Comencemos por definir lo básico antes de adentrarnos a Servicios WAAP Distribuidos en el Cloud... si se busca la definición de lo que es el Cloud a veces puede parecer algo confusa, pero esencialmente es un término utilizado para describir una red global de servidores, cada uno con una función única. El Cloud no es una entidad física, sino una vasta red de servidores, elementos de red, etc distribuidos por todo el mundo. Conectados entre sí y destinados a operar como un ecosistema único. Estos servidores fueron diseñados para almacenar y administrar datos, ejecutar aplicaciones o entregar contenido o un servicio como transmisión de videos, correo, etc.
Un claro ejemplo es acceder a ficheros y/o datos desde una ordenador personal o laboral (en caso de que no hayan sido sincronizados localmente) utilizando el servicio de Internet dondole acceso a la información dondequiera que vaya y en cualquier momento que la necesite.
Actualmente existen tres tipos de Cloud:
Cloud público se comparten recursos y ofrece servicios al público a través de Internet; Cloud privado que no se comparte y ofrece servicios a través de una red interna privada generalmente alojada en las instalaciones, Cloud híbrida que comparte servicios entre públicos y privados.
Adicionalmente cabe destacar los principales modelos de servicios del Cloud Público:
SaaS (Software as a Service) - En lugar de que los usuarios instalen una aplicación en su dispositivo, las aplicaciones SaaS se alojan en servidores en la nube y los usuarios acceden a ellas a través de Internet.
Paas (Platform as a Service) - En este modelo, las empresas no pagan por las aplicaciones alojadas; en lugar de eso, pagan por las cosas que necesitan para crear sus propias aplicaciones. Los proveedores de PaaS ofrecen todo lo necesario para crear una aplicación, incluidas herramientas de desarrollo, infraestructura y sistemas operativos, a través de Internet.
IaaS (Infrastructure as a Service) - En este modelo, una empresa alquila los servidores y el almacenamiento que necesita a un proveedor de nube. Luego utilizan esa infraestructura de nube para crear sus aplicaciones.
Que es WAAP ? Web App and API Protection da lugar a un conjunto integrado de servicios de seguridad que trabajando conjuntamente mitigan los riesgos de seguridad de las API y las aplicaciones web.
Porque es importante utilizar WAAP ?
En la actualidad cada vez mas empresas optan por colocar sus servicios en el Cloud Público y/o híbrido (Público y OnPrem), diferentes proveedores de servicios, configuraciones, operaciones, etc... Este trastorno a veces genera que se obvien temas críticos de seguridad, dejándolo para un segundo plano, lo que provoca dejar puertas abiertas a posibles exploits, configuraciones incorrectas, etc...
Sumado a la creciente sofisticación de bots y ataques automatizados, como la proliferación de los puntos de conexión de las API debido al aumento del uso de las aplicaciones móviles y el desarrollo de las aplicaciones modernas, amplían drásticamente la superficie de las amenazas e introducen riesgos imprevistos en las integraciones de terceros.
Aquí es donde entre en juego las soluciones de WAAP, que representa la evolución del mercado de WAF hacia áreas adyacentes, concretamente la gestión de bots, la seguridad de las API y la mitigación de los ataques de DDoS.
Un WAF que se integra con centros de depuración de DDoS basados en el Cloud se calificaba como WAAP, tanto si el WAF era un appliance o virtual machine en OnPrem, Cloud privada o una Cloud pública. Sin embargo, el mercado se encuentra en un punto de inflexión en el que muchas organizaciones prefieren plataformas WAAP basadas en la nube, en forma de seguridad como servicio.
Encontramos varios factores en aumento para las plataformas WAAP basadas en el Cloud:
... Y que beneficios obtenemos con una solución de este tipo ?
- Modelo de entrega SaaS
- Economía API
- Desarrollo ágil
- Modelo de precios SaaS accesible basado en el consumo
- Reducción del tráfico no deseado para reducir los costos operativos
- Experiencia del cliente mejorada
- Minimizar el riesgo
- Alta eficacia de seguridad y gastos operativos reducidos
Una imagen que representa como sería el servicio WAAP:
En la actualidad existen varios proveedores de servicios que ofrecen están solución en el Cloud de manera Distribuida...
Y aquí una pequeña ayuda de que características debemos tener en cuenta a la hora de evaluar este servicio:
- La efectividad y usabilidad se citan a menudo como criterios clave a la hora de adquirir WAAP
El mejor WAAP de su clase ayuda a las organizaciones a mejorar su posición de seguridad a la velocidad del negocio, a mitigar los compromisos sin fricción o falsos positivos excesivos, y a reducir la complejidad operativa para proteger de forma consistente las arquitecturas híbridas multinube de las vulnerabilidades críticas.
- Capacidad de observación universal a través de la infraestructura nativa de nube y toda la pila de aplicaciones
- Descubrimiento y aplicación de API dinámicas
- Resistencia durante el reequipamiento, la ampliación y la evasión de los atacantes
Además de que este tema da para conversar por mucho, sumamos nuestras capacidades y habilidades para implementar y gestionar este tipo de soluciones. De esta manera podemos acompañar a todo tipo de cliente, sin importar su tamaño, y librando de tiempo al equipo de TI.
Quieres saber mas acerca de nuestros servicios, contactanos completando el formulario debajo 👇
Fuente: Investigación interna, nuestra experiencia en este campo y servicios de F5.