Home Podcast EP6 – O que você precisa saber sobre a Composable Security
Download
Applications

EP6 – O que você precisa saber sobre a Composable Security

About The Author

Outline

Uma Introdução ao Beyond the Edge Episódio 6 – O que você precisa saber sobre arquiteturas Composable e seus benefícios para desempenho e segurança

Tom Mount: Olá e bem-vindo ao Beyond theEdge , onde nós investigamos o seguro e as saídas das tendências que afetam negócios digitais modernos.

Eu sou Tom Mount. Sou Arquiteto Sênior de Soluções na Edgio. Eu me concentro em nossa plataforma de aplicativos e nossas soluções de segurança que fazem parte dessa plataforma. Eu sou um desenvolvedor web por quase 20 anos, trabalhando principalmente para ou com agências de marketing digital. Fez muito trabalho com o Higher Ed e e-commerce, incluindo eBay, American Airlines e a Universidade da Pensilvânia.

E hoje estou acompanhado por Howie Ross.

Howie Ross: Olá, eu sou Howie Ross. Sou o Diretor Sênior de Gerenciamento de Produtos da plataforma Edgio Applications, onde me foco na aceleração da web, incluindo nosso CDN e computação de borda. Tenho feito desenvolvimento web e arquitetura de nuvem há 20 anos e durante esse tempo tive o prazer de trabalhar em muitas indústrias, incluindo fintech e EComm, onde trabalhei com várias marcas, incluindo Urban Outfitters, Coach , Verizone M&Ms

Tom Mount: Ótimo. Graças Howie. Então, hoje queremos falar com você um pouco sobre os desafios de segurança que estão enfrentando uma arquitetura compostável. Especificamente agora sabemos que há muitas ameaças de segurança por aí para proprietários de sites e gerentes de conteúdo.

De acordo com a IBM, há um estudo que diz que 83% das empresas norte-americanas sofreram uma violação de dados e que pode custar mais de $9,4 milhões nos EUA. Isso é mais do que o dobro da média global. Okta, eles são um dos maiores provedores de identidade de logon único do mundo. Eles publicaram um relatório de que 34% de todas as tentativas de login globalmente eram por bots. Então, isso é apenas bots literalmente apenas tentando entrar em contas de rede apenas mostrou que uma em cada quatro organizações perdeu $500 000 de um único ataque de bot. Portanto, a segurança é uma grande ameaça. É uma questão enorme com a qual temos de lidar.

E enquanto falamos sobre arquiteturas compostáveis, isso é algo que realmente começa a ficar um pouco mais desafiador para abordar. E assim por diante, neste podcast de hoje, queremos dar uma olhada em algumas das ameaças que estão lá fora para arquiteturas compostáveis e o que podemos fazer sobre isso.

Então, antes de entrarmos muito profundamente nisso, Howie, eu me pergunto se você pode definir para nós o que é arquitetura compostável, o que isso significa para você?

O que é Arquitetura Composable?

Howie Ross: Claro, eu posso tentar. É uma daquelas coisas que é um pouco difícil de definir, mas você sabe quando vê-lo. A arquitetura Composable é realmente uma reação às plataformas monolíticas tudo-em-um que foram usadas, você sabe para a década anterior e as limitações impostas à experiência do usuário e ao fluxo de trabalho do desenvolvedor.

Assim, com a arquitetura composta, as soluções são compostas de ferramentas e fornecedores em toda a pilha que permitem selecionar as melhores ferramentas da classe para atender às necessidades da sua organização e do seu usuário.

E compostable é muitas vezes associado a front ends sem cabeça ou desacoplados, onde estamos separando a camada de apresentação da camada de dados e muitas vezes contando com microsserviços ou pelo menos arquiteturas orientadas por API para facilitar essa arquitetura desacoplada sem cabeça e compondo uma solução completa a partir de várias ferramentas.

Tom Mount: Então parece bastante flexível, mas também parece que pode ser um pouco mais tecnicamente desafiador para implementar algumas dessas pilhas.

Por que escolher Composable?

O que faria uma empresa escolher ir com uma arquitetura compostável em oposição a este padrão mais monolítico, sabe, bem estabelecido?

Howie Ross: Sim, é uma ótima pergunta. Bem, existem inúmeros benefícios para arquiteturas compostáveis, incluindo, como eu mencionei, melhor experiência do usuário devido a menos limitações de UX, certo? Então, em uma pilha monolítica, você estará limitado frequentemente a, você sabe, quais recursos são fornecidos por essa pilha. No entanto, com arquitetura compostável, é como, você sabe, o céu é o limite.

A equipe e os designers podem sonhar com qualquer experiência que eles gostariam e, então, você sabe que terá mais agilidade em termos de ser capaz de implementar esses recursos para seus usuários finais.

Por isso, na verdade, vimos que organizações como a Iceland Air têm uma redução de 90% no tempo de entrega para lançar novas funcionalidades, incluindo promoções. Então você vai ter diminuído o tempo de comercialização e tempo de valor para o trabalho.

Além disso, como mencionei, você pode selecionar as melhores ferramentas e fornecedores da categoria e realmente criar essa rede de parceiros de ecossistema em que você pode confiar para construir sua solução e entregar esse valor.

E então, também é um pouco mais preparado para o futuro do que uma pilha monolítica, porque você pode trocar essas ferramentas de dentro e para fora conforme você entender. Então, diga que sua ferramenta de avaliação de clientes não está mais atendendo às suas necessidades. Você quer usar um diferente. Você não tem que ir e substituir toda a sua solução. Você pode simplesmente substituir essa ferramenta específica e continuar a iterar em sua pilha e mantê-la realmente moderna.

Tom Mount: Veja agora que você está falando de linguagem um pouco lá. Meu, muito do meu background está na construção de mais aplicativos na web e você sabe, olhando para a arquitetura de alguns disso, eu amo a ideia, a ideia de ter que gostar de uma pilha preparada para o futuro, onde você pode apenas mover as coisas para dentro e para fora.

E penso também que a prova de futuro parece que se estende não apenas ao nível dos componentes, mas também ao nível da infra-estrutura, certo? Quero dizer, estamos vendo agora muito mais foco em coisas feitas na borda, coisas feitas sem servidor coisas na nuvem do que nós, você sabe, há 5 anos, há 10 anos.

Certamente, há muito mais ênfase nisso e eu acho que ter uma arquitetura mais flexível onde você pode mover componentes de você conhece um data center maior e mais de um, obviamente, é a nuvem, tudo está em um data center, certo? Entendemos essa parte.

Mas ter algo onde você pode se concentrar mais na borda e construir coisas especificamente para processamento de borda para funções sem servidor e manter essas coisas rápidas e ágeis é eu acho um enorme, um enorme benefício também. E eu acho que também como a segurança é, também é algo que se beneficia disso, certo? Como muitos, à medida que migramos mais e mais serviços e mais coisas para a nuvem e temos essas soluções que você conhece, a segurança vem junto com isso.

Então, podemos fazer muita segurança de confiança zero agora, em vez de ter que voltar a um data center e ter uma arquitetura compostável nos permite pensar que construir segurança de confiança zero diretamente na estrutura do próprio aplicativo. E eu e parece que eu disse no topo, eu tenho construído sites por 20 anos. Eu trabalhei com toolchains em todo o lugar. Eu acho que uma das coisas legais que vimos especialmente com alguns frameworks compostáveis lá fora é que muitos desses frameworks agora têm recursos internos para a geração estática do site.

E essas coisas podem ser transmitidas diretamente nesse pipeline de compilação e empurradas para fora como parte disso, você pode simplesmente trocar quaisquer componentes ou arquiteturas que você quer. Seu pipeline vai construir tudo e tudo acaba sendo você sabe, destilado nisso, você conhece arquivos estáticos o HTML, o CSS, o JavaScript, as imagens que precisamos, independentemente de como elas foram construídas e quais peças de quebra-cabeça se encaixam, os oleodutos ainda podem, em última análise, permanecer os mesmos. Os deploys ainda podem refletir isso. Então, eu acho que isso é um que me impressiona da perspetiva da arquitetura como mais um par de benefícios que você obtém ao ser capaz de mover esses componentes para dentro e para fora.

Histórias de Sucesso do Cliente – Universal Standard

Howie Ross: Sim, esses são ótimos pontos que você conhece. Além dos benefícios para a equipe de desenvolvimento e para o cliente, há benefícios significativos para você conhecer a equipe de DevOps e as opções que ela oferece para sua arquitetura de infraestrutura.

Seja por meio do aproveitamento da geração estática e você sabe realmente construir seu site para a CDN e para a borda ou aproveitar sem servidor e realmente aproveitar esses avanços na tecnologia de nuvem para sua escalabilidade e segurança. E você sabe que você sabe que Tom e eu tivemos o prazer de trabalhar com um número de clientes que passaram nesta jornada para compostável e têm visto benefícios significativos.

Então você sabe que os clientes incluem você sabe alguns dos que eu mencionei anteriormente, como Coach e M&Ms que são ou você sabe ter concluído ou estão bem ao longo do caminho em suas jornadas compostáveis.

Um dos outros clientes pouco menos conhecidos é chamado Universal Standard que está em sua missão é ser a marca de roupas mais inclusiva do mundo. E você sabe para essa missão que eles escolheram seguir com uma arquitetura composta construída sobre a plataforma Shopify.

Então, você sabe que, em vez de eles serem um pouco limitados pelas limitações impostas pela Shopify em termos de experiência do usuário e do fluxo de trabalho do desenvolvedor, eles estão aproveitando as APIs do Shopify Storefront e criando uma solução composta usando a estrutura Nuxt que é construída no Vue JS.
E eles viram que você conhece uma melhoria significativa do desempenho, você sabe, trazendo o tempo de carregamento da página para baixo de você sabe vários segundos para, em muitos casos, sub 2 e melhorando você sabe, não apenas essas métricas de desempenho técnico, mas métricas de negócios reais.

Na verdade, eles viram uma melhoria de 200% na taxa de conversão como resultado dessa mudança para composable. É claro que isso está realmente afetando, seus resultados finais e ajudando-os em sua missão.

Histórias de Sucesso do Cliente – Shoe Carnival

Tom Mount: Sim, isso é realmente ótimo. Quero dizer, nós falamos sobre você sabe que a sub segunda página carrega aqui e é as pessoas sempre. Eu sempre quando estou falando com pessoas que eu tenho o olho de lado como se você estivesse certo sobre isso e não, é verdade. Você conhece um dos clientes que eu às vezes mostro fora que tem uma história similar, é uma companhia chamada Carnaval do sapato, assim que mudaram-se para headless também. Eles tinham sua arquitetura anterior. Eles estavam olhando especificamente para as preocupações de desempenho em torno de coisas como carregamento de primeira página e transições entre páginas.

Então, suas estatísticas antes de irem semcabeça , eles estavam olhando, você sabe, 3, três, 3 1/2 segundos para um carregamento de primeira página e, às vezes, até 6 segundos ao transitar de uma página para a próxima quando você estiver navegando. E eles realmente queriam baixar isso. E há muitas razões pelas quais é uma ótima ideia mover isso para baixo.

Nós temos um monte de pesquisa de mercado que mostra que para cada segundo adicional os clientes estão esperando enquanto a página está carregando, aumenta suas chances de apenas sair do site e ir para outro lugar. Então, obviamente , a velocidade da página e a taxa de conversão estão muito intimamente ligadas e eles reconhecem isso.

E então eles vieram para Edgio procurando alguma ajuda e, ao mesmo tempo, eles terminaram sua mudança para sem cabeça e eles fizeram algumas dessas melhorias de desempenho que temos falado. Eles levaram suas transições e até mesmo suas primeiras páginas são carregadas para um segundo, às vezes até menos de um segundo. Eles são até 70% mais rápidos no Edgio. Seu tempo médio de carregamento para páginas é de um segundo, certo? Por isso, estão a ver enormes ganhos de desempenho como consequência da escolha desta arquitetura sem cabeça e da capacidade de otimizar o seu desempenho em todos os níveis da pilha. E até mesmo as suas páginas carregam, as suas páginas subsequentes são carregadas, você sabe, uma vez que elas realmente chegam no site, elas estão abaixo de 92% nessa velocidade. Eles estão em até 500 milissegundos em alguns desses carregamentos de página. Tão enormes ganhos de desempenho que eles foram capazes de perceber vindo sobre.

Mas não é apenas o desempenho que é uma caraterística atraente do Composable. Aderindo ao Carnaval das sapatilhas. Além dos ganhos de desempenho, eles também aproveitaram a oportunidade de entrar em compostável para aumentar alguns de seus esforços de segurança. E, o que eles descobriram foi nos primeiros 30 dias após o lançamento de seu novo site compostável, eles tinham rastreado mais de 8 milhões de solicitações maliciosas que foram bloqueadas. E eu quero me concentrar, vou me certificar de que eu reitero que esses pedidos foram bloqueados.

Não foi que eles, você sabe, tivessem 8 milhões de pedidos que eles não sabiam o que fazer com, certo? A solução de segurança que eles descobriram que fornecemos foi capaz de bloquear todas essas solicitações e fornecer visibilidade sobre o que talvez eles não tivessem visto antes do volume de solicitações maliciosas que eles estão recebendo.

Benefícios de segurança da Composable

Então, esse tipo de transição me faz um pouco falar sobre alguns dos benefícios de segurança , porque você sabe, passamos muito tempo falando sobre ganhos de desempenho e eles são muito reais. E você sabe, nós, rastreamos nossos clientes quando eles vêm, nós, gostamos de ver os ganhos de desempenho que eles têm e temos algumas histórias de sucesso incríveis.

Mas eu acho que os ganhos de segurança são outra boa razão para escolher uma arquitetura compostável. Eu gosto de olhar para ele como uma espécie de defesa em camadas, certo? Portanto, queremos manter os maus atores o mais longe possível da sua origem, de onde seus servidores reais e seus dados estão localizados. E você pode pensar nisso em termos de, você sabe, colocar uma cerca em torno de sua propriedade. Você pode ter sinais em sua cerca, digamos, mantenha-se fora, você sabe, não invadindo qualquer coisa. Mas isso não significa necessariamente que você não tranque sua porta à noite. Isso significa apenas que você quer colocar um corrimão para cima o mais longe possível para manter para fora tanto quanto você puder.

E quando você escolhe uma arquitetura composta, uma das vantagens é que você pode escolher e escolher os recursos de segurança que você tem no local e onde esses recursos de segurança estão localizados.

E recomendamos que você tenha segurança em todos os níveis que você pode colocar direito. Então vamos colocar essa segurança na borda, vamos colocar essa segurança na origem. Se houver outras APIs ou serviços, você sabe, mencionamos que ficar compostável geralmente significa que você está aumentando, você sabe, o número de APIs que são expostas em seu site. Portanto, queremos garantir que essas APIs tenham segurança e, com uma arquitetura composta, ela realmente se torna muito simples fazer isso. Você tem que contabilizar todos esses lugares, mas você pode colocar a segurança em todos esses níveis diferentes.

Uma das outras coisas legais sobre ter uma arquitetura compostável, e eu toquei sobre isso um pouco antes, é a capacidade de ter essas páginas estáticas. Agora, as páginas estáticas são ótimas para o desempenho, mas também têm um benefício muito bom para a segurança, porque as páginas estáticas minimizarão a quantidade de transferência de dados bidirecional que acontece entre o cliente e o servidor.

Se você pensa em um tipo tradicional de aplicativo monolítico, aplicativo PHP, ou algo assim, alguém está inserindo dados neste aplicativo e tem que entrar no back para o servidor. Se você estiver carregando uma nova página, o servidor terá que ir solicitar esses dados e enviá-los de volta. Há muitas oportunidades para que os dados entrem e saiam de seus sistemas. E bem, obviamente tem alguns dados que têm de sair.

Você quer se certificar de que nem todos os dados que estão em seus sistemas saem. Isso é o que chamamos de violação de dados.

Então, ter páginas estáticas reduz as oportunidades de alguém mexer com seu servidor por meio da página que é exibida no navegador da web porque tudo o que está na página é apenas HTML, certo?

Não há, ele já tem os dados. Não é buscar esses dados de qualquer lugar. Ele foi construído com esses dados em mente já. Portanto, ter páginas estáticas que você conhece, enquanto certamente um ganho de desempenho também pode ser um ganho de segurança e essas páginas estáticas podem ser servidas diretamente de uma CDN.

E então eu acho que esse é o tipo da última peça do quebra-cabeça aqui nessa parte específica da segurança é que em vez de ter que voltar para seus servidores para buscar esses dados toda vez que a página é carregada com o CDN, essa página é armazenada em cache, está disponível em todo o mundo e seus servidores nem sequer veem essas solicitações porque todas elas são tratadas diretamente na borda externa.

Howie Ross: Sim, esse é um ótimo ponto. E eu concordo que você conhece um dos principais benefícios de uma solução composta, quer você esteja fazendo você conhecer a geração de sites estáticos ou se está aproveitando que você sabe que a renderização sem servidor é essa capacidade de aproveitar a CDN de uma maneira mais eficaz. Isso irá fornecer-lhe tempos de carregamento de página melhorados, mas também benefícios de segurança, bem como de você sabe manter os maus atores o mais longe possível.

Você sabe de seus dados e suas joias de coroa e também sabe minimizar essa transferência de dados bidirecional também, mas você sabe, enquanto há alguns benefícios de segurança, eu acho que também existem alguns desafios.

Então você sabe, nós falamos sobre como soluções compostáveis, você sabe que está selecionando o melhor da raça de fornecedores e ferramentas e isso significa que há, você sabe, há mais ferramentas, há mais fornecedores, o que significa que potencialmente você sabe mais maneiras de seus, seus sistemas e suas arquiteturas. Então você sabe, então isso é um risco.

E uma das maneiras cada vez mais comuns de comprometer as organizações é através de você saber personificação, certo, em vez de você saber brute forçando meu caminho para o seu site ou seus servidores. Eu só vou descobrir como fazer engenharia social para me parecer com um de seus funcionários. E agora, ao contrário de ter que violar sua rede principal, você sabe, e você conhece suas ferramentas empresariais. Talvez eu possa apenas violar uma das muitas ferramentas e fornecedores que você está usando em sua solução composta para que você saiba que o gerenciamento de identidade e acesso se torna cada vez mais importante.

Então é e você sabe que isso pode ser que você sabe mitigado de várias maneiras através de você sabe ter padrões e single sign-on e coisas assim. Mas é algo que você quer ser, você sabe pensativo porque você sabe do aumento do skimming de dados e você sabe que esta é uma classe de vulnerabilidades ou explorações.

É muitas vezes referido como carrinho de mage, que foi uma das explorações originais deste tipo de ataque, onde você sabe que um script é colocado em um site por esses atacantes que então vão, você sabe, skim informações pessoais.

Neste caso, eram informações de cartão de crédito de sites principalmente Magento e era difundida e você sabe, realmente meio que trouxe para a frente a, você sabe, a criticidade e a gravidade desta questão e a importância de ter, você sabe, gerir a integridade do seu código através de toda a cadeia de fornecimento.

E você também sabe, eu mencionei a importância de realmente ser cuidadoso com sua identidade e gerenciamento de acesso, sim, isso faz muito sentido.

Tom Mount: Você sabe, obviamente, com mais ferramentas, há mais oportunidades para entrar. Penso que, do ponto de vista da arquitetura de aplicativos, muitos sites compostáveis usam o uso pesado de chamadas de API de volta ao servidor para preencher novas páginas para facilitar a navegação mais rápida. E eu acho que a segurança da API é outra área em que você tem que prestar mais atenção ao que está fazendo e ao que está acontecendo.

Então, obviamente, você sabe, eu não quero minha página quando estou comprando em um site. Eu não quero minha página em cache para você e você provavelmente não quer seu carrinho em cache para mim, porque isso é confuso e eu não entendo o porquê. Você sabe por que eu tenho o que eu tenho no meu carrinho quando eu o puxo para cima.

Então, obviamente, precisamos ter certeza de que temos páginas rápidas e responsivas, mas também queremos ter certeza de que elas são personalizadas para o usuário individual e, geralmente, isso é feito através de algum tipo de acesso à API, e muitas vezes as informações do visitante acabam nos dados da API que estão sendo transmitidos.

E então é aí que tipo de porção de confiança zero da segurança vem em torno da API especificamente, certo? Assim, podemos fazer coisas como personalização de borda, onde estamos pegando conteúdo, conteúdo em cache do servidor, e na borda, em vez de no navegador, estamos puxando esses dados do servidor e incorporando-os na resposta final que estamos enviando. Essa é uma ótima maneira de ter páginas realmente rápidas e realmente responsivas que ainda estão em cache, mas também têm dados pessoais sobre elas.

Outra maneira de fazer um pouco de magia de segurança na borda é usar algo como, você sabe, JSON Web Tokens para autenticação. Isso é que não vai entrar em todos os detalhes do que eles são, porque é um dos meus projetos favoritos atuais para brincar. E eu poderia falar sobre isso provavelmente por mais 20 minutos apenas por conta própria. Mas podcast, sim, vamos fazer, vamos fazer um podcast no JTBTS mais tarde.

Mas sim, a parte legal sobre isso é que são dados transmitidos em texto claro, mas também tem uma assinatura criptografada para ele que o servidor sabe como gerar sua própria versão dessa assinatura criptografada.

E assim você pode verificar a validade do usuário entrando para se certificar de que você sabe que nada foi adulterado, que as credenciais estão corretas, e que você sabe que o usuário tem acesso a tudo o que ele diz que deve ter acesso.

Você pode validar se esse acesso ainda é válido e correto. E você pode fazer isso também na borda usando, você sabe, função excedente ou função de nuvem, coisas como isso. Portanto, acabar com isso em torno das APIs será realmente fundamental para resolver, você sabe, se você usa essa autenticação de confiança zero ou algum outro mecanismo.

A segurança da API é uma obrigação, sim, porque desculpe, eu sinto muito, vá em frente.

Howie Ross: Então este é um dos principais trade-offs de arquiteturas compostáveis, certo? Então você sabe que não estamos criando nosso aplicativo para aproveitar a CDN e a computação Edge, mas para reter aqueles que você conhece essas experiências dinâmicas que essa personalização tem para aproveitar as APIs. Então você sabe que temos uma potencial proliferação de serviços e APIs que podem realmente aumentar a área de superfície de ameaças.

Então, é fundamental agora aproveitar uma solução de segurança de API e estas serão um pouco diferentes do que você conhece algumas das suas, você conhece as soluções de segurança mais convencionais que vamos, você sabe que vamos entrar em contato momentaneamente porque eles precisam ser adaptados para esse caso de uso da API, certo. E então precisamos primeiro de tudo para nos certificarmos de que sabemos sobre todas as APIs certo?

Então você vai querer aproveitar uma ferramenta que faz descoberta de API e ajuda você a encontrar e gerenciar todas as suas APIs e garantir que não temos nada do que gostamos de chamar APIs zumbi que são APIs que você sabe que foram desenvolvidas em um ponto e talvez eles não estejam mais, você sabe que você iterou e eles talvez não estejam mais em uso, mas eles ainda estão lá fora.

Portanto, precisamos ter um inventário completo de nossas APIs e nossa área de superfície de ameaças. E então, além disso, queremos que você conheça algumas práticas básicas de segurança em vigor, como limitação de taxa, certo?

Queremos controlar a taxa que alguém pode solicitar dados dessas APIs e, mais especificamente, que um bot ou um invasor que usa automação pode solicitar respostas dessas APIs para que elas não fiquem sobrecarregadas e criem efetivamente uma situação de negação de serviço.

E a outra coisa que podemos fazer com a segurança da API que é realmente interessante e está se tornando cada vez mais acessível à medida que nós, você sabe, adotamos e alavancamos a IA é o que chamamos de validação de esquema. Então, é aí que vamos, você sabe, antes de nossa solicitação, é sua API bem na borda, vamos garantir que essa solicitação esteja de acordo com o esquema de suas solicitações de API, certo?

Então, se ele não parece com uma solicitação de API devidamente formada, vamos bloqueá-lo no portão, vamos pará-lo bem na borda da rede e nunca vai entrar em sua, você sabe, sua infraestrutura para ser, você sabe, você sabe, esperemos que seja rejeitado lá. Mas sim, será fundamental aproveitar a segurança da API e está se tornando, você sabe, cada vez mais comum e acessível e útil.

Tom Mount: Sim, definitivamente. E você sabe que falamos sobre algumas dessas preocupações de segurança específicas compostáveis que temos e maneiras de mitigar algumas dessas coisas. Mas eu acho que é importante também que nós também não nos esqueçamos do velho material de segurança em espera, certo? As coisas que nos serviram muito bem por um tempo.

Eu mencionei anteriormente que você sabe que a segurança é muito como você sabe ter um monte de camadas diferentes apenas porque você só porque você tranca seu portão à noite não significa que você deixe sua porta aberta, certo?

Então, vamos falar um pouco sobre algumas das práticas gerais de segurança que talvez ainda estejam perfeitamente bem e devem fazer parte da arquitetura geral, mesmo que não seja especificamente voltada para a arquitetura compostável.

Práticas recomendadas para melhorar sua postura de segurança

Howie Ross: Claro. Então você sabe essa abordagem de segurança em camadas que você mencionou. Nós também chamamos frequentemente essa defesa-em-profundidade, certo? Então você sabe entre o atacante e as joias da coroa que muitas vezes vai ser você sabe os dados da sua empresa e do seu usuário. Queremos ter várias camadas de segurança para que, no caso de uma ser violada, ainda tenhamos essas camadas adicionais. Portanto, há uma série de mitigações e sistemas que queremos ter em vigor.

E o primeiro que você conhece o velho standby que você mencionou Tom que vai ser o nosso firewall de aplicação web e vamos querer ter certeza de que temos um WAF robusto com um conjunto realmente grande de funções gerenciadas para bloquear a expetativa de todos os vulnerabilidades conhecidas.

E vamos querer ter certeza de que você sabe que estamos trabalhando com um parceiro que lança patches para novos e emergentes O que chamamos de exploits de dia zero rapidamente certo?

Então, em vez de ter que contornar e corrigir individualmente cada uma de suas APIs, podemos implantar um patch em nosso WAF na borda e mitigar essa vulnerabilidade em todos os nossos serviços.

E então, além disso, você sabe, nós falamos que eu penso mais cedo sobre o impactos dos bots, o aumento dos ataques de bot, o número de solicitações de bot que estão acontecendo em nossos sistemas. Agora nem todos os bots são maus, certo? Os bots rastreiam nossos sites e disponibilizam esses dados para os mecanismos de busca. Então, é fundamental que deixemos certos bots fazerem o seu trabalho e que bloqueemos bots, bots maliciosos que estão tentando fazer coisas como potencial negação de inventário, certo? Eles estão tentando comprar todos os tênis ou todos os bilhetes antes que outros usuários possam obtê-los.

Os bots também estão fazendo coisas como a aquisição de contas. Eles estão apenas tentando diferentes combinações de nomes de usuário e senhas ou estão tentando nomes de usuário e senhas que foram violados de outro site. Eles estão tentando isso em seu site potencialmente porque sabem que muitas pessoas reutilizam senhas. Portanto, será fundamental que tenhamos nossa solução de gerenciamento de bots.

Tom Mount: Sim, definitivamente e eu acho que você sabe um dos outros que todos nós já ouvimos sobre você sabe coisas de gerenciamento de bots que vendas de ingressos como você sabe que tivemos problemas com vendedores de ingressos cujos ingressos estão à venda e imediatamente são agarrados por bots, certo?

Novos tênis caem do fabricante e, de repente, esses tênis acabaram de desaparecer. E eu digo às pessoas, às vezes, cerca de 50% brincando que, você sabe, em 10 anos, a Internet basicamente será apenas bots atacando outros bots, certo? Isso vai ser isso, certo? Bots vão comprar sapatos de outros bots. Eles vão atacar outros sites.

E eu também vou dizer, você sabe, no que diz respeito aos ataques de bots, eu me lembro quando comecei na indústria, os ataques DDoS eram raros, certo? Os ataques de negação de serviço eram raros porque demorava muito dinheiro e muito esforço para gastar em um deles. Não é mais o caso, certo? Como vimos ataques de bot. Isto é, eu acho que esta é a realidade da situação hoje é que você não precisa ser enorme para ser um alvo de um ataque de negação de serviço e os atacantes não precisam ser ricos para executar esses ataques. Os conjuntos de ferramentas, os toolchains e os recursos de computação em nuvem para aumentar essas coisas.

Quer dizer, já vimos ataques de negação de serviço que incluem o que chamamos de redes de bots, certo que são apenas computadores em algum lugar que foram cerrados para executar este ataque, incluindo provavelmente aquele que está na sua geladeira inteligente ou na sua máquina de lavar roupa, certo?

Como se fosse uma consequência de mais e mais coisas estarem conetadas à Internet e mais computação disponível em pacotes menores sendo mais distribuídos globalmente. Vimos um enorme aumento nos ataques de negação de serviço.

E eu acho que você sabe como pensamos não apenas sobre segurança, mas apenas práticas recomendadas para, para construir um site em geral, certo, é 2024 a partir desta gravação, pelo menos você precisa de uma CDN, certo, porque a CDN será realmente a melhor maneira de realmente absorver esses níveis de ataques e esses, especialmente esses ataques distribuídos.

Será que isso vai parar cada um? Nenhum. Mas você sabe, eu tive agora nos últimos cinco anos, eu tive duas ou três empresas especificamente que não sabiam que elas estavam sob ataque porque sua CDN era tão boa em absorver o ataque.

Foi só depois que o ataque aconteceu que eles foram voltar em seus logs. E eu não estou falando como um longo tempo depois, você sabe, algumas horas ou um dia ou dois depois eles voltam em seus logs como wow, nós só tivemos milhões e milhões e milhões de pedidos ao longo da última.

Eu me pergunto o que aconteceu aqui. Às vezes, você sabe, se eles têm alertas ativados, eles podem ver o aumento no tráfego e eles nunca realmente veem isso em seu site. E, portanto, realmente uma CDN é uma maneira enganosamente simples de lidar com esses ataques de negação de serviço.

E assim você sabe mesmo com todas as novas oportunidades de segurança lá fora, como algumas das coisas de segurança da API é realmente fascinante para mim. Adoro falar sobre essas coisas.

Alguns desses zero-confiança segurança é que há coisas acontecendo nesse campo que são apenas, você sabe, alucinantes em quão rapidamente estamos avançando lá.

Mas você sabe o velho que você ainda precisa para CDN, ainda precisa de um WAF, certo? Quero dizer, essas são boas ferramentas para ter, e elas continuarão a ser boas ferramentas para ter, independentemente do tipo de arquitetura que você decidir escolher à medida que avança.

E Howie, eu acho que uma das coisas que você mencionou apenas como de passagem eu quero chamar para fora também porque você mencionou ter um bom parceiro que compreende estas coisas.

Eu acho que costumava haver um sentimento na construção de aplicativos web especialmente entre empresas maiores que sempre tivemos que ir sozinho, certo? Precisamos de nossos próprios especialistas internos, precisamos de nossos próprios funcionários internos para fazer isso. E isso resultou em muitas pessoas na casa puxando muitas horas longas e realmente se tornando muito frustrante e meio queimado.

E, à medida que você está escolhendo uma arquitetura compostável, tenha em mente que não é apenas a arquitetura real que você pode escolher melhor na raça. Você também pode encontrar os melhores parceiros que o ajudarão a navegar neste espaço.

Você sabe encontrar alguém que fez isso antes que tem um bom senso das ameaças que estão lá fora da maneira como as coisas estão construindo e trabalhando com esse parceiro e construir um relacionamento com eles para ajudar a obter o seu site e sua arquitetura de desempenho rápido e obter isso empurrou para fora.

Eu sei que falamos muito sobre os benefícios da experiência do usuário para o fluxo de trabalho. Você sabe que há outras conclusões que você sente que seria bom apenas destacar como nós encerramos aqui?

Pontos-chave finais

Howie Ross: Sim, quero dizer, eu acho que você atingiu os destaques de como você sabe compostable Você conhece inúmeros benefícios, incluindo a experiência do usuário e o fluxo de trabalho que pode ter impactos tangíveis Você sabe se eles são redução de custos ou aumento de receita. Mas também introduz algumas pessoas que conhecem algumas novas preocupações que abordámos.

Então, você sabe que ainda vai precisar das soluções de segurança que você sabe que estávamos aproveitando e que vamos querer ter certeza de que temos algumas ferramentas de segurança que você conhece, e estamos realmente prestando atenção à nossa identidade e gerenciamento de acesso também.

E então você sabe, basta reiterar que você sabe disso, ele oferece uma oportunidade para, você sabe, não apenas selecionar fornecedores, mas para selecionar parceiros que não só fizeram isso antes, mas estão fazendo isso que você sabe, com outras empresas para que você saiba que você pode se beneficiar de sua riqueza de experiência em vários clientes e indústrias.

Tom Mount: Sim. Bem, obrigado Howie por tomar o tempo para conversar comigo um pouco sobre isso. Tem sido, tem sido divertido. Espero que para os nossos ouvintes e os nossos espetadores lá fora, espero que isso tenha fornecido algumas boas informações para pensar e algumas coisas a considerar.

E você sabe que Edgio está pronto para ajudar como um parceiro de confiança para você e gostaríamos de compartilhar com você algumas de nossas experiências e alguns de nossos sucessos.

Obrigado a todos por se juntarem a nós no Beyond the Edge e nós vamos vê-lo da próxima vez.

Para um desempenho mais rápido, segurança mais inteligente e equipes mais felizes, fale hoje com um dos especialistas da Edgio .