Una riflessione a cura di Lori MacVittie, Distinguished Engineer di F5, sulle implicazioni per la sicurezza di app e API dell’approccio all’IT ibrido
Per anni il settore IT ha cercato di defilarsi dall’affrontare la realtà (e le sfide) dell'IT ibrido, chiamandolo “multi-cloud”. Questo - mi preme specificarlo - non significa che le aziende non operino su più cloud, anzi sicuramente lo fanno. Tuttavia, penso che il termine “multi-cloud” non riesca a cogliere appieno il fatto che il cloud sia in realtà un modello operativo non solo peculiare dei provider pubblici di infrastrutture as a service. I nostri dati hanno dimostrato, anno dopo anno, che le organizzazioni utilizzano il cloud anche on-premises e non solo nelle sue versioni pubbliche.
La realtà dell’IT ibrido è sotto i nostri occhi da quando il cloud è apparso sulla scena e ha letteralmente preso d'assalto le aziende. Anche quando le organizzazioni hanno adottato il cloud, la maggior parte di esse - operando da venti, trenta o addirittura cinquant’anni - aveva ancora a che fare con ambienti tradizionali on-premises, disponendo di un portafoglio consolidato che abbracciava (e abbraccia tuttora) ogni generazione delle principali architetture di app, dai monoliti ai microservizi, dal client-server al mobile.
Per questo, nell’ultima edizione dello State of Application Strategy Report, abbiamo voluto analizzare nello specifico gli ambienti on-premises, desiderosi di capire la realtà che i nostri clienti stanno affrontando. I dati parlano chiaro: le aziende sono state e continuano a essere ibride. E non è solo il report SOAS ad affermarlo. Indovinate cosa è emerso dal sondaggio di F5 NGINX rivolto alla sua community open source? Che l'ibrido è qui per restare.
Ora, senza che siano rivelati nel dettaglio tutti i risultati del nostro prossimo rapporto State of Application Strategy, desidero affermare che anche se la tendenza verso le applicazioni moderne è indubbiamente forte, ci sono indicatori che ci fanno pensare che alcune organizzazioni non saranno disposte a sostituire tutte le loro applicazioni tradizionali con versioni più moderne.
Ergo, le aziende rimarranno ibride per molti anni a venire. Questo scenario ci porta anche a chiederci: cosa significa questo per la sicurezza, e in particolare per la sicurezza delle app e delle API?
Se partiamo dal presupposto che le organizzazioni siano ibride sia per quanto riguarda il portfolio stesso delle applicazioni, sia per quanto riguarda i loro ambienti operativi, le implicazioni per la sicurezza di app e API sono piuttosto critiche quanto profonde.
Questo perché alcuni ambienti applicativi, come i container, hanno esigenze di sicurezza uniche che non possono essere soddisfatte dalle soluzioni di sicurezza tradizionali. Ciò significa anche che, se le applicazioni rimangono anche on-premises, le organizzazioni faranno fatica a trovare soluzioni di sicurezza coerenti in grado di proteggere congiuntamente il deployment dei carichi di lavoro sul core, sul cloud e all’edge. Ma non è tutto: il persistere di applicazioni tradizionali nell’ambito dei datacenter on-premises, comporta il mantenimento di soluzioni tradizionali esistenti, soprattutto di quelle che si concentrano sulla protezione delle applicazioni e delle API dalle minacce degli exploit e dell’abuso dei protocolli.
Lori MacVittie di F5
Sfortunatamente, per le aziende oggi avere un IT ibrido non implica - e non potrebbe farlo - avere una sicurezza ibrida. Con “sicurezza ibrida” intendo “mescolare” i servizi di sicurezza delle app e delle API di un provider con un altro, e un altro ancora. Sebbene lo spostamento della sicurezza a sinistra nel ciclo di vita delle app sembri un'ottima soluzione, troppo spesso conduce alla via di minor resistenza: una moltitudine di servizi di sicurezza per app e API incompatibili che complicano e vanificano gli sforzi per proteggere tutte le app e le API.
Stiamo già sperimentando l'impatto della complessità degli strumenti cloud e delle API sulle organizzazioni nell'incapacità di applicare la sicurezza in modo coerente su tutte le applicazioni. Un approccio “mix-and-match” alla sicurezza di app e API non funziona per la maggior parte delle organizzazioni, come dimostra l'aumento sostanziale delle violazioni nell'ultimo anno, attribuite a vulnerabilità ed exploit di app e API.
La realtà dell'IT ibrido in materia di sicurezza app e API è che l'approccio frammentario e “à la carte” non sarà strategico a lungo termine. Abbiamo bisogno di un approccio migliore, che riconosca che l'IT e l'azienda sono, e saranno nel prossimo futuro, ibridi.