cumplimiento en auditorías de seguridad. 3. Proteger las apps sin impactar en el rendimiento. En lugar de analizar y de tomar decisio- nes sobre cada una de las peticiones, es posible optar por sistemas de bloqueo automatizado en función de un umbral determinado, directamente sobre la in- fraestructura de producción y eliminando los falsos positivos casi en su totalidad. 4. Proteger los recursos identificando y bloqueando bots y scrapers . Los ataques suelen utilizar la automati- zación y botnets para hacerse con datos valiosos, especialmente de sitios ricos en contenidos, como pueden ser los me- dios de comunicación, los ecommerce o sites de empresas tecnológicas. Una forma eficaz de proteger estos recur- sos es utilizar reglas rate-limiting que prevengan comportamientos abusivos. Estas reglas también ayudan a prevenir ataques automatizados vía bots y a blo- quear grandes volúmenes de peticiones maliciosas. Aunque en este caso es im- portante su precisión, es decir, que no generen falsos positivos que impidan el acceso o mermen la experiencia de usuarios legítimos, con el consecuente impacto negativo en el negocio. 5. Guía para priorizar recursos. A los equipos de ingeniería nunca les fal- tan problemas que resolver. El reto es en- tender cuáles son los más importantes y Diez claves para crear aplicaciones web y API protegidas y eficientes J esús M artín O ya General Director, Southern Europe & Middle East de Fastly

RkJQdWJsaXNoZXIy ODM4MTc1