El enfoque de seguridad-as-code de Oso: una nueva perspectiva sobre la seguridad

Es cada vez más evidente que, para que la seguridad funcione, esta debe integrarse en el proceso de desarrollo, no ser un complemento posterior que maneje un equipo de seguridad dedicado. Esta nueva apreciación del papel de los desarrolladores en la seguridad ha dado lugar a cosas como DevSecOps, así como a proyectos de código abierto como Oso.

El enfoque de seguridad-as-code de Oso: una nueva perspectiva sobre la seguridad - Seguridad | Imagen 1 Newsmatic

Índice de Contenido
  1. ¿Qué es Oso?
  2. El problema con los microservicios
  3. La carga pesada no diferenciada de la autorización
  4. Entra Oso Cloud

¿Qué es Oso?

Oso, que acaba de anunciar hoy la disponibilidad general de Oso Cloud, ofrece un motor de políticas de código abierto para la autorización que representa la seguridad como código, para que los desarrolladores puedan expresar la seguridad como una extensión natural de sus aplicaciones.

La autorización es una de las necesidades más fundamentales de los desarrolladores al construir una aplicación, pero sigue siendo una dificultad masiva de abordar. Como escribió Randall Degges en 2017: "Casi cada vez que me siento a construir la parte de autenticación y autorización de mis sitios web, aplicaciones móviles y servicios API, me abrumo". Verdadero entonces, verdadero ahora.

La autorización es difícil de hacer correctamente y, aunque es esencialmente importante, no es necesariamente central para el negocio de nadie. Como tal, la autorización tiende a ser algo que todas las empresas requieren, pero a menudo se abordan de manera ineficaz. Podría argumentarse que es hora de dejar de pensar en la autorización, o en la seguridad en general, como un producto de estantería que alguien pueda comprar, y más como un nuevo modelo o mentalidad que los desarrolladores deben aplicar.

Oso, al igual que Okta y Twilio antes que él, piensa que tiene una forma de ayudar.

Protección antivirus en línea: McAfee Clinic lleva la seguridad de tu PC al siguiente nivel

El problema con los microservicios

Toda aplicación necesita autorización. Si estás usando una aplicación y puedes ver la información sensible de otras personas, la aplicación está peor que rota. El problema es que todo lo relacionado con la autorización es complicado.

Pero si bien nada sobre la autorización es fácil, también es cierto que todo sobre la autorización es importante, incluso si la autorización no tiende a ser fundamental para el trabajo de una persona en particular. Esto puede haber sido aceptable en el mundo de las aplicaciones monolíticas, pero definitivamente no es aceptable en una arquitectura de microservicios.

Tradicionalmente, todos los datos necesarios para una sola decisión de autorización estaban en la base de datos de tu monolito. Esto ya no es cierto en un mundo de microservicios, lo que resulta en una serie de desafíos, incluyendo la determinación de qué datos deben ir a dónde y cómo normalizar los esquemas de datos de autorización.

Así como las llamadas compañías FAANG fueron las primeras en adoptar arquitecturas de microservicios, también son las primeras en detallar las dificultades de la autorización en un entorno de microservicios.

En los últimos años, algunos de sus equipos de ingeniería han escrito públicamente sobre los extraordinarios esfuerzos de ingeniería que han realizado para resolver la autorización por sí mismos. Google, en particular, escribió sobre su sistema Zanzibar. Justo fuera del claustro de las compañías FAANG, equipos de Slack, Airbnb y más han escrito publicaciones similares sobre sus iniciativas de autorización.

Aunque estas empresas pueden optar por construir sus propios motores de políticas de autorización, eso parece cada vez más inútil o, al menos, excesivo. En la última década aproximadamente, líderes tecnológicos como AWS, Stripe y Twilio han establecido que si hay una parte de tu aplicación que no es fundamental para la propuesta de valor de tu cliente, debes externalizarlo a un tercero especializado en ese componente. Esto comenzó con cosas como el cálculo, pero la tendencia se acerca cada vez más a la aplicación. Un poco (Okta separa la autenticación) a poco (Segmenta la separación de análisis de uso) a poco (LaunchDarkly con banderas de funciones), la tendencia se adentró en el código de la aplicación.

Cómo proteger tu computadora de los virus: métodos y consejos

Esto nos lleva a la autorización. Hasta ahora, la autorización ha evitado convertirse en un servicio ofrecido por terceros, en gran parte porque nadie ha logrado hacerlo lo suficientemente genérico como para ser ampliamente relevante y, a la vez, lo suficientemente flexible como para ser útil. Oso cree que ha resuelto ese problema.

La carga pesada no diferenciada de la autorización

Oso se lanzó como una biblioteca de código abierto en 2020. Para muchos, incluyéndome a mí, la respuesta fue cautelosa: todavía se sentía un poco extraño "externalizar" la autorización a un tercero, incluso si las empresas estaban haciendo un trabajo un tanto deficiente al manejarla por sí mismas.

Pero en los dos años transcurridos, los desarrolladores han descargado Oso millones de veces, y empresas como Intercom, Wayfair, Visa, Codecademy, Oxide, Verizon, Optum y muchas más lo utilizan en producción. Como lo expresó el CTO de Arc, Raven Jiang, algunos incluso abrazaron la idea de depender de un experto en autorización para satisfacer sus necesidades: "Arc es una plataforma bancaria, por lo que es fundamental hacer bien la autorización. Sabíamos que nuestros requisitos podrían volverse complejos, ya tenemos 40 permisos en nueve roles, y queríamos apoyarnos en los expertos".

Esos "expertos" necesitan ir más allá del software y desafiar el modelo para proporcionar autorización, dijo Graham Neray, cofundador y CEO de Oso, en una entrevista. Hacerlo ayuda tanto a las empresas establecidas como a las startups sigilosas a "lanzar funciones de autorización en 1/10 del tiempo y reducir el riesgo de operar estos sistemas".

Pero, ¿a qué se refiere con este "modelo"? Bueno, si las bases de datos tienen modelos de documentos o relacionales, y los lenguajes de programación tienen modelos de objetos, seguramente debe haber un modelo para la autorización. Hasta ahora, la respuesta es "no". Pero eso es un problema, ya que los desarrolladores piensan en términos de modelos.

Algunos desarrolladores, dijo Neray, pueden haber oído hablar de RBAC o ABAC. Los desarrolladores más vanguardistas pueden haber oído hablar de Zanzibar de Google. Ninguno de ellos realmente aborda el problema principal. Lo que sí funciona, continuó Neray, es pensar en la autorización como compuesta por tres abstracciones principales: lógica, datos y aplicación, y "una vez que entiendes cómo funciona cada una de ellas, puedes construir (o adoptar) soluciones estructuradas que te permitan controlar la autorización a tu antojo".

¡Defiéndete! Protege tu seguridad en línea contra amenazas críticas

En la práctica, esto significa que es un poco como SQL, donde si colocas tus datos en un formato estándar y les das un esquema, luego puedes consultarlos arbitrariamente. De manera similar, en Oso colocas tus datos de autorización en un formato estándar, escribes una lógica de autorización arbitrariamente simple o compleja y luego puedes hacer cualquier pregunta que desees.

Entra Oso Cloud

Según se anunció hoy, Oso Cloud ahora está disponible en general y consta de las siguientes piezas:

  1. Un lenguaje de políticas declarativo llamado Polar para escribir lógica de autorización
  2. Oso Cloud, el servicio, que almacena datos de autorización y responde a verificaciones de permisos y preguntas relacionadas a través de una API HTTP
  3. APIs de cliente y una CLI para interactuar con nuestras APIs
  4. Una interfaz de usuario que te permite interactuar con las APIs de Oso, así como algunas herramientas adicionales, como un depurador

Si esto parece arriesgado, la empresa replica sus servidores a nivel mundial. En cuanto a confiar un componente tan crítico de la infraestructura de una aplicación a un tercero, hemos visto esto tener éxito en otras categorías, como se mencionó anteriormente. Además, la empresa está compuesta por veteranos que han operado infraestructuras críticas para empresas como Veritas, Symantec, Intercom, Lacework, Puppet, Betterment, Gremlin, Mailchimp y más.

Pero en realidad, se reduce a si vale la pena confiar un poco para evitar muchos problemas en la infraestructura de tu aplicación. Como enfatizó el cofundador y CTO de Oso, Sam Scott: "Nuestra visión es reducir la cantidad de tiempo y recursos mentales que los desarrolladores gastan en pensar en la autorización en un 10x en los próximos 10 años".

Protege tus contraseñas con PAM: Tu aliado para la seguridad

En Newsmatic nos especializamos en tecnología de vanguardia, contamos con los artículos mas novedosos sobre Seguridad, allí encontraras muchos artículos similares a El enfoque de seguridad-as-code de Oso: una nueva perspectiva sobre la seguridad , tenemos lo ultimo en tecnología 2023.

Artículos Relacionados

Subir

Utilizamos cookies para mejorar su experiencia de navegación, mostrarle anuncios o contenidos personalizados y analizar nuestro tráfico. Al hacer clic en “Aceptar todo” usted da su consentimiento a nuestro uso de las cookies.