Uma Introdução ao Além do Edge Episódio 6 – O que você precisa saber sobre arquiteturas compostos e seus benefícios para o desempenho e segurança
Tom Mount: Olá e bem-vindo ao Beyond the Edge , onde vamos investigar os seguros e as tendências que afetam os negócios digitais modernos.
Sou Tom Mount. Sou Arquiteto de Soluções Sénior na Edgio. Eu me concentro na nossa plataforma de aplicações e nas nossas soluções de segurança que fazem parte dessa plataforma. Eu sou um desenvolvedor web há quase 20 anos, trabalhando principalmente para ou com agências de marketing digital. Fez muito trabalho com o Higher Ed e e-commerce, incluindo eBay, American Airlines e a Universidade da Pensilvânia.
E hoje estou acompanhado por Howie Ross.
Howie Ross: Olá, o meu nome é Howie Ross. Sou o Diretor Sénior de Gestão de Produto da plataforma Edgio Applications, onde me foco na aceleração da web, incluindo a nossa CDN e computação de ponta. Tenho vindo a fazer desenvolvimento web e arquitetura de nuvem há 20 anos e durante esse tempo tive o prazer de trabalhar em muitas indústrias, incluindo fintech e EComm, onde trabalhei com várias marcas, incluindo Urban Outfitters, Coach , Verizone M&Ms
Tom Mount: Ótimo. Obrigado Howie. Por isso, hoje queremos falar um pouco sobre os desafios de segurança que enfrentam uma arquitetura compostável. Especificamente agora sabemos que há muitas ameaças de segurança para proprietários de sites e gerentes de conteúdo.
De acordo com a IBM, há um estudo que diz que 83% das empresas norte-americanas sofreram uma violação de dados e isso pode custar mais de $9,4 milhões nos EUA. Isso é mais do que o dobro da média global. Okta, eles são um dos maiores provedores de identidade de login único do mundo. Eles publicaram um relatório de que 34% de todas as tentativas de login globalmente eram feitas por bots. Portanto, isto é apenas bots, literalmente, apenas tentando entrar em contas de rede, apenas mostrou que uma em cada quatro organizações perdeu $500 000 de um único ataque de bot. Portanto, a segurança é uma enorme ameaça. É um problema enorme com o qual temos de lidar.
E à medida que falamos de arquiteturas compostáveis, isso é algo que realmente começa a ser um pouco mais desafiador de abordar. E assim por diante, neste podcast de hoje, queremos dar uma olhada em algumas das ameaças que existem para arquiteturas compostas e o que podemos fazer sobre isso.
Então, antes de entrarmos muito profundamente nisto, Howie, pergunto-me se podemos talvez definir para nós o que é arquitetura compostável, o que isso significa para vocês?
O que é a Arquitetura composable?
Howie Ross: Claro, eu posso tentar. É uma daquelas coisas que é um pouco difícil de definir, mas vocês sabem quando a veem. A arquitetura composable é realmente uma reação às plataformas monolíticas tudo-em-um que foram usadas, sabem, digamos, na década anterior e às limitações impostas à experiência do utilizador e ao fluxo de trabalho do programador.
Assim, com uma arquitetura composta, as soluções são compostas por ferramentas e fornecedores em toda a pilha que permitem selecionar as melhores ferramentas da sua classe para satisfazer as necessidades da sua organização e do seu utilizador.
E compostável é frequentemente associado a frontends sem cabeça ou dissociados, onde estamos separando a camada de apresentação da camada de dados e muitas vezes dependemos de microsserviços ou, pelo menos, arquiteturas orientadas por API para facilitar esta arquitetura desacoplada sem cabeça e compondo uma solução completa a partir de várias ferramentas.
Tom Mount: Parece bastante flexível, mas também parece que pode ser um pouco mais tecnicamente difícil implementar algumas destas pilhas.
Porquê escolher a composable?
O que faria uma empresa optar por uma arquitetura compostável em oposição a este padrão mais monolítico, sabe, bem estabelecido?
Howie Ross: Sim, é uma ótima pergunta. Bem, existem inúmeros benefícios para arquiteturas compostas, incluindo, como mencionei, uma experiência de utilizador melhorada devido a menos limitações de experiência de utilizador, certo? Então, em uma pilha monolítica, você estará limitado, muitas vezes, a que capacidades são fornecidas por essa pilha. No entanto, com uma arquitetura compostável, é como se o céu fosse o limite.
A equipa e os designers podem sonhar com qualquer experiência que quiserem e depois sabem que vão ter mais agilidade em termos de poder implementar essas funcionalidades aos seus utilizadores finais.
De facto, vimos que organizações como a Iceland Air têm uma redução de 90% no tempo de entrega para lançar novas funcionalidades, incluindo promoções. Então, você vai ter diminuído o tempo de comercialização e o tempo de valor para o trabalho.
Além disso, como mencionei, você pode selecionar as melhores ferramentas e fornecedores da sua classe e realmente construir essa rede de parceiros do ecossistema em que você pode confiar para construir sua solução e entregar esse valor.
E depois também é um pouco mais à prova de futuro do que uma pilha monolítica porque pode trocar estas ferramentas de forma a que se encaixe. Por isso, digamos que a sua ferramenta de avaliação de clientes já não está a satisfazer as suas necessidades. Você quer usar um diferente. Não é preciso substituir toda a solução. Você pode simplesmente substituir essa ferramenta específica e continuar a iterar na sua pilha e mantê-la realmente moderna.
Tom Mount: Vejam que estão a falar um pouco de linguagem. Muito do meu passado está na construção de mais aplicações na web e sabem, olhando para a arquitetura de algumas destas coisas, adoro a ideia, a ideia de ter de gostar de uma pilha preparada para o futuro, onde se pode simplesmente mover coisas para dentro e para fora.
E eu também acho que a prova de futuro parece que se estende não apenas ao nível dos componentes, mas também ao nível da infraestrutura, certo? Quer dizer, estamos a ver agora muito mais foco nas coisas feitas à beira, coisas feitas sem servidor na nuvem do que nós, sabem, há 5 anos, há 10 anos.
Certamente, há muito mais ênfase nisso e eu acho que ter uma arquitetura mais flexível onde você pode mover componentes de você conhece um data center maior e, obviamente, é a nuvem, tudo está em um data center, certo? Entendemos essa parte.
Mas ter algo em que se possa concentrar mais na borda e construir coisas especificamente para processamento de borda para funções sem servidor e manter essas coisas rápidas e ágeis é eu acho que um enorme benefício também. E eu acho que também é a segurança, também é algo que se beneficia disso, certo? Como muitos dos que migramos mais e mais serviços e mais coisas para a nuvem e temos essas soluções que você conhece, a segurança vem junto com isso.
Portanto, podemos fazer muita segurança de confiança zero agora mesmo à beira, em vez de termos de voltar a um centro de dados e ter uma arquitetura compostável nos permite pensar construir segurança de confiança zero diretamente na estrutura da própria aplicação. E eu e como eu disse no topo, tenho construído sites há 20 anos. Trabalhei com cadeias de ferramentas por todo o lado. Acho que uma das coisas boas que vimos especialmente com alguns frameworks compostáveis é que muitos desses frameworks agora têm recursos internos para a geração estática de sites.
E essas coisas podem ser transmitidas diretamente para esse pipeline de construção e empurradas para fora. Como parte disso, você pode simplesmente trocar quaisquer componentes ou arquiteturas que quiser. O vosso pipeline vai construir tudo e tudo acaba por ser, vocês sabem, sabem, sabem ficheiros estáticos o HTML, o CSS, o JavaScript, as imagens de que precisamos independentemente de como foram construídas e que peças de quebra-cabeças se encaixam, os pipelines ainda podem continuar a ser iguais. Os deploys ainda podem refletir isso. Por isso, penso que isso é algo que me impressiona da perspetiva da arquitetura como mais um par de benefícios que se obtém ao poder mover estes componentes para dentro e para fora.
Histórias de Sucesso de Clientes – Universal Standard
Howie Ross: Sim, esses são ótimos pontos que você conhece. Além dos benefícios para a equipe de desenvolvimento e para o cliente, há benefícios significativos para você conhecer a equipe de DevOps e as opções que ela oferece para sua arquitetura de infraestrutura.
Seja através do aproveitamento da geração estática e você sabe realmente construir o seu site para a CDN e para a borda, ou aproveitar sem servidor e realmente aproveitar esses avanços na tecnologia de nuvem para sua escalabilidade e segurança. E sabem que sabem que o Tom e eu tivemos o prazer de trabalhar com uma série de clientes que fizeram esta jornada para a compostura e que viram benefícios significativos.
Por isso, sabem que os clientes incluem sabem que alguns dos que mencionei anteriormente, como Coach e M&Ms, que ou sabem que completaram ou que estão bem ao longo do caminho nas suas viagens compostáveis.
Um dos outros clientes pouco conhecidos chama-se Universal Standard que tem como missão ser a marca de roupa mais inclusiva do mundo. E você sabe para essa missão que eles escolheram seguir com uma arquitetura compostável construída sobre a plataforma da Shopify.
Então, você sabe que, em vez de serem um pouco limitados pelas limitações impostas pela Shopify em termos de experiência do usuário e do fluxo de trabalho do desenvolvedor, eles estão aproveitando as APIs do Storefront da Shopify e criando uma solução composta usando a estrutura Nuxt que é construída no Vue JS.
E eles viram que você conhece uma melhoria significativa de desempenho, sabem, trazendo o tempo de carregamento da página para baixo de você sabe vários segundos para, em muitos casos, sub 2.º e melhorando você sabe, não apenas essas métricas de desempenho técnico, mas métricas reais de negócios.
Na verdade, eles viram uma melhoria de 200% na taxa de conversão como resultado desta mudança para composable. É claro que isso está realmente a afetar os seus resultados e a ajudá-los na sua missão.
Histórias de Sucesso de Clientes – Shoe Carnival
Tom Mount: Sim, isso é realmente ótimo. Quero dizer, falámos sobre vocês sabem que a sub-segunda página carrega aqui e são sempre as pessoas. Sempre que estou a falar com pessoas, tenho o olho de lado como se vocês têm a certeza disso e não, é verdade. Conhecem um dos clientes que por vezes mostro que tem uma história semelhante, é uma empresa chamada Shoe Carnival, por isso mudaram-se para sem cabeça também. Eles tinham a sua arquitetura anterior. Eles estavam olhando especificamente para preocupações com o desempenho em torno de coisas como o carregamento da primeira página e transições entre páginas.
Portanto, as estatísticas deles antes de não terem cabeça, estavam a olhar para, sabem, 3, três, 3 1/2 segundos para um carregamento na primeira página e, por vezes, até 6 segundos ao transitar de uma página para a seguinte quando estiver a navegar. E eles realmente queriam baixar isso. E há muitas razões pelas quais é uma ótima ideia mover isso para baixo.
Temos muita pesquisa de mercado que mostra que por cada segundo adicional os clientes estão à espera enquanto a página está a carregar, aumenta as suas hipóteses de simplesmente sair do site e ir para outro lugar. Portanto, obviamente, a velocidade da página e a taxa de conversão estão muito intimamente ligadas e reconhecem isso.
E então eles vieram a Edgio à procura de ajuda e, ao mesmo tempo, acabaram a sua mudança para sem cabeça e fizeram algumas dessas melhorias de desempenho de que temos falado. Eles levaram as transições e até o carregamento da primeira página para um segundo, às vezes até menos de um segundo. São até 70% mais rápidos no Edgio. O tempo médio de carregamento das páginas é de um segundo, certo? Por isso, estão a ver enormes ganhos de desempenho como consequência de escolher esta arquitetura sem cabeça e serem capazes de otimizar o seu desempenho em todos os níveis da pilha. E até mesmo o carregamento da página, o carregamento subsequente da página, sabem, uma vez que eles chegam no site, eles estão em queda de 92% nessa velocidade. Eles estão em menos de 500 milissegundos em alguns desses carregamentos de página. Tão enormes ganhos de desempenho que eles foram capazes de perceber a chegada.
Mas não é apenas o desempenho que é uma caraterística atraente do Composable. Agarrando-se ao Carnaval dos Sapatas. Além dos ganhos de desempenho, eles também aproveitaram a oportunidade de entrar em compostura para aumentar alguns dos seus esforços de segurança. E, o que eles descobriram foi nos primeiros 30 dias após o lançamento do seu novo site compostável, eles tinham rastreado mais de 8 milhões de pedidos maliciosos que foram bloqueados. E eu quero me concentrar, vou garantir que reitero que esses pedidos foram bloqueados.
Não era que eles, sabem, tivessem 8 milhões de pedidos com os quais não sabiam o que fazer, certo? A solução de segurança que eles descobriram que nós fornecemos foi capaz de bloquear todas essas solicitações e fornecer visibilidade sobre o que talvez eles não tivessem visto antes do volume de solicitações maliciosas que eles estão recebendo.
Benefícios de segurança da composable
Então, este tipo de transição me faz um pouco falar sobre alguns dos benefícios de segurança, porque sabemos, até agora passámos muito tempo a falar sobre ganhos de desempenho e são muito reais. E sabem, nós, acompanhamos os nossos clientes quando eles chegam, nós, gostamos de ver os ganhos de desempenho que eles têm e temos algumas histórias de sucesso incríveis.
Mas acho que os ganhos de segurança são outra boa razão para escolher uma arquitetura compostável. Gosto de olhar para ele como uma espécie de defesa em camadas, certo? Por isso, queremos manter os maus atores o mais longe possível da sua origem, de onde estão localizados os seus servidores e os seus dados. E você pode pensar nisso em termos de, você sabe, colocar uma cerca em torno de sua propriedade. Podem ter sinais na vossa cerca, digamos, mantenham-se fora, sabem, não invadindo o que quer que seja. Mas isso não significa necessariamente que você não tranque a porta à noite. Isso significa apenas que você quer colocar um corrimão o mais longe possível para manter fora o máximo que puder.
E quando você escolhe uma arquitetura compostável, uma das vantagens é que você pode escolher os recursos de segurança que você tem no local e onde esses recursos de segurança estão localizados.
E nós recomendamos que você tenha segurança em todos os níveis que você pode colocar certo. Por isso, colocaremos essa segurança no limite, colocaremos essa segurança na origem. Se há outras APIs ou serviços, você sabe, nós mencionamos que ficar compostável geralmente significa que você está aumentando, você sabe, o número de APIs que estão expostas no seu site. Portanto, queremos ter certeza de que essas APIs têm segurança e com uma arquitetura compostável, torna-se realmente simples fazer isso. É preciso ter em conta todos esses lugares, mas pode pôr a segurança em todos esses níveis diferentes.
Uma das outras coisas boas sobre ter uma arquitetura compostável, e eu toquei sobre isso um pouco antes, é a capacidade de ter essas páginas estáticas. Agora, as páginas estáticas são ótimas para o desempenho, mas também têm um benefício muito bom para a segurança, porque as páginas estáticas minimizam a quantidade de transferência de dados bidirecional que acontece entre o cliente e o servidor.
Se você pensa em um tipo tradicional de aplicativo monolítico, aplicativo PHP, ou algo assim, alguém está inserindo dados nesta aplicação e tem que ir para o de volta para o servidor. Se você está carregando uma nova página, o servidor tem que ir pedir esses dados e enviá-los de volta. Há muitas oportunidades para que os dados entrem e saiam dos seus sistemas. E bem, obviamente tem que sair alguns dados.
Você quer ter certeza de que nem todos os dados que estão em seus sistemas saem. Isso é o que chamamos de violação de dados.
Portanto, ter páginas estáticas reduz as oportunidades de alguém mexer com o seu servidor através da página que é exibida no navegador da web porque tudo o que está na página é apenas HTML, certo?
Não há, já tem os dados. Não é buscar esses dados de qualquer lugar. Foi construído com esses dados em mente. Portanto, ter páginas estáticas que você conhece, enquanto certamente um ganho de desempenho também pode ser um ganho de segurança e essas páginas estáticas podem ser servidas diretamente de uma CDN.
E então eu acho que esse é o tipo da última peça do quebra-cabeça aqui naquela parte particular da segurança é que, em vez de ter que voltar aos seus servidores para buscar esses dados toda vez que a página é carregada com a CDN, essa página é armazenada em cache, está disponível em todo o mundo e os seus servidores nem sequer veem essas solicitações porque são todos tratadas na borda externa.
Howie Ross: Sim, isso é um ótimo ponto. E eu concordo que você conhece um dos principais benefícios de uma solução composta, quer você saiba a geração de sites estáticos ou esteja aproveitando que você sabe que a renderização sem servidor é essa capacidade de aproveitar a CDN de uma maneira mais eficaz. Isso irá fornecer-lhe tempos de carregamento de páginas melhorados, mas também benefícios de segurança, bem como você sabe manter os maus atores o mais longe possível.
Vocês sabem dos seus dados e das suas joias da coroa e também sabem minimizar essa transferência de dados bidirecional também, mas sabem que, embora existam alguns benefícios de segurança, acho que também existem alguns desafios.
Por isso, falamos sobre como as soluções compostáveis, sabem que estão a selecionar o melhor do tipo de fornecedores e ferramentas e isso significa que há, sabem, há mais ferramentas, há mais fornecedores, o que significa que, potencialmente, você sabe mais maneiras de entrar no seu, nos seus sistemas e nas suas arquiteturas. Então, vocês sabem, isso é um risco.
E uma das maneiras cada vez mais comuns de comprometer as organizações é através de você saber a representação, certo, em vez de você saber que o brute força o meu caminho para o seu site ou para os seus servidores. Vou apenas descobrir como fazer engenharia social para me parecer com um dos seus empregados. E agora, em vez de ter que violar a sua rede principal e conhecer as ferramentas da sua empresa. Posso ser capaz de simplesmente quebrar uma das muitas ferramentas e fornecedores que você está usando em sua solução composable para que você saiba que a gestão de identidade e acesso se torna cada vez mais importante.
Então é e vocês sabem que isso pode ser que vocês saibam mitigado de várias maneiras através de vocês saberem ter padrões e single sign-on e coisas assim. Mas é algo que você quer ser, você sabe bem porque sabe do aumento do skimming de dados e sabe que esta é uma classe de vulnerabilidades ou explorações.
É muitas vezes referido como carrinho de mage que foi uma das explorações originais deste tipo de ataque em que se sabe que um script é colocado num site por estes atacantes que, então, vão, sabem, folhear informações pessoais.
Neste caso, eram informações de cartões de crédito de sites principalmente da Magento e eram generalizadas e sabem, isso realmente trouxe para a frente a, sabem, a criticidade e a gravidade deste problema e a importância de ter, sabem, gerir a integridade do seu código através de toda a cadeia de fornecimento.
E também vocês sabem, eu mencionei a importância de realmente ser cuidadoso com a sua identidade e gestão de acesso, sim, isso faz muito sentido.
Tom Mount: Claro, com mais ferramentas, há mais oportunidades para entrar. Penso que, numa perspetiva de arquitetura de aplicações, muitos sites compostáveis utilizam o uso pesado de chamadas de API de volta ao servidor para preencher novas páginas para facilitar uma navegação mais rápida. E eu acho que a segurança da API é outra área em que você tem que prestar mais atenção ao que está fazendo e ao que está acontecendo.
Então, obviamente, vocês sabem, eu não quero a minha página quando estou a fazer compras num site. Não quero que a minha página seja armazenada em cache para vocês e provavelmente não querem que o seu carrinho seja armazenado em cache para mim porque isso é confuso e não compreendo porquê. Sabem porque tenho o que tenho no meu carrinho quando o puxo para cima.
Então, obviamente, precisamos ter certeza de que temos páginas rápidas e responsivas, mas também queremos ter certeza de que elas são personalizadas para o usuário individual e, geralmente, isso é feito através de algum tipo de acesso à API, e muitas vezes as informações do visitante acabam nos dados da API que estão sendo transmitidos.
E é aí que entra a parte de confiança zero da segurança em torno da API especificamente, certo? Então podemos fazer coisas como personalização de borda onde estamos a captar conteúdo, conteúdo em cache do servidor, e na borda em vez de no navegador, estamos a extrair estes dados do servidor e incorporá-los na resposta final que estamos a enviar. Essa é uma ótima maneira de ter páginas muito rápidas e realmente responsivas que ainda estão armazenadas em cache, mas também têm dados pessoais sobre elas.
Outra maneira de fazer um pouco de magia de segurança na borda é usar algo como, sabem, os tokens da Web do JSON para autenticação. Isto é que a IA não vai entrar em todos os detalhes do que são porque é um dos meus projetos favoritos atuais para brincar. E eu poderia falar sobre isso provavelmente por mais 20 minutos só por mim mesmo. Mas o podcast, sim, vamos fazer, vamos fazer um podcast no JTBTS mais tarde.
Mas sim, a parte legal sobre isso é que são dados transmitidos em texto claro, mas também tem uma assinatura criptografada para ele que o servidor sabe como gerar sua própria versão dessa assinatura criptografada.
E assim, podem verificar a validade do utilizador que entra para se certificar de que nada foi adulterado, de que as credenciais estão corretas, e de que o utilizador tem acesso a tudo o que dizem que devia ter acesso.
É possível validar que esse acesso ainda é válido e correto. E você pode fazer isso também na borda usando, você sabe, a função excedente ou a função de nuvem, coisas assim. Portanto, acabar com isso em torno das APIs vai ser muito importante para resolver, sabe, se você usa essa autenticação de confiança zero ou algum outro mecanismo.
A segurança da API é uma obrigação, sim, porque desculpe, desculpe, vá em frente.
Howie Ross: Então este é um dos principais pontos de troca de arquiteturas compostáveis, certo? Então, você sabe que não estamos a construir a nossa aplicação para tirar partido da CDN e da computação Edge, mas para reter aqueles que conhece essas experiências dinâmicas que essa personalização temos para aproveitar as APIs. Então, você sabe que temos uma espécie de potencial proliferação de serviços e APIs que podem realmente aumentar a área de superfície da ameaça.
Portanto, agora é fundamental aproveitar uma solução de segurança de API e estas serão um pouco diferentes do que vocês conhecem. Vocês conhecem as soluções de segurança mais convencionais que vamos abordar, vocês sabem que vamos falar momentaneamente porque elas precisam ser adaptadas para esse caso de uso de API, certo. E então precisamos, antes de mais, de ter certeza de que sabemos sobre todas as APIs, certo?
Então, você vai querer aproveitar uma ferramenta que faz descoberta de API e ajuda a encontrar e gerenciar todas as suas APIs e garantir que não temos nada do que gostamos de chamar de APIs zombies que são APIs que você sabe que foram desenvolvidas em um ponto e talvez elas não estejam mais que você saiba que você iterou e talvez elas já não estejam mais em uso, mas ainda estão lá fora.
Por isso, precisamos de ter um inventário completo das nossas API e da nossa área de ameaça. E então, além disso, queremos que você conheça algumas práticas básicas de segurança em vigor, como limitação de taxa, certo?
Queremos controlar a taxa que alguém pode solicitar dados dessas APIs e, mais especificamente, que um bot ou um invasor que usa a automação pode solicitar respostas dessas APIs para que elas não fiquem sobrecarregadas e criem efetivamente uma situação de negação de serviço.
E a outra coisa que podemos fazer com a segurança da API que é realmente interessante e está se tornando cada vez mais acessível à medida que nós, vocês sabem, adotamos e potenciamos a IA é o que chamamos de validação de esquema. Então é para onde vamos, sabem, antes do nosso pedido, é a sua API logo na borda, vamos ter certeza de que esta solicitação está de acordo com o esquema de suas solicitações de API, certo?
Portanto, se não parecer uma solicitação de API devidamente formada, vamos bloqueá-la no portão, vamos pará-la bem na borda da rede e ela nunca vai entrar na sua infraestrutura, você sabe, para ser, espero, rejeitada lá. Mas sim, vai ser fundamental aproveitar a segurança da API e está se tornando cada vez mais comum, acessível e útil.
Tom Mount: Sim, definitivamente. E vocês sabem que falamos sobre algumas dessas preocupações de segurança específicas compostáveis que temos e maneiras de mitigar algumas dessas coisas. Mas eu acho que também é importante que não nos esqueçamos do antigo material de segurança à espera, certo? As coisas que nos serviram muito bem por um tempo.
Eu mencionei anteriormente que vocês sabem que a segurança é muito como vocês sabem ter um monte de camadas diferentes só porque vocês só porque trancam o portão à noite não significa que vocês deixam a porta bem aberta, certo?
Então, vamos falar um pouco sobre algumas das práticas gerais de segurança que talvez ainda estejam perfeitamente bem e que devem fazer parte da arquitetura geral, mesmo que não seja especificamente voltada para a arquitetura compostável.
Melhores práticas para melhorar a sua postura de segurança
Howie Ross: Claro. Então você conhece esta abordagem de segurança em camadas que mencionou. Nós também chamamos isso de defesa profunda, certo? Então, você sabe entre o atacante e as joias da coroa que geralmente serão você conhece os dados da sua empresa e do seu usuário. Queremos ter múltiplas camadas de segurança para que, no caso de uma ser violada, ainda tenhamos essas camadas adicionais. Portanto, há uma série de atenuações e sistemas que queremos ter em vigor.
E o primeiro que você conhece o velho modo de espera que mencionou Tom que vai ser o nosso firewall de aplicações web e vamos querer ter certeza de que temos um WAF robusto com um grande conjunto de funções geridas para bloquear a expetativa de todas as vulnerabilidades conhecidas.
E vamos querer ter certeza de que você sabe que estamos trabalhando com um parceiro que lança patches para novos e emergentes. O que chamamos de exploração de dia zero rapidamente certo?
Então, em vez de ter de contornar e corrigir individualmente cada uma das suas APIs, podemos implantar um patch no nosso WAF na borda e mitigar essa vulnerabilidade em todos os nossos serviços.
E então, além disso, vocês sabem, falámos que penso mais cedo sobre o impactos dos bots, o aumento dos ataques de bots, o número de pedidos de bots que estão a acontecer nos nossos sistemas. Agora nem todos os bots são maus, certo? Os bots rastreiam os nossos sites e disponibilizam esses dados para os motores de busca. Portanto, é fundamental que deixemos certos bots fazerem o seu trabalho e bloqueemos bots, bots maliciosos que estão a tentar fazer coisas como a possível negação de inventário, certo? Eles estão a tentar comprar todos os ténis ou todos os bilhetes antes de outros utilizadores os conseguirem.
Os bots também estão a fazer coisas como a aquisição de contas. Eles estão apenas a tentar diferentes combinações de nomes de utilizador e palavras-passe ou estão a tentar nomes de utilizador e palavras-passe que foram violadas a partir de outro site. Eles estão potencialmente a tentar no seu site porque sabem que muitas pessoas reutilizam palavras-passe. Portanto, será fundamental que tenhamos a nossa solução de gestão de bots.
Tom Mount: Sim, definitivamente e eu acho que você conhece um dos outros que todos ouvimos falar sobre você sabe coisas de gestão de bots que vendas de bilhetes como você sabe que tivemos problemas com vendedores de bilhetes cujos bilhetes estão à venda e imediatamente são agarrados por bots, certo?
Novos ténis caem do fabricante e, de repente, esses ténis acabaram de desaparecer. E eu digo às pessoas cerca de 50% a brincar que, em 10 anos, a Internet será basicamente apenas bots a atacar outros bots, certo? Vai ser assim, certo? Os bots vão comprar sapatos de outros bots. Eles vão atacar outros sites.
E eu também vou dizer, sabem, no que diz respeito aos ataques de bots, lembro-me de quando comecei a trabalhar na indústria, os ataques DDoS eram raros, certo? Os ataques de negação de serviço eram raros porque demorava muito dinheiro e muito esforço para gastar num desses ataques. Já não é o caso, certo? Como vimos ataques de bots. Isto é, eu acho que esta é a realidade da situação de hoje é que você não precisa ser enorme para ser alvo de um ataque de negação de serviço e os atacantes não precisam ser ricos para executar esses ataques. Os conjuntos de ferramentas, os conjuntos de ferramentas e os recursos de computação em nuvem para aumentar essas coisas.
Quer dizer, já vimos ataques de negação de serviço que incluem o que lhes chamamos de redes de bots, pois são apenas computadores em algum lugar que foram cerrados para executar este ataque, incluindo provavelmente aquele que está no seu frigorífico inteligente ou na sua máquina de lavar roupa, certo?
Como se fosse uma consequência de cada vez mais coisas estarem ligadas à Internet e mais computação disponível em pacotes menores serem mais distribuídos globalmente. Vimos um enorme aumento nos ataques de negação de serviço.
E eu acho que vocês sabem como pensamos não apenas em segurança, mas apenas nas melhores práticas para, para construir um site em geral, certo, é 2024 a partir desta gravação, pelo menos você precisa de uma CDN, certo, porque a CDN será realmente a melhor maneira de realmente absorver esses níveis de ataques e estes, especialmente esses ataques distribuídos.
Será que isso vai parar cada um? Nenhum. Mas sabem, eu já tive nos últimos cinco anos, tive duas ou três empresas especificamente que não sabiam que estavam sob ataque porque a CDN deles era tão boa em absorver o ataque.
Foi só depois do ataque que eles voltaram aos seus registos. E eu não estou a falar muito tempo depois, sabem, algumas horas ou um dia ou duas depois voltam aos seus registos como uau, só tivemos milhões e milhões e milhões de pedidos durante o último.
Pergunto-me o que aconteceu aqui. Às vezes, sabem, se eles têm alertas ativados, eles podem ver o aumento no tráfego e eles nunca realmente o veem no site deles. Portanto, realmente uma CDN é uma maneira enganosamente simples de lidar com esses ataques de negação de serviço.
E então, vocês sabem mesmo com todas as novas oportunidades de segurança por aí, como algumas das coisas de segurança da API são realmente fascinantes para mim. Eu adoro falar sobre essas coisas.
Parte dessa segurança de confiança zero é que há coisas a acontecer nesse campo que são simplesmente, sabem, alucinantes em quão rapidamente estamos a avançar lá.
Mas vocês sabem o velho que ainda precisam de CDN, ainda precisam de um WAF, certo? Quero dizer, essas são boas ferramentas para ter, e elas continuarão a ser boas ferramentas para ter, independentemente do tipo de arquitetura que vocês decidam escolher à medida que avançam.
E Howie, acho que uma das coisas que mencionou de passagem, quero chamar também porque mencionou ter um bom parceiro que entende estas coisas.
Eu acho que costumava haver um sentimento na construção de aplicações web especialmente entre empresas maiores que sempre tivemos que ir sozinho, certo? Precisamos dos nossos próprios especialistas internos, precisamos das nossas próprias pessoas internas para fazer isso. E isso resultou em muitas pessoas na casa a puxar muitas horas longas e a tornar-se realmente muito frustrante e meio queimado.
E assim, ao escolher uma arquitetura compostável, tenha em mente que não é apenas a arquitetura real que você pode escolher melhor na raça. Você também pode encontrar os melhores parceiros da raça que o ajudarão a navegar neste espaço.
Você sabe encontrar alguém que já fez isso antes que tenha uma boa noção das ameaças que estão lá fora da forma como as coisas estão a construir e trabalhar com esse parceiro e construir um relacionamento com ele para ajudar a obter o seu site e a sua arquitetura um desempenho rápido e obter isso empurrado para fora.
Sei que falámos muito sobre os benefícios da experiência do utilizador para o fluxo de trabalho. Vocês sabem que há outras conclusões que acham que seriam boas para destacar quando acabamos por aqui?
Conclusões finais
Howie Ross: Sim, quero dizer, eu acho que você acertou nos pontos altos de como você sabe compostável Você conhece inúmeros benefícios, incluindo a experiência do usuário e o fluxo de trabalho que pode ter impactos tangíveis Você sabe se eles são redução de custos ou aumento de receita. Mas também introduz algumas pessoas que conhecem algumas novas preocupações que abordámos.
Então, você sabe que ainda vai precisar das, as, soluções de segurança que você sabe que estávamos aproveitando e vamos querer ter certeza de que temos algumas ferramentas de segurança que você conhece e estamos realmente prestando atenção à nossa identidade e gestão de acesso também.
E depois sabem, apenas reiteram que sabem isto, proporciona uma oportunidade para, sabem, não apenas selecionar fornecedores, mas para selecionar parceiros que não só fizeram isto antes, mas que estão a fazer isto, sabem, com outras empresas para que saibam que podem beneficiar da sua riqueza de experiência em vários clientes e indústrias.
Tom Mount: Sim. Bem, obrigado Howie por ter dedicado tempo a conversar comigo um pouco sobre isso. Tem sido, tem sido divertido. Espero que para os nossos ouvintes e os nossos espetadores lá fora, espero que isto vos tenha fornecido algumas boas informações para pensar e algumas coisas a considerar.
E vocês sabem que Edgio está pronto para ajudar como um parceiro de confiança para vocês e gostaríamos de partilhar convosco algumas das nossas experiências e alguns dos nossos sucessos.
Obrigado a todos por se juntarem a nós no Além do Limite e nós iremos vê-los da próxima vez.
Para um desempenho mais rápido, segurança mais inteligente e equipas mais felizes, fale hoje com um dos especialistas do Edgio.