Pregunta a cualquier ingeniero de nube cuántas aplicaciones están ejecutando en su entorno, y obtendrás un número de bolas.Pregunta de nuevo cinco minutos más tarde, y podrían duplicarlo.No porque estén evitando, sino porque simplemente no conocen el número exacto.
Es difícil de creer, pero entre las redistribuciones de tuberías CI / CD, las cargas de trabajo de zombies, las aplicaciones legadas en los rincones oscuros de la infraestructura y demasiados proveedores de identidad (IdPs) para contar, es fácil perder el rastro.
Cuando no sabes lo que está funcionando, no puedes gestionarlo y asegurarlo.Lo que esto no es: un problema de gobernanza reservado
Con todo lo demás siendo continuo, desde la integración a la implementación, el descubrimiento también debería ser.
La cuestión de la fragmentación
En una empresa típica de hoy en día, las aplicaciones se desplegan a través de AWS, Azure, GCP y tal vez una nube privada o dos.
Usando Google Cloud Platform (GCP) como ejemplo, una aplicación puede implementarse de varias maneras.Tienes opciones que incluyen App Engine, Cloud Run, Compute Engine, Google Kubernetes Engine y Apigee Gateway. Otras plataformas de nube como Azure y Amazon Web Services también tienen muchas opciones de implementación para cargas de trabajo de aplicaciones. Algunas son similares, como el soporte de Kubernetes, pero otras tecnologías podrían ser únicas a esa plataforma de nube.
Incluso la infraestructura como código (IaC), como Terraform, no siempre captura la imagen entera, especialmente cuando los desarrolladores eluden los modelos para implementaciones manuales o olvidan actualizar las etiquetas.
Por supuesto, hay una difusión similar para los sistemas de identidad que controlan el acceso a estos entornos de aplicación. Las empresas pueden tener una mezcla de Okta, Microsoft Entra ID y Amazon Cognito, así como los productos de gestión de acceso a la web de Active Directory o legacy on-premises, las instancias legacy SiteMinder y Active Directory on-prem, que a menudo coexisten.
Identidad fragmentada
Las aplicaciones pueden autenticarse contra diferentes IDP dependiendo de cuándo o dónde se desplegaron.Por ejemplo, un equipo puede elegir Okta para aplicaciones internas, mientras que los sistemas orientados al cliente dependen de Microsoft
El resultado es una extensa red de credenciales, políticas y patrones de acceso que hacen casi imposible auditar de manera consistente.
Este nivel de
¿Por qué las auditorías tradicionales no lo cortan?
Un ejemplo de modelo de auditoría consiste en introducir una consultoría de Big Four, ejecutar una auditoría, generar un informe y llamarlo un día.
Los pipelines CI/CD podrían redistribuir aplicaciones desactivadas.Un equipo de desarrolladores podría crear algo nuevo sin informar a la seguridad.O peor, una aplicación dormiente con una política de SiteMinder libre todavía podría permitir que cualquier persona con un correo electrónico @company.com pase directamente.
Lo que es más preocupante, estas auditorías son inherentemente estrechas en alcance. Capturan una imagen instantánea de un sistema que está cambiando constantemente. Cualquier descubrimiento significativo es siloado a las personas involucradas en el proceso de auditoría y a menudo se almacena en documentos estáticos que nadie vuelve a ver hasta la próxima ronda.
No hay continuidad, no hay automatización, y no hay garantía de que los datos permanezcan precisos más allá del día en que se recogieron.
El dólar y el sentido de seguridad
No olvidemos el coste.Estas evaluaciones a menudo requieren semanas de esfuerzo y cientos de miles de dólares.El resultado es una presentación bonita, con gráficos y puntos de bala que parecen grandes en una sala de juicio.Pero ¿qué valor aportan a un ingeniero que intenta rastrear cuál IdP rige el acceso a una aplicación contenerizada que se ejecuta en un clúster GCP olvidado?
Mientras tanto, los atacantes no están esperando su próximo ciclo de auditoría.Están escaneando su superficie de ataque, buscando puntos finales que su hoja de cálculo no capturó.
¿Cómo es el descubrimiento continuo?
Muchos equipos de seguridad están atrapados jugando blindfolded whack-a-mole con visibilidad de la aplicación. Descubren una aplicación de sombra solo para encontrar otros tres escondidos en las grietas. El problema no es debido a la pereza o la falta de herramientas, es que los entornos están cambiando constantemente. Entre los equipos de desarrollo girando nuevos servicios, las tuberías CI / CD redistribuyendo los viejos, y la infraestructura evolucionando por la semana, mantener un inventario estático es imposible.
Es por eso que las escalas de descubrimiento continuas cambian la visibilidad de algo que haces una vez al trimestre a algo que construyes en el tejido de tus operaciones.
** Escaneo nativo de la nube: **Call en APIs a través de plataformas en la nube (GCP, Azure, AWS) para listar implementaciones a través de servicios: App Engine, ECS, Lambda, Cloud Run, etc.
Identity correlationMapar cada aplicación a su IdP, verificar la aplicación de MFA y los patrones de autenticación de catálogo (SAML, OIDC, LDAP, basado en el encabezado, etc.).
CI/CD monitoringCapture apps that reappear after being decommissioned because a pipeline did not get the memo. : Capture apps that reappear after being decommissioned because a pipeline did not get the memo.
Tagging and classificationAplicar metadatos para organizar por alcance de cumplimiento (por ejemplo, aplicaciones PCI), departamento o sensibilidad de datos.
El descubrimiento continuo proporciona el tejido de conexión entre su infraestructura y su arquitectura de identidad.
Establece el escenario para la gestión de la postura de seguridad en tiempo real, el cumplimiento proactivo y la respuesta eficiente a incidentes. Sin ella, la próxima violación relacionada con la aplicación puede no provenir de un exploit sofisticado, pero en cambio, algo que su equipo ni siquiera sabía que estaba funcionando.
En lugar de ejercicios de fuego periódicos, el descubrimiento continuo trata la visibilidad de la aplicación como un proceso en vivo.
Caso de uso en el mundo real: la suposición de las aplicaciones 2,500 vs. 4,500
En una empresa de Fortune 500, un CTO recién nombrado fue preguntado una pregunta aparentemente sencilla: "¿Cuántas aplicaciones hay en su entorno?"
“2,500”, respondió confiadamente, y luego se detuvo. “Espere, acabamos de adquirir otra compañía del mismo tamaño.
Esa respuesta no vino de un sistema de registros. Fue una suposición, basada en el número de cabezas de adquisición y una asunción bruta de paridad. No había inventario de aplicaciones para consultar, no había tablero de herramientas para confirmar el total - solo matemáticas detrás de la carcasa. Y esto no era un analista de TI junior.
Los escenarios como este son significativos porque destacan la ausencia de un registro de aplicaciones fiable y continuamente actualizado. Sin él, las empresas se ven obligadas a confiar en la memoria, las hojas de cálculo manuales y el conocimiento tribal, todo lo cual falla en entornos dinámicos basados en la nube.
Si el equipo de liderazgo no puede cuantificar el número de aplicaciones en juego, ¿cómo pueden estar seguros de que esas aplicaciones son seguras, conformes y administradas correctamente?
¿Por qué los ingenieros y los equipos de IAM deben preocuparse?
Las aplicaciones no rastreadas son frutos de baja pendiente para los atacantes.Si está gestionando IAM, y una aplicación todavía está utilizando la autenticación básica sin MFA, eso depende de usted, si sabía sobre la aplicación o no. Y si usted es responsable de mantener las cosas en conformidad, esa hoja de cálculo de seis meses no le protegerá cuando un auditor solicita los detalles actuales de acceso y autenticación.
- Sabes lo que hay allá
- Saber quien tiene acceso
- Sabes si es seguro
Y tú puedes demostrarlo.
La manera de mantenerse al día con un mundo de cambios
El descubrimiento va mucho más allá de la compilación de una lista. juega un papel crítico en la exposición a los riesgos ocultos.
los rincones oscuros de su nube, donde las aplicaciones heredadas, los servicios mal configurados o las implementaciones no autorizadas todavía pueden estar funcionando silenciosamente y desapercibidas.
Los sistemas ignorados pueden convertirse en vectores de ataque, responsabilidades de cumplimiento o fuentes de costes inesperados.El descubrimiento continuo cierra el ciclo, dándole a los equipos de seguridad y identidad un mapa en tiempo real del paisaje de sus aplicaciones: qué está funcionando, cómo está asegurado y quién tiene acceso, para que puedan tomar acciones decisivas antes de que los problemas se escalen.
(Como se ha señalado, Gerry Gebel está profesionalmente afiliado con una empresa que opera en el espacio de gestión de identidades y seguridad. sus opiniones reflejan su experiencia y experiencia en la industria.)
