El PureSec Tesseract es un motor de ejecución de seguridad sin servidor que protege las aplicaciones en AWS Lambda, Microsoft Azure y otros entornos.
Jeffrey Hammond, analista principal de Forrester Research, habló con ConsejoTecnologico.com sobre los principios básicos de la computación sin servidores y cómo las empresas la están utilizando en la infraestructura de próxima generación.
- PureSec Tesseract es un «motor de ejecución de seguridad sin servidor», o SSRE, que está diseñado para proteger contra ataques a nivel de aplicación.
- Tesseract soporta AWS Lambda, así como Google Cloud, Microsoft Azure e IBM Cloud Functions.
Para aquellos encargados de garantizar la seguridad de la información en su organización, el punto de partida natural es asegurar los servidores y la red en la que se está ejecutando una aplicación determinada. En la era de las plataformas informáticas sin servidores, como AWS Lambda, esa idea es un poco anticuada. Mientras que el concepto básico de la computación sin servidores es que la infraestructura subyacente es administrada, y sólo se factura el tiempo de computación activo, la consiguiente falta de control sobre la plataforma complica los enfoques convencionales de seguridad. Aunque el trabajo de base de la gestión de servidores ya está hecho, para superar esa línea de base se requiere un nuevo enfoque de la seguridad.
PureSec cree que ha desarrollado la respuesta a este problema en Tesseract, que presenta en su sitio web como el primer «motor de tiempo de ejecución de seguridad sin servidor», o SSRE, que está diseñado para proteger contra ataques a nivel de aplicación. El SSRE de PureSec, que actualmente está en beta, está diseñado para prevenir la ejecución de ataques incrustados en desencadenantes de eventos, tales como eventos de telemetría de Internet of Things (IoT), APIs HTTP y eventos NoSQL, entre otros, señala el sitio web.
Naturalmente, sería contrario a la intuición exigir un dispositivo o filtrar el tráfico a través de una suite de seguridad SaaS en un entorno informático sin servidor, dados los márgenes de rendimiento medidos en milésimas de segundo para los que se utiliza la informática sin servidor. Por esa razón, Tesseract está integrado en la aplicación que se está ejecutando, con una importación de una línea. Según el sitio web, funciona con los típicos lenguajes en los que se escriben aplicaciones sin servidor, incluyendo Java, Javascript, Node.js, Python, Go, y otros.
VER: Política de detección de intrusos (Tech Pro Research)
Tesseract utiliza una variedad de estrategias para endurecer la seguridad de las aplicaciones. Durante el desarrollo, el software puede identificar escenarios en los que se conceden permisos excesivos que no son utilizados por el funcionamiento normal del programa, lo que incita a los desarrolladores a ajustar las restricciones de acceso al mínimo necesario para el programa.
El programa es capaz de generar automáticamente el perfil de permisos correcto para el caso de uso, haciendo que asegurar los recursos sea lo más fácil posible. Dado que los baldes S3 mal configurados se han convertido en el objetivo principal de los ataques de ransomware, esta funcionalidad es cada vez más importante en los despliegues en nube. Además, puede identificar credenciales de base de datos o claves de API almacenadas incorrectamente, así como dependencias inseguras en la aplicación.
También tiene un sistema de «protección del comportamiento» que protege contra los intentos de fuga de datos, bloquea el tráfico saliente no autorizado y detecta las inyecciones de código que intentan aprovecharse de una ejecución normal o incrustar malware externo en la aplicación, señaló el sitio web.
Tesseract soporta AWS Lambda, así como Google Cloud, Microsoft Azure e IBM Cloud Functions, aunque algunas integraciones con los sistemas de registro nativos y otras herramientas de ecosistema para esas plataformas pueden estar parcialmente incompletas durante la beta.
Según PureSec CTO Ory Segal, se espera que la plataforma alcance la disponibilidad general en julio. Los detalles de los precios todavía están siendo finalizados, aunque Segal señaló que es probable que se base en el tiempo de ejecución, al igual que se factura la computación sin servidor, lo que «tiene sentido, ya que los clientes ya están acostumbrados a esto, y les ayuda a pronosticar cuánto van a pagar».»