Introducción a Beyond the Edge Episodio 6 – Lo que necesitas saber sobre las arquitecturas componibles y sus beneficios para el rendimiento y la seguridad
Tom Mount: Hola y bienvenidos a Beyond the Edge, donde profundizamos en los seguros y las tendencias que afectan a los negocios digitales modernos.
Soy Tom Mount. Soy Arquitecto Senior de Soluciones en Edgio. Me centro en nuestra plataforma de aplicaciones y nuestras soluciones de seguridad que forman parte de esa plataforma. He sido desarrollador web durante casi 20 años, trabajando principalmente para o con agencias de marketing digital. Trabajé mucho con Higher Ed y comercio electrónico, incluyendo eBay, American Airlines y la Universidad de Pensilvania.
Y hoy me acompaña Howie Ross.
Howie Ross: Hola, soy Howie Ross. Soy el Director Senior de Gestión de Productos para la plataforma de aplicaciones Edgio, donde me centro en la aceleración web, incluyendo nuestra CDN y EDGE computing. He estado haciendo desarrollo web y arquitectura en la nube durante 20 años y durante ese tiempo he tenido el placer de trabajar en muchas industrias, incluyendo Fintech y ECOMM, donde he trabajado con numerosas marcas como Urban Outfitters, Coach, Verizon y M&MS
Tom Mount: Genial. Gracias Howie. Así que hoy queremos hablar con ustedes un poco sobre los desafíos de seguridad que enfrenta la arquitectura composable. Específicamente ahora sabemos que hay muchas amenazas de seguridad para los propietarios de sitios web y administradores de contenido.
Según IBM, hay un estudio que dice que el 83% de las empresas estadounidenses han experimentado una violación de datos y que puede costar más de $9,4 millones en los EE.UU. Eso es más del doble del promedio global. Okta, es uno de los proveedores de negocios de identidad de inicio de sesión único más grandes del mundo. Publicaron un informe de que el 34% de todos los intentos de inicio de sesión a nivel mundial fueron por bots. Así que esto es solo bots, literalmente, solo tratando de entrar en cuentas de red, solo mostró que una de cada cuatro organizaciones ha perdido $ 500.000 de un solo ataque de bot. Así que la seguridad es una gran amenaza. Es un problema enorme que tenemos que tratar.
Y mientras hablamos de arquitecturas componibles, eso es algo que realmente empieza a ser un poco más difícil de abordar. Y así sucesivamente, este podcast de hoy, queremos echar un vistazo a algunas de las amenazas que existen para las arquitecturas componibles y lo que podemos hacer al respecto.
Así que antes de profundizar demasiado en esto, Howie, me pregunto si puede definir para nosotros lo que es la arquitectura composable, ¿qué significa eso para usted?
¿Qué es la arquitectura componible?
Howie Ross: Claro, puedo intentarlo. Es una especie de esas cosas que es un poco difícil de definir, pero lo sabes cuando lo ves. La arquitectura componible es realmente una reacción a las plataformas monolíticas todo en uno que se utilizaron, ya sabes por ejemplo la década anterior y las limitaciones impuestas a la experiencia del usuario y al flujo de trabajo del desarrollador.
Por lo tanto, las soluciones de arquitectura componible están compuestas por herramientas y proveedores en toda la pila que le permiten seleccionar las mejores herramientas de su clase para satisfacer las necesidades de su organización y de sus usuarios.
Y composable a menudo se asocia con frontales sin cabeza o desacoplados donde estamos separando la capa de presentación de la capa de datos y a menudo confiando en microservicios o al menos arquitecturas impulsadas por API para facilitar esta arquitectura desacoplada sin cabeza y componer una solución completa a partir de varias herramientas.
Tom Mount: Así que suena bastante flexible, pero también parece que puede ser un poco más difícil técnicamente implementar algunas de estas pilas.
¿Por qué elegir Composable?
¿Qué haría que una empresa decidiera optar por una arquitectura composable en lugar de este patrón más monolítico, ya sabes, bien establecido?
Howie Ross: Sí, es una gran pregunta. Bueno, hay numerosos beneficios para las arquitecturas componibles, incluyendo, como he mencionado, una mejor experiencia de usuario debido a menos limitaciones de UX, ¿verdad? Así que en una pila monolítica, se limitará a menudo a, ya saben, qué capacidades proporciona esa pila. Sin embargo, con la arquitectura composable, es como, ya saben, el cielo es el límite.
El equipo y los diseñadores pueden soñar con cualquier experiencia que les gustaría y entonces sabes que vas a tener más agilidad en términos de poder implementar esas características a tus usuarios finales.
De hecho, hemos visto, hemos visto que organizaciones como Iceland Air tienen una reducción del 90% en el tiempo de entrega para implementar nuevas características, incluyendo promociones. Así que habrá disminuido el tiempo de comercialización y el tiempo de valor para el trabajo.
Además, como mencioné, puede seleccionar las mejores herramientas y proveedores de su clase y realmente construir esta red de socios del ecosistema en los que puede confiar para construir su solución y entregar ese valor.
Y luego también está un poco más a prueba de futuro que una pila monolítica porque puedes intercambiar estas herramientas como mejor te parezca. Por lo tanto, digamos que su herramienta de revisión de clientes ya no satisface sus necesidades. Quieres usar uno diferente. Usted no tiene que ir y reemplazar toda su solución. Puedes simplemente reemplazar esa herramienta específica y continuar iterando en tu pila y mantenerla realmente moderna.
Tom Mount: Mira ahora que estás hablando un poco de lenguaje allí. Mi, gran parte de mi experiencia es en la construcción de más aplicaciones en la web y ya saben, mirando la arquitectura de algo de esto, me encanta la idea, la idea de tener que gustar una pila a prueba de futuro donde se pueden mover las cosas dentro y fuera.
Y también creo que la preparación para el futuro parece que se extiende no solo a nivel de componentes, sino también a nivel de infraestructura, ¿verdad? Quiero decir que ahora estamos viendo mucho más enfoque en las cosas hechas en el borde, cosas hechas sin servidor en la nube que hace 5 años, hace 10 años.
Ciertamente, hay mucho más énfasis en eso y creo que tener una arquitectura más flexible donde se pueden mover componentes de un centro de datos más grande y a más de un obviamente es la nube, todo está en un centro de datos, ¿verdad? Entendemos esa parte.
Pero tener algo en el que puedas centrarte más en el borde y construir cosas específicamente para el procesamiento de bordes para funciones sin servidor y mantener esas cosas rápidas y ágiles es un gran, un gran beneficio también. Y creo que también como lo es la seguridad, también es algo que se beneficia de esto, ¿verdad? Debido a que a medida que hemos migrado más y más servicios y más cosas a la nube y tenemos estas soluciones habilitadas para el borde, la seguridad viene junto con eso.
Así que podemos hacer una gran cantidad de seguridad de confianza cero en el borde ahora en lugar de tener que volver todo el camino a un centro de datos y tener una arquitectura composable nos permite construir seguridad de confianza cero directamente en el tejido de la propia aplicación. Y yo, como dije en la parte superior, he estado construyendo sitios web durante 20 años. He trabajado con cadenas de herramientas por todas partes. Creo que una de las cosas buenas que hemos visto especialmente con algunos marcos componibles por ahí es que muchos de estos marcos ahora tienen capacidades incorporadas para la generación de sitios estáticos.
Y esas cosas pueden simplemente transmitirse directamente a ese pipeline de construcción y empujarse directamente hacia fuera como parte de esto, puede simplemente intercambiar los componentes o arquitecturas que desee. Su pipeline lo construirá todo y todo termina siendo usted sabe, destilado en eso, usted sabe archivos estáticos el HTML, el CSS, el JavaScript, las imágenes que necesitamos, independientemente de cómo se construyeron y qué piezas del rompecabezas encajan entre sí, los pipelines pueden seguir siendo en última instancia igual. Los despliegues todavía pueden reflejar eso. Así que creo que eso es algo que me llama la atención desde la perspectiva de la arquitectura como otro par de beneficios que se obtienen al ser capaces de mover estos componentes dentro y fuera.
Historias de éxito de clientes – Estándar universal
Howie Ross: Sí, esos son grandes puntos que conoces así que además de los beneficios para el equipo de desarrollo y para el cliente, hay beneficios significativos para que conozcas el equipo DevOps y las opciones que te ofrece para tu arquitectura de infraestructura.
Ya sea a través del aprovechamiento de la generación estática y usted sabe realmente construir su sitio para la CDN y para el edge o aprovechar sin servidor y realmente aprovechar esos avances en la tecnología de nube para su escalabilidad y su seguridad. Y ya sabes, así que conoces a Tom y a mí hemos tenido el placer de trabajar con una serie de clientes que han ido en este viaje a componible y han visto beneficios significativos.
Así que usted sabe que los clientes incluyen usted sabe algunos de los que mencioné anteriormente, como Coach y M&M que saben que han completado o están en el camino en sus viajes componibles.
Uno de los otros clientes poco menos conocidos se llama Universal Standard que está en su misión es ser la marca de ropa más inclusiva del mundo. Y ya sabes que para esa misión eligieron ir con una arquitectura composable construida sobre la plataforma Shopify.
Así que ya sabes que en lugar de estar un poco limitados por las limitaciones impuestas por Shopify en términos de experiencia de usuario y el flujo de trabajo de desarrolladores, están aprovechando las API de Shopify StoreFront y construyendo una solución composable utilizando el framework de Nuxt que se basa en Vue JS.
Y vieron que conoces una mejora significativa en el rendimiento, ya sabes, reduciendo los tiempos de carga de la página de que conoces varios segundos a, en muchos casos, sub-2º y mejorando, ya sabes, no solo estas métricas de rendimiento técnico, sino también las métricas reales del negocio.
De hecho, vieron una mejora del 200% en la tasa de conversión como resultado de este movimiento a componible. Eso, por supuesto, está realmente afectando, su resultado final y ayudándoles en su misión.
Historias de éxito de clientes – Carnaval de zapatos
Tom Mount: Sí, eso es realmente genial. Quiero decir, hablamos de que sabes que la subsegunda página se carga aquí y es gente siempre. Siempre cuando estoy hablando con la gente me da el ojo lateral como si estás seguro de eso y no, es verdad. Ya saben que uno de los clientes que a veces presento tiene una historia similar, es una empresa llamada Shoe Carnival, así que se mudaron a sin cabeza también. Tenían su arquitectura anterior. Estaban mirando específicamente las preocupaciones de rendimiento en torno a cosas como la carga de la primera página y las transiciones entre páginas.
Así que sus estadísticas antes de que se quedaran sin cabeza, estaban mirando, ya saben, 3, 3, 3 1/2 segundos para una carga de primera página y a veces hasta 6 segundos cuando pasas de una página a la siguiente cuando estás navegando. Y realmente querían bajar eso. Y hay un montón de razones por las que es una gran idea bajar eso.
Tenemos una gran cantidad de investigación de mercado que muestra que por cada segundo adicional los clientes están esperando a medida que la página se carga, aumenta su posibilidad de simplemente salir del sitio e ir a otro lugar. Así que, obviamente, la velocidad de la página y la tasa de conversión están muy ligadas y reconocen esto.
Así que vinieron a Edgio en busca de ayuda y en seguida terminaron su mudanza a Headless y habían hecho algunas de estas mejoras de rendimiento de las que hemos estado hablando. Tomaron sus transiciones e incluso sus primeras cargas de página a un segundo, a veces incluso menos de un segundo. Son hasta un 70% más rápidos en Edgio. Su tiempo medio de carga para las páginas es de un segundo, ¿verdad? Así que están viendo enormes ganancias de rendimiento como consecuencia de elegir esta arquitectura sin cabeza y ser capaces de optimizar su rendimiento en todos los niveles de la pila. E incluso las cargas de sus páginas, las subsiguientes cargas de páginas, ya sabes, una vez que realmente aterrizan en el sitio, han bajado un 92% en esa velocidad. Han bajado a 500 milisegundos en algunas de esas cargas de página. Tan grandes ganancias de rendimiento que fueron capaces de darse cuenta de venir.
Pero no es solo el rendimiento que es una característica atractiva de Composable. Pegarse con el Carnaval de Zapatos. Además de las ganancias de rendimiento, también aprovecharon la oportunidad de entrar en Composable para aumentar algunos de sus esfuerzos de seguridad. Y, lo que encontraron fue que dentro de los primeros 30 días de lanzar su nuevo sitio composable, habían rastreado más de 8 millones de solicitudes maliciosas que fueron bloqueadas. Y quiero enfocarme, me aseguraré de reiterar que esas solicitudes fueron bloqueadas.
No era que tuvieran 8 millones de peticiones con las que no sabían qué hacer, ¿verdad? La solución de seguridad que encontraron que proporcionamos fue capaz de bloquear todas esas solicitudes y proporcionar visibilidad de lo que tal vez no habían estado viendo antes del volumen de solicitudes maliciosas que están recibiendo.
Beneficios de seguridad de Composable
Así que este tipo de transición me hace hablar un poco de algunos de los beneficios de seguridad porque saben, pasamos mucho tiempo hasta ahora hablando de ganancias de rendimiento y son muy reales. Y ya saben, nosotros, hacemos un seguimiento de nuestros clientes cuando vienen, a nosotros, nos gusta ver las ganancias de rendimiento que tienen y tenemos algunas historias de éxito increíbles.
Pero creo que las ganancias de seguridad son otra buena razón para elegir una arquitectura composable. Me gusta verlo como una especie de defensa estratificada, escalonada, ¿verdad? Por lo tanto, queremos mantener a los malos actores lo más lejos posible de su origen, desde donde se encuentran sus servidores reales y sus datos. Y puedes pensar en ello en términos de, ya sabes, poner una valla alrededor de tu propiedad. Puedes tener señales en tu valla, digamos, mantente alejado, ya sabes, sin invadir lo que sea. Pero eso no significa necesariamente que no cierre la puerta por la noche. Solo significa que desea poner una barandilla lo más lejos posible para mantener fuera tanto como sea posible.
Y cuando elige una arquitectura componible, una de las ventajas es que luego puede elegir las características de seguridad que tiene en su lugar y dónde se encuentran esas características de seguridad.
Y le recomendamos que tenga seguridad en todos los niveles que pueda ponerlo bien. Así que pondremos esa seguridad en el borde, pondremos esa seguridad en el origen. Si hay otras API o servicios, ya sabes, mencionamos que ir componibles generalmente significa que estás aumentando, ya sabes, el número de API que están expuestas en tu sitio. Así que queremos asegurarnos de que esas APIs tengan seguridad y con una arquitectura composable, realmente se vuelve muy simple hacerlo. Tienes que dar cuenta de todos esos lugares, pero puedes poner la seguridad en todos esos diferentes niveles.
Una de las otras cosas bonitas de tener una arquitectura composable, y he tocado esto un poco antes, es la capacidad de tener esas páginas estáticas. Ahora, las páginas estáticas son excelentes para el rendimiento, pero también tienen un beneficio realmente bueno para la seguridad porque las páginas estáticas minimizarán la cantidad de transferencia de datos bidireccionales que ocurre entre el cliente y el servidor.
Si piensas en un tipo tradicional de aplicación monolítica, aplicación PHP, o algo así, alguien está introduciendo datos en esta aplicación y tiene que ir a la parte posterior en el servidor. Si estás cargando una nueva página, el servidor tiene que ir a solicitar estos datos y enviarlos de vuelta. Hay muchas oportunidades para que los datos entren y salgan de sus sistemas. Y bueno, obviamente tiene que salir algunos datos.
Usted quiere asegurarse de que no todos los datos que hay en sus sistemas salgan. Eso es lo que llamamos una violación de datos.
Así que tener páginas estáticas reduce las oportunidades de que alguien juegue con su servidor por medio de la página que se muestra en el navegador web porque todo lo que hay en la página es solo HTML, ¿verdad?
No hay, ya tiene los datos. No está obteniendo esos datos desde cualquier lugar. Fue construido con esos datos en mente ya. Así que tener páginas estáticas que usted conoce, mientras que ciertamente una ganancia de rendimiento también puede ser una ganancia de seguridad y esas páginas estáticas pueden ser servidas directamente desde una CDN.
Así que creo que esa es la última pieza del rompecabezas aquí en esa parte particular de la seguridad es que en lugar de tener que volver a sus servidores para obtener estos datos cada vez que la página se carga con la CDN, esa página se almacena en caché, está disponible en todo el mundo y sus servidores ni siquiera ven esas solicitudes porque todas se manejan directamente en el borde exterior.
Howie Ross: Sí, ese es un gran punto. Y estoy de acuerdo en que usted sabe que uno de los beneficios principales de una solución componible, ya sea que lo esté haciendo, sabe que la generación de sitios estáticos o está aprovechando, sabe que el renderizado del lado del servidor sin servidor es esa capacidad de aprovechar la CDN de una manera más efectiva. Eso le proporcionará mejores tiempos de carga de la página, pero también beneficios de seguridad, así que usted sabe mantener a los malos actores lo más lejos posible.
Usted sabe por sus datos y sus joyas de la corona y también sabe minimizar esa transferencia de datos de dos vías, pero usted sabe que si bien hay algunos beneficios de seguridad creo que también hay algunos desafíos también.
Así que ya saben, hablamos de cómo las soluciones componibles, saben que están seleccionando lo mejor de la clase de proveedores y herramientas y eso significa que hay, ya saben, hay más herramientas, hay más proveedores, lo que significa que potencialmente usted conoce más formas en su, sus sistemas y sus arquitecturas. Así que ya saben, eso es un riesgo.
Y una de las formas cada vez más comunes de comprometer a las organizaciones es a través de la suplantación de identidad, correcto, en lugar de saber que forzar bruto mi camino en su sitio web o sus servidores. Solo voy a averiguar cómo hacer ingeniería social para que me parezca uno de sus empleados. Y ahora, en lugar de tener que violar su red principal, ya sabes, y usted conoce sus herramientas empresariales. Puedo ser capaz de simplemente romper una de las muchas herramientas y proveedores que está utilizando en su solución componible para que sepa que la gestión de identidad y acceso se vuelve cada vez más importante.
Así que es y saben que esto puede ser mitigado de varias maneras a través de que saben tener estándares y un solo registro y cosas por el estilo. Pero es algo que quieres ser, sabes reflexivo porque sabes del aumento del skimming de datos y sabes que esta es una clase de vulnerabilidades o exploits.
A menudo se le conoce como carro de mage, que fue una de las explotaciones originales de este tipo de ataque donde sabes que un script es puesto en un sitio web por estos atacantes que luego va a, ya sabes, esquivar información personal.
En este caso, era información de tarjetas de crédito de sitios principalmente de Magento y estaba muy extendida y ya sabes, realmente puso en primer plano la criticidad y la gravedad de este problema y la importancia de tener, ya sabes, administrar la integridad de tu código a través de toda la cadena de suministro.
Y también, ya saben, mencioné la importancia de ser realmente cuidadoso con su identidad y gestión de acceso, sí, eso tiene mucho sentido.
Tom Mount: Sabes, obviamente con más herramientas hay más oportunidades para entrar. Creo que desde la perspectiva de la arquitectura de aplicaciones, muchos sitios componibles hacen uso intensivo de las llamadas API de vuelta al servidor para llenar nuevas páginas para facilitar una navegación más rápida. Y creo que la seguridad API es otra área en la que hay que prestar más atención a lo que está haciendo y a lo que está pasando.
Así que, obviamente, ya sabes, no quiero mi página cuando estoy comprando en un sitio. No quiero que mi página se almacene en caché para ti y probablemente no quieras que tu carrito se almacene en caché para mí porque eso es confuso y no entiendo por qué. Sabes por qué tengo lo que tengo en mi carrito cuando lo tiro hacia arriba.
Así que obviamente necesitamos asegurarnos de que tenemos páginas de respuesta rápida, pero también queremos asegurarnos de que estén personalizadas para el usuario individual y, por lo general, eso se hace a través de algún tipo de acceso a la API, y muchas veces la información del visitante termina en esos datos de la API que se transmiten.
Y ahí es donde la parte de la seguridad de cero confianza entra específicamente alrededor de la API, ¿verdad? Así que podemos hacer cosas como la personalización del borde donde estamos agarrando contenido, contenido almacenado en caché del servidor, y en el borde en lugar de en el navegador, estamos sacando estos datos del servidor e incorporando eso en la respuesta final que estamos enviando. Esa es una gran manera de tener páginas realmente rápidas y receptivas que todavía se almacenan en caché, pero que también tienen datos personales en ellas.
Otra forma en que podemos hacer un poco de magia de seguridad en el borde es usar algo como, ya sabes, JSON Web Tokens para la autenticación. Esto es AI no entrará en todos los detalles de lo que son porque es uno de mis proyectos favoritos actuales para jugar. Y podría hablar de ello probablemente otros 20 minutos solo por mi cuenta. Pero podcast, sí, vamos a hacer, vamos a hacer un podcast en JTBTS más tarde.
Pero sí, la parte genial de esto es que los datos se transmiten como en texto claro, pero también tiene una firma encriptada que el servidor sabe cómo generar su propia versión de esa firma encriptada.
Y así puedes verificar la validez del usuario que entra para asegurarte de que no se ha manipulado nada, que las credenciales son correctas y que sabes que el usuario tiene acceso a todo lo que dice que debería tener acceso.
Puede validar que ese acceso sigue siendo válido y correcto. Y puedes hacerlo también en el perímetro usando, ya sabes, la función excedente o la función de la nube, cosas así. Así que envolver eso alrededor de las API va a ser realmente crítico de abordar, ya sabes, ya sea que uses esa autenticación de confianza cero o algún otro mecanismo.
La seguridad API es una necesidad, sí, porque lo siento, lo siento, adelante.
Howie Ross: Así que esta es una de las mayores compensaciones de las arquitecturas componibles, ¿verdad? Así que sabes que no estamos construyendo nuestra aplicación para aprovechar el cómputo CDN y Edge, sino para retener a aquellos que conoces esas experiencias dinámicas que esa personalización tenemos para aprovechar las API. Así que saben que tenemos una especie de proliferación potencial de servicios y API que pueden aumentar el área de la superficie de la amenaza.
Así que ahora es crítico aprovechar una solución de seguridad API y estas van a ser un poco diferentes de lo que conocen algunos de ustedes, saben las soluciones de seguridad más convencionales que vamos a utilizar, saben que vamos a tocar momentáneamente porque necesitan ser adaptadas para ese caso de uso de API, correcto. Y entonces, primero que nada, tenemos que asegurarnos de que sabemos sobre todas las API, ¿verdad?
Así que querrás aprovechar una herramienta que hace el descubrimiento de API y te ayuda a encontrar y administrar todas tus API y asegurarte de que no tengamos ninguna de las API que nos gusta llamar zombie APIs que son API que sabes que fueron desarrolladas en un momento y tal vez ya no sepas que has iterado y quizás ya no estén en uso, pero todavía están ahí.
Por lo tanto, necesitamos tener un inventario completo de nuestras API y nuestra superficie de amenaza. Y luego, además, queremos que conozca algunas prácticas básicas de seguridad en su lugar, como la limitación de tarifas, ¿verdad?
Queremos controlar la tasa en la que alguien puede solicitar datos de estas API y, más específicamente, que un bot o un atacante que utilice la automatización pueda solicitar respuestas de estas API para que no se abrumen y creen efectivamente una situación de denegación de servicio.
Y la otra cosa que podemos hacer con la seguridad de API que es realmente interesante y cada vez es más accesible a medida que, ya sabes, adoptamos y aprovechamos la IA es lo que llamamos validación de esquemas. Así que ahí es donde vamos, ya saben, antes de nuestra solicitud, es su API justo en el perímetro, nos vamos a asegurar de que esta solicitud se ajuste al esquema de sus solicitudes de API, ¿verdad?
Así que si no parece una solicitud de API correctamente formada, vamos a bloquearla en la puerta, vamos a detenerla justo en el borde de la red y nunca va a entrar en su infraestructura, ya sabes, esperemos que sea rechazada allí. Pero sí, va a ser crítico aprovechar la seguridad de API y se está convirtiendo, ya sabes, cada vez más común, accesible y útil.
Tom Mount: Sí, definitivamente. Y ustedes saben que hablamos de algunas de estas preocupaciones específicas de seguridad componibles que tenemos y maneras en que podemos mitigar algunas de estas cosas. Pero creo que también es importante que no nos olvidemos de las cosas de seguridad en espera antiguas, ¿verdad? Las cosas que nos sirvieron bastante bien por un tiempo.
He mencionado anteriormente que sabes que la seguridad es mucho como si sabes que tener un montón de diferentes capas solo porque tú solo tienes que cerrar la puerta por la noche no significa que dejes la puerta abierta, ¿verdad?
Así que hablemos un poco sobre algunas de las prácticas de seguridad generales que tal vez todavía están perfectamente bien y deberían ser parte de la arquitectura general, incluso si no está específicamente orientada hacia la arquitectura composable.
Mejores prácticas para mejorar su postura de seguridad
Howie Ross: Claro. Así que usted conoce este enfoque de seguridad por capas que usted mencionó. También a menudo llamamos a eso defensa en profundidad, ¿verdad? Así que sabes entre el atacante y las joyas de la corona, que a menudo va a ser que conozcas los datos de tu empresa y de tu usuario. Queremos tener múltiples capas de seguridad para que en el caso de que se viole una de ellas todavía tengamos estas capas adicionales. Así que hay una serie de mitigaciones y sistemas que queremos tener en su lugar.
Y lo primero que conoces es el viejo standby que mencionaste a Tom que va a ser nuestro firewall de aplicaciones web y vamos a querer asegurarnos de que tenemos un WAF robusto con un gran conjunto de roles administrados para bloquear la expectativa de todas las vulnerabilidades conocidas.
Y vamos a querer asegurarnos de que sepan que estamos trabajando con un socio que lanza parches para lo que llamamos exploits de día cero rápidamente, ¿verdad?
Entonces, en lugar de tener que ir alrededor y parchar individualmente cada una de sus API, podemos implementar un parche en nuestro WAF en el perímetro y mitigar esa vulnerabilidad en todos nuestros servicios.
Y luego, además, ya saben, hablamos antes sobre el impacto de los bots, el aumento de los ataques de bots, el número de solicitudes de bots que están ocurriendo en nuestros sistemas. Ahora no todos los bots son malos, ¿verdad? Los bots rastrean nuestros sitios y ponen esos datos a disposición de los motores de búsqueda. Así que es crítico que dejemos entrar a ciertos bots para hacer su trabajo y que bloqueemos bots, bots maliciosos que están tratando de hacer cosas como la posible negación de inventario, ¿verdad? Están tratando de comprar todas las zapatillas de deporte o todas las entradas antes de que otros usuarios puedan conseguirlas.
Los bots también están haciendo cosas como la toma de cuenta. Solo están probando diferentes combinaciones de nombres de usuario y contraseñas o están intentando nombres de usuario y contraseñas que fueron violadas desde otro sitio. Potencialmente lo están probando en tu sitio porque saben que muchas personas reutilizan contraseñas. Así que va a ser crítico que tengamos nuestra solución de gestión de bots en su lugar.
Tom Mount: Sí, definitivamente y creo que sabes uno de los otros que todos hemos oído hablar, sabes cosas de gestión de bots, la venta de boletos como tú, sabemos que hemos tenido problemas con los vendedores de boletos cuyos boletos salen a la venta e inmediatamente son comprados por bots, ¿verdad?
Nuevas zapatillas caen del fabricante y de repente esas zapatillas se han ido. Y a veces le digo a la gente que bromea un 50% que, ya sabes, en 10 años Internet básicamente va a ser bots atacando a otros bots, ¿verdad? Eso va a ser todo, ¿verdad? Los bots van a comprar zapatos de otros bots. Van a atacar a otros sitios web.
Y también diré, ya sabes, en cuanto a los ataques de bots, recuerdo que cuando empecé en la industria, los ataques DDoS eran raros, ¿verdad? Los ataques de denegación de servicio eran raros porque se necesitaba mucho dinero y mucho esfuerzo para gastar en uno de ellos. Ya no es el caso, ¿verdad? Como si hubiéramos visto ataques de bots. Esto es, supongo que esta es la realidad de la situación actual es que no tienes que ser enorme para ser blanco de un ataque de denegación de servicio y los atacantes no tienen que ser ricos para ejecutar esos ataques. Los conjuntos de herramientas, las cadenas de herramientas y los recursos de computación en la nube para hacer girar estas cosas.
Quiero decir, incluso hemos visto ataques de denegación de servicio que incluyen lo que llamamos redes de bot, ¿no son solo computadoras en algún lugar que se ataron para ejecutar este ataque, incluyendo probablemente el que está en su refrigerador inteligente o su lavadora, ¿verdad?
Como si fuera una consecuencia de que cada vez más cosas se conectaran a Internet y que más computación disponible en paquetes más pequeños se distribuyera más a nivel mundial. Hemos visto un gran aumento en los ataques de denegación de servicio.
Y creo que sabes, como pensamos en seguridad, pero solo en las mejores prácticas para, para construir un sitio web en general, es 2024. A partir de esta grabación, al menos necesitas una CDN, correcto, porque la CDN realmente va a ser la mejor manera de absorber realmente estos niveles de ataques y estos especialmente estos ataques distribuidos.
¿Eso va a detener a todos? Ninguna. Pero ya saben, he tenido ahora en los últimos cinco años, he tenido dos o tres compañías específicamente que no sabían que fueron atacadas porque su CDN era tan bueno para absorber el ataque.
Fue solo después de que ocurrió el ataque que volvieron a sus registros. Y no estoy hablando como mucho tiempo después, ya saben, un par de horas o un día o dos más tarde vuelven a sus registros como wow, solo tuvimos millones y millones y millones de solicitudes en el último.
Me pregunto qué pasó aquí. A veces, ya sabes, si tienen activadas las alertas, pueden ver el aumento en el tráfico y nunca lo ven realmente en su sitio web. Y así que realmente una CDN es una forma engañosamente simple de manejar estos ataques de denegación de servicio.
Y ya saben, incluso con todas las nuevas oportunidades de seguridad que existen, como algunas de las cosas de seguridad API son realmente fascinantes para mí. Me encanta hablar de esas cosas.
Parte de esa seguridad de confianza cero es que hay cosas que suceden en ese campo que son alucinantes ante la rapidez con que avanzamos allí.
Pero usted sabe lo viejo que todavía necesita CDN, todavía necesita un WAF, ¿verdad? Quiero decir que son buenas herramientas para tener, y seguirán siendo buenas herramientas para tener independientemente del tipo de arquitectura que decidas elegir a medida que avanzas.
Y Howie, creo que una de las cosas que mencionaste de pasada quiero llamar también porque mencionaste tener un buen compañero que entienda estas cosas.
Creo que solía haber una sensación en la construcción de aplicaciones web, especialmente entre las empresas más grandes, de que siempre teníamos que ir solos, ¿verdad? Necesitamos a nuestros propios expertos internos, necesitamos a nuestra propia gente interna para hacer esto. Y resultó en que muchas personas internas retiraran muchas horas y realmente se volvieran muy frustrantes y se agotaran.
Y así, mientras eliges una arquitectura composable, ten en cuenta que no es solo la arquitectura real la que puedes elegir mejor en su raza. También puedes encontrar los mejores socios que te ayudarán a navegar por este espacio.
Ya sabes encontrar a alguien que haya hecho esto antes que tenga un buen sentido de las amenazas que existen en la forma en que las cosas se están construyendo y trabajar con ese socio y construir una relación con ellos para ayudar a que su sitio y su arquitectura obtengan un rendimiento rápido y que se empuje hacia fuera.
Sé que hemos hablado mucho sobre los beneficios de la experiencia del usuario para el flujo de trabajo. ¿Sabes que hay alguna otra comida que sientas que sería bueno para destacar mientras terminamos aquí?
Final Key Takeaways
Howie Ross: Sí, quiero decir, creo que has llegado a lo más destacado de cómo sabes que componible tiene numerosos beneficios, incluyendo la experiencia del usuario y el flujo de trabajo que puede tener impactos tangibles, ya sea que se trate de reducción de costos o aumento de ingresos. Pero también introduce algunas nuevas preocupaciones que hemos cubierto.
Entonces, sabes que todavía vas a necesitar las soluciones de seguridad que sabes que estábamos aprovechando y vamos a querer asegurarnos de que tenemos algunas que conoces, nuevas herramientas de seguridad y realmente estamos prestando atención a nuestra identidad y gestión de acceso también.
Y entonces ya saben, solo reiteran que saben esto, que brinda una oportunidad para, ya saben, no solo seleccionar proveedores, sino también para seleccionar socios que no solo han hecho esto antes, sino que actualmente están haciendo esto, ya saben, con otras compañías para que sepan que pueden beneficiarse de su riqueza de experiencia en varios clientes e industrias.
Tom Mount: Sí. Bueno, gracias Howie por tomarse el tiempo para charlar conmigo un poco sobre esto. Ha sido, ha sido divertido. Espero que para nuestros oyentes y nuestros espectadores, espero que esto les haya proporcionado una buena información para pensar y algunas cosas para considerar.
Y usted sabe que Edgio está listo para ayudar como un socio de confianza para usted y nos encantaría compartir con usted algunas de nuestras experiencias y algunos de nuestros éxitos.
Gracias a todos por unirse a nosotros en Beyond the Edge y nos veremos la próxima vez.
Para un rendimiento más rápido, una seguridad más inteligente y equipos más felices, hable hoy con uno de los expertos de Edgio.
