Los desarrolladores a menudo prefieren escribir aplicaciones que protegerlas, pero los proveedores públicos de cloud computing pueden ayudarles a hacer ambas cosas.
Otro día, otra brecha de seguridad. Esta vez fueron 93 millones de votantes mexicanos castigados debido a una instancia MongoDB no asegurada y alojada por AWS. El problema, como ha dejado claro Kelly Stirman, vicepresidente de MongoDB, no era el software, ya que «No hay ningún problema de seguridad con MongoDB», sino más bien con la gente que no lo protege.
Nube que hay que leer
Todo esto es cierto, pero tal vez explica por qué la nube se ve cada vez más atractiva.
Pero espera! Usted se queja de que esta violación de MongoDB ocurrió en servidores alojados en Amazon. Cierto. Eso es nube. Pero hay algo más que está sucediendo en el mercado, algo que Stephen O’Grady, de Redmonk, destaca: Amazon y otros están eliminando toda esta complejidad del back-end, haciendo de la seguridad su problema, no el de las TI. Son buenas noticias para todos.
Los servidores no matan la seguridad, la gente lo hace
Pasé dos años en MongoDB y me encantó, en gran parte porque a muchas otras personas les encantó. Entre las bases de datos NoSQL, MongoDB no es la más fácil de agrupar (es decir, Cassandra), o incluso la más escalable. Sin embargo, es muy popular porque es increíblemente fácil de usar, se adapta de forma impresionante y se puede utilizar para una amplia gama de cargas de trabajo.
Desafortunadamente, sospecho que su facilidad de uso es la causa de la violación de datos en México, así como de otras violaciones reportadas. Así como demasiados desarrolladores piensan que el esquema flexible de MongoDB significa «sin esquema» (rara vez una buena idea en la práctica), algunos aparentemente se centran más en construir sus aplicaciones que en asegurarlas, olvidando las reglas más básicas para la higiene operacional.
VEA 10 aspectos legales de las violaciones de datos Los abogados le instan a cumplir (ConsejoTecnologico.com)
Como dijo Stirman a The Register, «No hay ningún problema de seguridad con MongoDB, las capacidades de seguridad extensas están incluidas en MongoDB». Sin embargo, continúa, algunos desarrolladores claramente han desplegado MongoDB sin sus características de seguridad habilitadas. Por qué? «Creo que es simplemente una cuestión de conveniencia», dijo Stirman.
Esta comodidad -esta facilidad de uso- es seductora… y peligrosa. Stirman concluye: «Tenemos que esperar que haya más de esto en el futuro. La gente no siempre sigue las mejores prácticas».
Pero, ¿y si el software les obligara a hacerlo?
Confía en mí, estoy nublado.
Ya he hablado antes de cómo la seguridad se está moviendo hacia la nube, junto con un número creciente de cargas de trabajo. Pero hay una diferencia entre las soluciones de seguridad creadas para ejecutarse en la nube y la seguridad profundamente entretejida en la estructura de una aplicación en sí.
Este último enfoque es el que caracteriza a los nuevos servicios de Amazon Web Services, Microsoft Azure y Google Cloud. Estos servicios, como el servicio de almacenamiento de datos Redshift de Amazon, se encargan de toda la complejidad subyacente para el usuario y, en el proceso, mitigan significativamente las posibles minas terrestres de seguridad.
La alternativa, como la pintó O’Grady, es fea:
Entendido, luego integrado, y oró para que no quedaran agujeros obvios de seguridad. Buena suerte con eso.
El futuro de SEE Security es la nube, ya que la confianza de las empresas en Amazon crece (ConsejoTecnologico.com)
Los servicios públicos en la nube, por el contrario, son «tanto para asumir la carga del problema de otra persona como para el hardware o software subyacente», señaló O’Grady en un post separado, y uno de esos problemas que Amazon y otros asumen para sus clientes es la seguridad. De los proveedores públicos de nubes, dijo O’Grady:
En este mundo nublado, los desarrolladores podrán disfrutar de la comodidad en mayor medida, sin tener que preocuparse por la seguridad de la infraestructura subyacente. Amazon lo hará por ellos. Eso es motivo de preocupación si usted es un vendedor tradicional de bits y bytes, pero es motivo de celebración si usted es otro desarrollador con mejores cosas que hacer que improvisar el software de otros y esperar que sea seguro.
Haga clic aquí para suscribirse automáticamente al boletín de Seguridad de la Información de ConsejoTecnologico.com.
SuscribirseTambién