Lo que más me sorprendió en 2021 es que continuamos construyendo nuevos enfoques de seguridad con los mismos patrones antihumanos que hemos visto antes, preparándonos para los mismos tipos de fallas que hemos estado tratando de eliminar durante años. No sorprende que Gartner prediga que el 99% de las brechas en la nube involucrarán errores de configuración que son culpa de la propia organización.
Todas nuestras empresas se ejecutan en una infraestructura compleja y ha evolucionado rápidamente: casi todas las organizaciones ahora son híbridas y combinan diferentes tipos de nube, en las instalaciones y nuevas superposiciones como Kubernetes. Cada una de estas evoluciones se anuncia como la forma moderna y sin errores de hacer las cosas, porque todo estará definido por software; solo diga lo que quiera y la automatización se encargará del resto.
El problema es que, al igual que todos los demás tipos de software, los lenguajes de control son arcanos: todos sufren la misma contradicción de que no se puede tener algo que sea potente y a prueba de errores al mismo tiempo. Los usuarios siempre exigen más funciones para casos más especiales, la complejidad aumenta y las oportunidades para los errores vuelven a aparecer. Sí, los lenguajes definidos por software bien diseñados eliminan algunos problemas antiguos, pero terminan reemplazándolos por otros nuevos.
Nadie en las redes en la nube tiene que preocuparse de que una puerta de enlace de Internet tenga una contraseña predeterminada de fábrica, porque ya no existe tal cosa, y eso es genial. Pero antes de que construyéramos nubes, nadie cometió el error de un bucket de Amazon S3 expuesto a Internet y legible en todo el mundo con datos críticos, eso no fue posible hasta que adoptamos las nuevas técnicas.
El ejemplo más nítido que me trajo esto a casa en 2021 fue mirar de cerca los controles de seguridad integrados en Kubernetes. Kubernetes se ha consolidado realmente en 2021 como la forma actual de crear aplicaciones e infraestructura en la nube y, ciertamente, viene con mucha potencia; prefiero usarlo en mis propias ofertas de SaaS. Y, por supuesto, Kubernetes le permite configurar la microsegmentación, el equivalente de red del distanciamiento social que todos hemos tenido que usar en el espacio carnoso en 2021.
Pero si tiene buenos instintos de seguridad, sabrá preguntar “¿qué podría salir mal?” cuando vea nuevas formas de hacer las cosas. Recomiendo echar un vistazo a cómo se diferencia una política de permitir-todo predeterminada de una denegación-todo predeterminada en Kubernetes, quizás lo más básico que podría querer hacer en cualquier lenguaje de política de acceso a la red.
¿Funciona el idioma? Sí, lo uso y es agradable y poderoso. Pero también es antihumano, ya que es demasiado difícil para un humano leer y analizar con precisión: la diferencia entre los extremos opuestos de “todo permitido” y “todo bloqueado” es un par de llaves vacías. (Ni siquiera son las declaraciones predeterminadas: el lenguaje “y” versus “o” se reduce a una diferencia de solo un carácter de guión en archivos arcanos YAML).
Ahora imagínese tratando de leer una gran pila de documentos de políticas, entrecerrando los ojos para detectar las llaves y los guiones, y averiguar qué suman todos. Un gran poder conlleva una gran responsabilidad por los errores.
Uno pensaría que a estas alturas ya habríamos aprendido que los humanos son realmente malos para leer y comprender reglas de configuración complejas. No importa cuánto cambiemos a la izquierda, seguimos exigiendo cadenas de herramientas de TI flexibles y potentes, y esto es inherentemente propenso a errores, en la medida en que las brechas de seguridad autoinfligidas son el problema de seguridad dominante.
No es como si no supiéramos cómo proteger los activos individuales; las buenas guías de refuerzo son fáciles de encontrar. El problema es que aún no sabemos cómo hacer sistemas confiables … lo que me hace pensar en el viejo chiste de que si los desarrolladores de software construyeran el mundo real, el primer pájaro carpintero destruiría la civilización occidental.