Hybrid IT: cosa significa per la sicurezza di applicazioni e API 1

Hybrid IT: cosa significa per la sicurezza di applicazioni e API

Per anni il settore IT ha cercato di defilarsi dall’affrontare la realtà (e le sfide) dell’IT ibrido, chiamandolo “multi-cloud”. Questo – mi preme specificarlo – non significa che le aziende non operino su più cloud, anzi sicuramente lo fanno. Tuttavia, penso che il termine “multi-cloud” non riesca a cogliere appieno il fatto che il cloud sia in realtà un modello operativo non solo peculiare dei provider pubblici di infrastrutture as a service. I nostri dati hanno dimostrato, anno dopo anno, che le organizzazioni utilizzano il cloud anche on-premises e non solo nelle sue versioni pubbliche.

La realtà dell’IT ibrido è sotto i nostri occhi da quando il cloud è apparso sulla scena e ha letteralmente preso d’assalto le aziende. Anche quando le organizzazioni hanno adottato il cloud, la maggior parte di esse – operando da venti, trenta o addirittura cinquant’anni – aveva ancora a che fare con ambienti tradizionali on-premises, disponendo di un portafoglio consolidato che abbracciava (e abbraccia tuttora) ogni generazione delle principali architetture di app, dai monoliti ai microservizi, dal client-server al mobile.

Per questo, nell’ultima edizione dello State of Application Strategy Report, abbiamo voluto analizzare nello specifico gli ambienti on-premises, desiderosi di capire la realtà che i nostri clienti stanno affrontando. I dati parlano chiaro: le aziende sono state e continuano a essere ibride.

E non è solo il report SOAS ad affermarlo. Indovinate cosa è emerso dal sondaggio di F5 NGINX rivolto alla sua community open source? Che l’ibrido è qui per restare.

Ora, senza che siano rivelati nel dettaglio tutti i risultati del nostro prossimo rapporto State of Application Strategy, desidero affermare che anche se la tendenza verso le applicazioni moderne è indubbiamente forte, ci sono indicatori che ci fanno pensare che alcune organizzazioni non saranno disposte a sostituire tutte le loro applicazioni tradizionali con versioni più moderne.

Ergo, le aziende rimarranno ibride per molti anni a venire.

Questo scenario ci porta anche a chiederci: cosa significa questo per la sicurezza, e in particolare per la sicurezza delle app e delle API?

Le implicazioni per la sicurezza di app e API

Se partiamo dal presupposto che le organizzazioni siano ibride sia per quanto riguarda il portfolio stesso delle applicazioni, sia per quanto riguarda i loro ambienti operativi, le implicazioni per la sicurezza di app e API sono piuttosto critiche quanto profonde.

Questo perché alcuni ambienti applicativi, come i container, hanno esigenze di sicurezza uniche che non possono essere soddisfatte dalle soluzioni di sicurezza tradizionali. Ciò significa anche che, se le applicazioni rimangono anche on-premises, le organizzazioni faranno fatica a trovare soluzioni di sicurezza coerenti in grado di proteggere congiuntamente il deployment dei carichi di lavoro sul core, sul cloud e all’edge. Ma non è tutto: il persistere di applicazioni tradizionali nell’ambito dei datacenter on-premises, comporta il mantenimento di soluzioni tradizionali esistenti, soprattutto di quelle che si concentrano sulla protezione delle applicazioni e delle API dalle minacce degli exploit e dell’abuso dei protocolli.

Sfortunatamente, per le aziende oggi avere un IT ibrido non implica – e non potrebbe farlo – avere una sicurezza ibrida.

Con “sicurezza ibrida” intendo “mescolare” i servizi di sicurezza delle app e delle API di un provider con un altro, e un altro ancora. Sebbene lo spostamento della sicurezza a sinistra nel ciclo di vita delle app sembri un’ottima soluzione, troppo spesso conduce alla via di minor resistenza: una moltitudine di servizi di sicurezza per app e API incompatibili che complicano e vanificano gli sforzi per proteggere tutte le app e le API.

Stiamo già sperimentando l’impatto della complessità degli strumenti cloud e delle API sulle organizzazioni nell’incapacità di applicare la sicurezza in modo coerente su tutte le applicazioni. Un approccio “mix-and-match” alla sicurezza di app e API non funziona per la maggior parte delle organizzazioni, come dimostra l’aumento sostanziale delle violazioni nell’ultimo anno, attribuite a vulnerabilità ed exploit di app e API.

La realtà dell’IT ibrido in materia di sicurezza app e API è che l’approccio frammentario e “à la carte” non sarà strategico a lungo termine. Abbiamo bisogno di un approccio migliore, che riconosca che l’IT e l’azienda sono, e saranno nel prossimo futuro, ibridi.

Hybrid IT: cosa significa per la sicurezza di applicazioni e API 2

Lori MacVittie, Distinguished Engineer, F5

This will close in 20 seconds

Translate »