La inmutabilidad es una ventaja nativa de la nube que atrae mucho, en gran parte debido a sus supuestos beneficios para la seguridad y la eficiencia. La inmutabilidad significa que las cargas de trabajo no cambiarán —y no deberían hacerlo— mientras se ejecutan en producción. En cambio, en un entorno nativo en la nube, si es necesario cambiar la configuración de una maquina virtual o es preciso actualizar un contenedor, se introducirá una nueva versión en el proceso que reemplazará por completo la carga de trabajo anterior en lugar de «parchearla».
Introducir las correcciones en una fase más temprana del proceso y automatizar el despliegue de las nuevas versiones implica reducir el tiempo de inactividad para aplicar los parches en el tiempo de ejecución, lo que a su vez supone enormes implicaciones para la forma en la que los equipos de seguridad planifican la solución de vulnerabilidades. Desgraciadamente, si los equipos de seguridad siguen creyendo que las correcciones se harán en el tiempo de ejecución, estarán en desventaja cuando los verdaderos problemas de seguridad se «desplacen a la izquierda», a los equipos de DevOps que compilan y prueban la aplicación en el flujo de trabajo CI/CD.
Las cargas de trabajo deben ‘nacer seguras’ desde el momento en el que se instancian
De acuerdo con la Guía de Mercado de Gartner de 2020 para el Servicio de Protección de Cargas de trabajo en la nube (CWPP, por sus siglas en inglés), «Las cargas de trabajo deben ‘nacer seguras’ desde el momento en el que se instancian. Esto supone una necesidad imperiosa de explorar el desarrollo y la modelización/simulación en el proceso CI/CD». En otras palabras, el equipo de seguridad todavía tiene que participar en la protección contra las vulnerabilidades y los ataques en la aplicación, pero esto debe hacerse ahora en colaboración con el equipo de DevSecOps, en una etapa anterior del proceso.
Algunos análisis de impacto total llevados a cabo por Forrester han demostrado que, con un modelo de despliegue nativo en la nube, los equipos de operaciones redujeron en más de un 75 % el tiempo empleado en desplegar parches. Para ello, las correcciones se hicieron desde el principio y las cargas de trabajo se volvieron a desplegar en el mismo hardware. Ese desplazamiento implica un enorme cambio de mentalidad tanto para los equipos de DevOps como de seguridad.
