Introducción a Beyond the Edge Episodio 6: Lo que necesita saber sobre las arquitecturas componibles y sus beneficios para el rendimiento y la seguridad
Tom Mount: Hola y bienvenido a Beyond the Edge, donde profundizamos en los seguros y las tendencias que afectan a los negocios digitales modernos.
Soy Tom Mount. Soy Arquitecto Senior de Soluciones en Edgio. Me centro en nuestra plataforma de aplicaciones y nuestras soluciones de seguridad que forman parte de esa plataforma. He sido desarrollador web durante casi 20 años, trabajando principalmente para o con agencias de marketing digital. Trabajó mucho con Higher Ed y comercio electrónico, incluyendo eBay, American Airlines y la Universidad de Pensilvania.
Y hoy me acompaña Howie Ross.
Howie Ross: Hola, soy Howie Ross. Soy el Director Senior de Gestión de Productos de la plataforma Edgio Applications, donde me enfoco en la aceleración web, incluyendo nuestra CDN y la computación de borde. He estado haciendo desarrollo web y arquitectura en la nube durante 20 años y durante ese tiempo he tenido el placer de trabajar en muchas industrias, incluyendo Fintech y ECOMM, donde he trabajado con numerosas marcas como Urban Outfitters, Coach, Verizony M&Ms
Tom Mount: Genial. Gracias Howie. Así que hoy queremos hablar con ustedes un poco sobre los desafíos de seguridad que se enfrentan a la arquitectura componible. Específicamente ahora sabemos que hay muchas amenazas de seguridad para los propietarios de sitios web y administradores de contenido.
Según IBM, hay un estudio que dice que el 83% de las empresas estadounidenses han experimentado una violación de datos y que puede costar más de 9,4 millones de dólares en Estados Unidos. Eso es más del doble del promedio mundial. Okta, son uno de los proveedores de negocios de identidad de inicio de sesión único más grandes del mundo. Publicaron un informe de que el 34% de todos los intentos de inicio de sesión a nivel mundial fueron por bots. Así que esto es solo bots, literalmente, solo tratando de entrar en cuentas de red, solo mostró que una de cada cuatro organizaciones ha perdido $ 500.000 por un solo ataque de bot. Así que la seguridad es una gran amenaza. Es un gran problema que tenemos que tratar.
Y mientras hablamos de arquitecturas componibles, eso es algo que realmente comienza a ser un poco más difícil de abordar. Y así sucesivamente, este podcast hoy, queremos echar un vistazo a algunas de las amenazas que existen para las arquitecturas componibles y lo que podemos hacer al respecto.
Así que antes de profundizar demasiado en esto, Howie, me pregunto si tal vez puede definir para nosotros lo que es la arquitectura componible, ¿qué significa eso para usted?
¿Qué es la Arquitectura Composable?
Howie Ross: Claro, puedo intentarlo. Es una de esas cosas que es un poco difícil de definir, pero lo sabes cuando lo ves. La arquitectura componible es realmente una reacción a las plataformas monolíticas todo en uno que se utilizaron, ya sabes para la década anterior y las limitaciones impuestas a la experiencia del usuario y el flujo de trabajo del desarrollador.
Por lo tanto, con la arquitectura componible, las soluciones se componen de herramientas y proveedores en toda la pila que le permiten seleccionar las mejores herramientas de su clase para satisfacer las necesidades de su organización y de sus usuarios.
Y Composable a menudo se asocia con frontales sin cabeza o desacoplados donde estamos separando la capa de presentación de la capa de datos y a menudo confiando en microservicios o al menos arquitecturas basadas en API para facilitar esta arquitectura desacoplada sin cabeza y componer una solución completa a partir de varias herramientas.
Tom Mount: Así que suena bastante flexible, pero también parece que puede ser un poco más técnicamente difícil implementar algunas de estas pilas.
¿Por qué elegir Composable?
¿Qué haría que una empresa optara por una arquitectura componible en lugar de este patrón más monolítico, ya sabes, bien establecido?
Howie Ross: Sí, es una gran pregunta. Bueno, hay numerosos beneficios para las arquitecturas componibles, incluyendo, como he mencionado, la experiencia de usuario mejorada debido a menos limitaciones de UX, ¿verdad? Así que en una pila monolítica, te vas a limitar a menudo a, ya sabes, qué capacidades proporciona esa pila. Sin embargo, con la arquitectura componible, es como, ya sabes, el cielo es el límite.
El equipo y los diseñadores pueden soñar con cualquier experiencia que les gustaría y luego sabes que vas a tener más agilidad en términos de poder implementar esas características a tus usuarios finales.
Así que, de hecho, hemos visto que organizaciones como Iceland Air tienen una reducción del 90% en el tiempo de entrega para implementar nuevas características, incluyendo promociones. Así que vas a tener menos tiempo de comercialización y tiempo de valor para el trabajo.
Además, como mencioné, puede seleccionar las mejores herramientas y proveedores de su clase y realmente construir esta red de socios del ecosistema en la que puede confiar para construir su solución y entregar ese valor.
Y luego y luego también es un poco más a prueba de futuro que una pila monolítica porque se pueden intercambiar estas herramientas dentro y fuera como se considere conveniente. Por lo tanto, digamos que su herramienta de revisión de clientes ya no satisface sus necesidades. Quieres usar uno diferente. Usted no tiene que ir y reemplazar toda su solución. Puedes simplemente reemplazar esa herramienta específica y continuar iterando en tu pila y mantenerla realmente moderna.
Tom Mount: Mira ahora que estás hablando de lenguaje un poco allí. Mi, gran parte de mi experiencia es en la construcción de más aplicaciones en la web y ya sabes, mirando la arquitectura de algo de esto, me encanta la idea, la idea de tener que gustar una pila a prueba de futuro donde solo se pueden mover las cosas dentro y fuera.
Y también creo que la prueba de futuro parece que se extiende no solo a nivel de componentes, sino también a nivel de infraestructura, ¿verdad? Quiero decir que ahora estamos viendo mucho más enfoque en las cosas hechas en el borde, las cosas hechas sin servidor en la nube que lo que éramos, ya sabes, hace 5 años, hace 10 años.
Ciertamente, hay mucho más énfasis en eso y creo que tener una arquitectura más flexible donde se pueden mover componentes fuera de usted conoce un centro de datos más grande y en más de un obviamente es la nube, todo está en un centro de datos, ¿verdad? Entendemos esa parte.
Pero tener algo donde puedas enfocarte más en el borde y construir cosas específicamente para el procesamiento de bordes para funciones sin servidor y mantener esas cosas rápidas y ágiles es creo que también es un gran beneficio. Y también creo que la seguridad es, también es algo que se beneficia de esto, ¿verdad? Debido a que muchas veces hemos migrado más y más servicios y más cosas a la nube y tenemos estas soluciones que conoces, la seguridad viene junto con eso.
Por lo tanto, podemos hacer mucha seguridad de confianza cero en el borde ahora en lugar de tener que volver a un centro de datos y tener una arquitectura componible nos permite crear seguridad de confianza cero directamente en el tejido de la aplicación en sí. Y yo y me veo como dije en la parte superior, he estado construyendo sitios web durante 20 años. He trabajado con cadenas de herramientas por todas partes. Creo que una de las cosas bonitas que hemos visto especialmente con algunos marcos componibles es que muchos de estos marcos ahora tienen capacidades integradas para la generación de sitios estáticos.
Y esas cosas pueden ser transmitidas directamente a esa tubería de construcción y empujadas directamente como parte de esto, puede cambiar los componentes o arquitecturas que desee. Tu pipeline lo construirá todo y todo termina siendo ya sabes, destilado en eso, sabes los archivos estáticos el HTML, el CSS, el JavaScript, las imágenes que necesitamos independientemente de cómo se construyeron y qué piezas de rompecabezas encajan juntas, los oleoductos pueden seguir siendo los mismos en última instancia. Los despliegues todavía pueden reflejar eso. Así que creo que eso me impacta desde la perspectiva de la arquitectura como otro par de beneficios que se obtienen al ser capaz de mover estos componentes dentro y fuera.
Historias de éxito del cliente – Estándar Universal
Howie Ross: Sí, esos son grandes puntos que conoces, así que además de los beneficios para el equipo de desarrollo y para el cliente, hay beneficios significativos para que conozcas el equipo de DevOps y las opciones que te ofrece para tu arquitectura de infraestructura.
Ya sea a través del aprovechamiento de la generación estática y usted sabe realmente construir su sitio para la CDN y para el borde o aprovechar sin servidor y realmente aprovechar esos avances en la tecnología en la nube para su escalabilidad y su seguridad. Y saben, así que ya saben Tom y yo hemos tenido el placer de trabajar con una serie de clientes que han hecho este viaje a Composable y han visto beneficios significativos.
Así que usted sabe que los clientes incluyen, usted sabe que algunos de los que he mencionado anteriormente, como Coach y F&M que o saben que han completado o están en el camino en sus viajes componibles.
Uno de los otros clientes poco menos conocidos se llama Universal Standard que está en su misión es ser la marca de ropa más inclusiva en el mundo. Y ya saben para esa misión que eligieron ir con una arquitectura componible construida en la parte superior de la plataforma Shopify.
Así que sabes que en lugar de estar un poco limitados por las limitaciones impuestas por Shopify en términos de experiencia de usuario y flujo de trabajo de desarrollador, están aprovechando las API de Shopify Storefront y construyendo una solución componible utilizando el framework Nuxt que está construido en Vue JS.
Y vieron que conoces una mejora significativa del rendimiento, ya sabes, reduciendo los tiempos de carga de la página de que sabes varios segundos a, en muchos casos, subsegundo y mejorando tu conocimiento, no solo estas métricas de rendimiento técnico, sino métricas de negocio reales.
De hecho, vieron una mejora del 200% en la tasa de conversión como resultado de este cambio a Composable. Eso, por supuesto, está afectando realmente a sus resultados y ayudándoles en su misión.
Historias de Éxito de Clientes – Carnaval de Zapatos
Tom Mount: Sí, eso es realmente genial. Quiero decir que hablamos de que sabes que subes de segunda página aquí y que siempre son personas. Siempre cuando estoy hablando con la gente tengo el ojo lateral como si estuvieras seguro de eso y no, es verdad. Ya saben que uno de los clientes que a veces luzco que tiene una historia similar, es una empresa llamada Shoe Carnival, así que también se mudaron a Headless. Tenían su arquitectura anterior. Estaban mirando específicamente las preocupaciones de rendimiento en torno a cosas como la carga de la primera página y las transiciones entre páginas.
Así que sus estadísticas antes de que se volvieran sin cabeza, estaban mirando, ya sabes, 3, 3, 1/2 segundos para una carga de primera página y a veces hasta 6 segundos cuando se hace la transición de una página a la siguiente cuando se está navegando. Y realmente querían bajar eso. Y hay muchas razones por las que es una gran idea bajar eso.
Tenemos una gran cantidad de investigación de mercado que muestra que por cada segundo adicional los clientes están esperando a medida que la página se carga, aumenta su probabilidad de simplemente salir del sitio e ir a otro lugar. Así que, obviamente, la velocidad de la página y la tasa de conversión están muy estrechamente vinculadas y lo reconocen.
Y así vinieron a Edgio en busca de ayuda y al mismo tiempo terminaron su paso a headless y habían hecho algunas de estas mejoras de rendimiento de las que hemos estado hablando. Tomaron sus transiciones e incluso su primera página se carga a un segundo, a veces incluso menos de un segundo. Son hasta un 70% más rápidos en Edgio. Su tiempo medio de carga para las páginas es de un segundo, ¿verdad? Así que están viendo enormes ganancias de rendimiento como consecuencia de elegir esta arquitectura sin cabeza y ser capaces de optimizar su rendimiento en todos los niveles de la pila. E incluso sus cargas de página, sus subsiguientes cargas de página, ya sabes, una vez que realmente aterrizan en el sitio, están 92% abajo en esa velocidad. Están a 500 milisegundos en algunas de esas cargas de página. Tan enormes ganancias de rendimiento que fueron capaces de darse cuenta de venir.
Pero no es solo el rendimiento lo que es una característica atractiva de composable. Pegarse con el Carnaval del Zapato. Además de las mejoras en el rendimiento, también aprovecharon la oportunidad de entrar en Composable para aumentar algunos de sus esfuerzos de seguridad. Y, lo que encontraron fue dentro de los primeros 30 días de lanzar su nuevo sitio composable, habían rastreado más de 8 millones de solicitudes maliciosas que fueron bloqueadas. Y quiero centrarme, me aseguraré de reiterar que esas solicitudes fueron bloqueadas.
No era que ellos, saben, tenían 8 millones de solicitudes que no sabían con qué hacer, ¿verdad? La solución de seguridad que descubrieron que proporcionamos fue capaz de bloquear todas esas solicitudes y proporcionar visibilidad de lo que tal vez no habían visto antes del volumen de solicitudes maliciosas que están recibiendo.
Beneficios de seguridad de Composable
Así que este tipo de transición me lleva a hablar un poco sobre algunos de los beneficios de seguridad porque, hasta ahora, pasamos mucho tiempo hablando de ganancias de rendimiento y son muy reales. Y saben, nosotros, rastreamos a nuestros clientes cuando llegan, nos gusta ver las ganancias de rendimiento que tienen y tenemos algunas historias de éxito increíbles.
Pero creo que las ganancias de seguridad son otra buena razón para elegir una arquitectura componible. Me gusta mirarlo como una especie de defensa en capas, escalonadas, ¿verdad? Por lo tanto, queremos mantener a los malos actores lo más lejos posible de su origen, desde donde se encuentran sus servidores reales y sus datos. Y se puede pensar en términos de, ya sabes, poner una valla alrededor de su propiedad. Puedes tener señales en tu valla, digamos, mantente fuera, ya sabes, sin traspasar nada. Pero eso no significa necesariamente que no cierres la puerta por la noche. Solo significa que desea poner una barandilla lo más lejos posible para mantener fuera tanto como sea posible.
Y cuando elige una arquitectura componible, una de las ventajas es que luego puede elegir las características de seguridad que tiene en su lugar y dónde se encuentran esas características de seguridad.
Y le recomendamos que tenga seguridad en todos los niveles que pueda ponerlo bien. Así que pondremos esa seguridad en el límite, pondremos esa seguridad en el origen. Si hay otras API o servicios, ya sabes, mencionamos que ir componible generalmente significa que estás aumentando, ya sabes, el número de API que están expuestas en tu sitio. Así que queremos asegurarnos de que esas API tengan seguridad y con una arquitectura componible, en realidad se vuelve muy sencillo hacerlo. Tienes que tener en cuenta todos esos lugares, pero puedes poner seguridad en todos esos niveles diferentes.
Una de las otras cosas bonitas de tener una arquitectura componible, y hablé de esto un poco antes, es la capacidad de tener esas páginas estáticas. Ahora, las páginas estáticas son excelentes para el rendimiento, pero también tienen un beneficio muy bueno para la seguridad porque las páginas estáticas minimizarán la cantidad de transferencia de datos bidireccional que ocurre entre el cliente y el servidor.
Si piensas en un tipo tradicional de aplicación monolítica, aplicación PHP, o algo así, alguien está introduciendo datos en esta aplicación y tiene que ir a la parte posterior en el servidor. Si vas a cargar una página nueva, el servidor tiene que solicitar estos datos y enviarlos de vuelta. Hay muchas oportunidades para que los datos entren y salgan de sus sistemas. Y bueno, obviamente tiene que salir algunos datos.
Usted quiere asegurarse de que no todos los datos que están en sus sistemas salgan. Eso es lo que llamamos una violación de datos.
Así que tener páginas estáticas reduce las oportunidades para que alguien pueda jugar con su servidor a través de la página que se muestra en el navegador web porque todo lo que hay en la página es solo HTML, ¿verdad?
No hay, ya tiene los datos. No está obteniendo esos datos desde cualquier lugar. Fue construido con esos datos en mente ya. Por lo tanto, tener páginas estáticas, aunque ciertamente una ganancia de rendimiento también puede ser una ganancia de seguridad y esas páginas estáticas pueden ser servidas directamente desde una CDN.
Y así que creo que ese es el tipo de la última pieza del rompecabezas aquí en esa parte particular de la seguridad es que en lugar de tener que volver a sus servidores para obtener estos datos cada vez que la página se carga con la CDN, esa página está almacenada en caché, está disponible en todo el mundo y sus servidores ni siquiera ven esas solicitudes porque todas se manejan directamente en el borde exterior.
Howie Ross: Sí, ese es un gran punto. Y estoy de acuerdo en que uno de los principales beneficios de una solución componible, ya sea que conozca la generación de sitios estáticos o esté aprovechando que sepa que el renderizado del lado del servidor sin servidor es esa capacidad de aprovechar la CDN de una manera más efectiva. Eso le proporcionará tiempos de carga de página mejorados, pero también beneficios de seguridad, así como de usted sabe mantener a los malos actores lo más lejos posible.
Usted sabe por sus datos y sus joyas de la corona y también sabe minimizar esa transferencia de datos bidireccional también, pero usted sabe a pesar de que hay algunos beneficios de seguridad creo que también hay algunos desafíos.
Así que ya sabes, hablamos de cómo las soluciones componibles, sabes que estás seleccionando lo mejor de la clase de proveedores y herramientas y eso significa que hay, ya sabes, más herramientas, hay más proveedores, lo que significa que potencialmente conoces más formas en tus sistemas y arquitecturas. Así que sabes, eso es un riesgo.
Y una de las formas cada vez más comunes de comprometer a las organizaciones es a través de usted conocer la suplantación, correcto, en lugar de saber forzando mi camino a su sitio web o sus servidores. Solo voy a averiguar cómo hacer ingeniería social para que parezca uno de sus empleados. Y ahora, en lugar de tener que romper su red principal, ya sabe, y conoce sus herramientas empresariales. Es posible que pueda violar una de las muchas herramientas y proveedores que está utilizando en su solución componible para que sepa que la gestión de identidad y acceso se vuelve cada vez más importante.
Así que es y saben que esto puede ser que saben mitigado en una serie de maneras a través de que saben tener estándares y un solo inicio de sesión y cosas por el estilo. Pero es algo que quieres ser, sabes bien pensado porque conoces el aumento del skimming de datos y sabes que esta es una clase de vulnerabilidades o exploits.
A menudo se le conoce como MAGE CART, que fue una de las explotaciones originales de este tipo de ataque en el que sabes que un script es puesto en un sitio web por estos atacantes que luego van a, ya sabes, a borrar información personal.
En este caso, fue información de tarjetas de crédito de sitios principalmente de Magento y estaba muy extendida y ya sabes, realmente llevó a la vanguardia, ya sabes, la criticidad y la gravedad de este problema y la importancia de tener, ya sabes, gestionar la integridad de su código a través de toda la cadena de suministro.
Y también saben, mencioné la importancia de tener mucho cuidado con su identidad y la gestión de acceso, sí, eso tiene mucho sentido.
Tom Mount: Ya sabes, obviamente con más herramientas hay más oportunidades para entrar. Creo que desde una perspectiva de arquitectura de aplicaciones, muchos sitios componibles utilizan intensas llamadas API al servidor para rellenar nuevas páginas y facilitar una navegación más rápida. Y creo que la seguridad de API es otra área en la que hay que prestar más atención a lo que está haciendo y a lo que está pasando.
Así que obviamente, ya saben, no quiero mi página cuando estoy comprando en un sitio. No quiero que mi página esté en caché para ti y probablemente no quieras que tu carrito esté en caché para mí porque eso solo es confuso y no entiendo por qué. Ya sabes por qué tengo lo que tengo en mi carrito cuando lo levanto.
Así que obviamente necesitamos asegurarnos de que tenemos páginas de respuesta rápida, pero también queremos asegurarnos de que estén personalizadas para el usuario individual y, por lo general, eso se hace a través de algún tipo de acceso a la API, y muchas veces la información del visitante termina en los datos de la API que se están transmitiendo.
Y ahí es donde la parte de confianza cero de la seguridad entra en torno a la API específicamente, ¿verdad? Así que podemos hacer cosas como la personalización del borde, donde estamos agarrando contenido, contenido almacenado en caché del servidor, y en el borde en lugar de en el navegador, estamos extrayendo estos datos del servidor e incorporando eso en la respuesta final que estamos enviando. Esa es una gran manera de tener páginas realmente rápidas y realmente receptivas que todavía se almacenan en caché, pero también tienen datos personales en ellas.
Otra forma en que podemos hacer un poco de magia de seguridad en el borde es usar algo como, ya sabes, JSON Web Tokens para la autenticación. Esto es IA no va a entrar en todos los detalles de lo que son porque es uno de mis proyectos favoritos actuales para jugar. Y podría hablar de ello durante probablemente otros 20 minutos solo por mi cuenta. Pero podcast, sí, lo haremos, haremos un podcast en JTBTS más tarde.
Pero sí, la parte genial de esto es que los datos se transmiten en un texto claro, pero también tiene una firma cifrada que el servidor sabe cómo generar su propia versión de esa firma cifrada.
Y así puedes comprobar la validez del usuario que entra para asegurarte de que sabes que nada ha sido manipulado, que las credenciales son correctas y que sabes que el usuario tiene acceso a todo lo que dice que debe tener acceso.
Puede validar que ese acceso sigue siendo válido y correcto. Y puedes hacer eso también en el borde usando, ya sabes, la función excedente o la función de nube, cosas así. Así que envolver eso alrededor de las API va a ser muy crítico de abordar, ya sabes, si usas esa autenticación de confianza cero o algún otro mecanismo.
La seguridad de la API es una necesidad, sí, porque lo siento, lo siento, sigue adelante.
Howie Ross: Así que esta es una de las mayores compensaciones de las arquitecturas componibles, ¿verdad? Así que sabes que somos tú sabes que no estamos construyendo nuestra aplicación para aprovechar el CDN y el cálculo Edge, sino para retener a aquellos que conoces esas experiencias dinámicas que esa personalización tenemos para aprovechar las API. Así que saben que tenemos una especie de potencial proliferación de servicios y APIs que en realidad pueden aumentar el área de la superficie de amenaza.
Así que ahora es fundamental aprovechar una solución de seguridad API y estas van a ser un poco diferentes de lo que sabes, ya sabes las soluciones de seguridad más convencionales que vamos a hacer, sabes que vamos a tocar momentáneamente porque necesitan ser adaptados para ese caso de uso de API, cierto. Y por lo tanto, primero que nada, tenemos que asegurarnos de que sabemos acerca de todas las APIs ¿verdad?
Así que querrás aprovechar una herramienta que hace el descubrimiento de API y te ayuda a encontrar y administrar todas tus API y asegurarte de que no tenemos ninguna de las que nos gusta llamar API zombie, que son API que sabes que se desarrollaron en un momento dado y tal vez ya no son, sabes que has iterado y tal vez ya no están en uso, pero todavía están ahí fuera.
Por lo tanto, necesitamos tener un inventario completo de nuestras API y nuestra superficie de amenazas. Y luego, además, queremos que conozcas algunas prácticas básicas de seguridad como la limitación de tarifas, ¿verdad?
Queremos controlar la velocidad con la que alguien puede solicitar datos de estas API y, más específicamente, que un bot o un atacante que utiliza la automatización puede solicitar respuestas de estas API para que no se sientan abrumados y creen efectivamente una situación de denegación de servicio.
Y la otra cosa que podemos hacer con la seguridad de API que es realmente interesante y se está volviendo cada vez más accesible a medida que adoptamos y aprovechamos la IA es lo que llamamos validación de esquemas. Así que ahí es donde vamos, ya saben, antes de nuestra solicitud, es su API justo en el borde, vamos a asegurarnos de que esta solicitud se ajuste al esquema de sus solicitudes de API, ¿verdad?
Así que si no parece una solicitud de API correctamente formada, la bloquearemos en la puerta, la detendremos justo en el borde de la red y nunca entrará en su infraestructura, ya saben, esperemos que sea rechazado allí. Pero sí, va a ser fundamental aprovechar la seguridad de la API y se está convirtiendo, ya sabes, en cada vez más común, accesible y útil.
Tom Mount: Sí, definitivamente. Y saben que hablamos de algunas de estas preocupaciones específicas de seguridad componibles que tenemos y de las formas en que podemos mitigar algunas de estas cosas. Pero creo que también es importante que no nos olvidemos del viejo material de seguridad de reserva, ¿verdad? Las cosas que nos sirvieron bastante bien por un tiempo.
Mencioné anteriormente que sabes que la seguridad es muy parecida a que sabes que tener un montón de capas diferentes solo porque bloqueas tu puerta por la noche no significa que dejes la puerta abierta, ¿verdad?
Así que hablemos un poco sobre algunas de las prácticas generales de seguridad que tal vez todavía están perfectamente bien y deberían ser parte de la arquitectura general, incluso si no está específicamente orientada hacia la arquitectura componible.
Mejores prácticas para mejorar su postura de seguridad
Howie Ross: Claro. Así que ya saben este enfoque de seguridad por capas que mencionaron. También a menudo llamamos a esa defensa en profundidad, ¿verdad? Así que usted sabe entre el atacante y las joyas de la corona que a menudo va a ser que usted conoce los datos de su empresa y de su usuario. Queremos tener múltiples capas de seguridad para que en el caso de que se viole una todavía tengamos estas capas adicionales. Así que hay una serie de mitigaciones y sistemas que queremos tener en marcha.
Y lo primero que saben es el viejo standby que mencionaron a Tom que va a ser nuestro firewall de aplicaciones web y vamos a querer asegurarnos de que tenemos un WAF robusto con un gran conjunto de roles administrados para bloquear las expectativas de todos vulnerabilidades conocidas.
Y vamos a querer asegurarnos de que sepan que estamos trabajando con un socio que libera parches para nuevos y emergentes lo que llamamos exploits de día cero rápidamente ¿verdad?
Así que en lugar de tener que ir alrededor y parchear individualmente cada una de sus API, podemos implementar un parche en nuestro WAF en el borde y mitigar esa vulnerabilidad en todos nuestros servicios.
Y luego, además, ya saben, hablamos antes del impacto de los bots, el aumento de los ataques de bots, el número de solicitudes de bots que están sucediendo en nuestros sistemas. Ahora bien, no todos los bots son malos, ¿verdad? Los bots rastrean nuestros sitios y ponen esos datos a disposición de los motores de búsqueda. Así que es fundamental que dejemos que ciertos bots hagan su trabajo y que bloqueemos bots, bots maliciosos que están tratando de hacer cosas como la posible denegación de inventario, ¿verdad? Están tratando de comprar todas las zapatillas o todos los boletos antes de que otros usuarios puedan conseguirlas.
Los bots también están haciendo cosas como la toma de cuenta. Solo están probando diferentes combinaciones de nombres de usuario y contraseñas o están probando nombres de usuario y contraseñas que fueron violadas desde otro sitio. Lo están probando en tu sitio potencialmente porque saben que muchas personas reutilizan las contraseñas. Así que va a ser fundamental que tengamos nuestra solución de gestión de bots en su lugar.
Tom Mount: Sí, definitivamente y creo que sabes que uno de los otros que todos hemos oído hablar de ti sabe cosas de gestión de bots que vendemos entradas como tú sabes que hemos tenido problemas con los vendedores de entradas cuyas entradas salen a la venta e inmediatamente son atrapadas por bots, ¿verdad?
Nuevas zapatillas caen del fabricante y de repente esas zapatillas se han ido. Y a veces le digo a la gente un 50% bromeando que, ya saben, en 10 años Internet básicamente va a ser bots atacando a otros bots, ¿verdad? Eso va a ser todo, ¿verdad? Los bots van a comprar zapatos de otros bots. Van a atacar otros sitios web.
Y diré también, ya saben, en cuanto a los ataques de bots, recuerdo que cuando empecé en la industria, los ataques DDoS eran raros, ¿verdad? Los ataques de denegación de servicio eran raros porque se necesitó mucho dinero y mucho esfuerzo para gastar en uno de ellos. Ya no es el caso, ¿verdad? Como hemos visto ataques de bots. Esto es, supongo que esta es la realidad de la situación hoy en día es que no tienes que ser enorme para ser un objetivo de un ataque de denegación de servicio y los atacantes no tienen que ser ricos para ejecutar esos ataques. Los conjuntos de herramientas, las cadenas de herramientas y los recursos de computación en la nube para hacer girar estas cosas.
Quiero decir, incluso hemos visto ataques de denegación de servicio que incluyen lo que llamamos redes de bots, ¿verdad son solo computadoras en algún lugar que se unieron para ejecutar este ataque, incluyendo probablemente el que está en su refrigerador inteligente o en su lavadora, ¿verdad?
Al igual que es una consecuencia de que cada vez más cosas se conectan a Internet y más computación disponible en paquetes más pequeños se distribuyen más a nivel mundial. Hemos visto un enorme aumento en los ataques de denegación de servicio.
Y creo que ya sabes, ya que pensamos no solo en seguridad, sino en las mejores prácticas para, para construir un sitio web en general, correcto, es 2024 A partir de esta grabación al menos necesitas una CDN, correcto, porque la CDN realmente va a ser la mejor manera de absorber realmente estos niveles de ataques y estos especialmente estos ataques distribuidos.
¿Eso va a detener a cada uno? Ninguna. Pero ya saben, he tenido ahora en los últimos cinco años, he tenido dos o tres compañías específicamente que no sabían que fueron atacadas porque su CDN era tan buena para absorber el ataque.
Fue solo después de que el ataque ocurrió que ellos regresaron a sus registros. Y no estoy hablando como mucho tiempo después, ya saben, un par de horas o un día o dos más tarde vuelven a sus registros como wow, solo tuvimos millones y millones y millones de solicitudes en el último.
Me pregunto qué pasó aquí. A veces, ya sabes, si tienen las alertas activadas, pueden ver el aumento en el tráfico y nunca lo ven realmente en su sitio web. Así que realmente una CDN es una manera engañosamente simple de manejar estos ataques de denegación de servicio.
Y así saben que incluso con todas las nuevas oportunidades de seguridad que existen, como algunas de las cosas de seguridad de API es realmente fascinante para mí. Me encanta hablar de esas cosas.
Algo de esa seguridad de confianza cero es que hay cosas que están sucediendo en ese campo que son simplemente, ya saben, alucinantes a lo rápido que estamos avanzando allí.
Pero sabes lo viejo que todavía necesitas para CDN, todavía necesitas un WAF, ¿verdad? Quiero decir que esas son buenas herramientas para tener, y seguirán siendo buenas herramientas para tener, independientemente del tipo de arquitectura que decidas elegir a medida que avanzas.
Y Howie, creo que una de las cosas que mencionaste de paso quiero llamar también porque mencionaste tener un buen socio que entienda estas cosas.
Creo que solía haber una sensación en la construcción de aplicaciones web, especialmente entre las empresas más grandes, que siempre tuvimos que ir solo, ¿verdad? Necesitamos nuestros propios expertos internos, necesitamos a nuestra propia gente interna para hacer esto. Y resultó en que mucha gente de la casa sacara muchas horas y realmente se volviera muy frustrante y se quemara.
Y así, mientras eliges una arquitectura componible, ten en cuenta que no es solo la arquitectura real la que puedes elegir mejor en su raza. También puede encontrar los mejores socios de su clase que le ayudarán a navegar por este espacio.
Usted sabe encontrar a alguien que ha hecho esto antes que tiene una buena idea de las amenazas que están ahí fuera de la forma en que las cosas se construyen y trabajan con ese socio y construir una relación con ellos para ayudar a que su sitio y su arquitectura aseguren un rendimiento rápido y obtener eso empujó hacia fuera.
Sé que hemos hablado mucho sobre los beneficios de la experiencia del usuario para el flujo de trabajo. ¿Sabes que hay alguna otra comida para llevar que sientes que sería bueno destacar mientras terminamos aquí?
Final Key Takeaways
Howie Ross: Sí, quiero decir, creo que has llegado a lo más destacado de cómo sabes que Composable tiene que conocer numerosos beneficios, incluyendo la experiencia del usuario y el flujo de trabajo que puede tener impactos tangibles que sabes si se trata de reducción de costos o aumento de ingresos. Pero también introduce a algunos que conocen algunas nuevas preocupaciones que cubrimos.
Así que, saben que todavía van a necesitar las soluciones de seguridad que saben que estábamos aprovechando y vamos a querer asegurarnos de que tenemos algunas herramientas de seguridad nuevas y realmente estamos prestando atención a nuestra gestión de identidad y acceso también.
Y entonces ya sabes, solo reitera que sabes esto, que ofrece una oportunidad para, ya sabes, no solo seleccionar proveedores, sino para seleccionar socios que no solo han hecho esto antes, sino que actualmente están haciendo esto, ya sabes, con otras empresas para que sepa que puede beneficiarse de su riqueza de experiencia en varios clientes e industrias.
Tom Mount: Sí. Bueno, gracias Howie por tomarse el tiempo para charlar conmigo un poco sobre esto. Ha sido, ha sido divertido. Espero que para nuestros oyentes y nuestros espectadores, espero que esto les haya proporcionado una buena información para pensar y algunas cosas para considerar.
Y usted sabe que Edgio está listo para ayudar como un socio de confianza para usted y nos encantaría compartir con usted algunas de nuestras experiencias y algunos de nuestros éxitos.
Gracias a todos por unirse a nosotros en Beyond the Edge y nos veremos la próxima vez.
Para un rendimiento más rápido, una seguridad más inteligente y equipos más felices, hable hoy con uno de los expertos de Edgio .
