Divulgación: Fui orador invitado de Teleport Connect y ellos pagaron mis gastos. Sin embargo, no han visto ni aprobado esta publicación de blog por adelantado. Escribí en vivo la conferencia aquí. Asistí a la conferencia Teleport Connect 2022 en San Francisco a principios de este mes. Era la conferencia inaugural de Teleport y reunieron a su equipo técnico y a sus clientes para hablar sobre el futuro de una plataforma que nunca usa contraseñas ni secretos. ¡Fue fascinante acompañarnos en el viaje! ¿Qué es el teletransporte? Teleport es una plataforma de identidad nativa que no utiliza contraseñas ni secretos. Creen que si elimina los secretos y adopta el acceso sin contraseña, no tendrá que preocuparse de que se filtren o se los roben. Puede eliminar la causa principal de los ataques a la infraestructura. Este vídeo explica cómo funciona. Me encanta cómo el escenario involucra a un SRE preparándose para comenzar su día. Esto refuerza cómo los equipos devops simplemente quieren iniciar sesión y ponerse a trabajar. Es trabajo de operaciones proporcionar la plataforma que lo haga posible. La seguridad debe ser el Departamento del Sí La conferencia magistral estuvo a cargo de Kevin Hanaford, jefe de ingeniería de seguridad de Discord. Casi todas las charlas volvieron a su tema durante el día. Comenzó recordándonos que los equipos de seguridad siempre han sido vistos como el Departamento del No. Esto se hizo por una buena razón: proteger a las personas de sí mismas. Pero si lo piensas bien, la gente está trabajando para hacer su trabajo. Si sus reglas dificultan hacer su trabajo, entonces simplemente eludirán sus controles para que sea más fácil hacer las cosas. Kevin hizo un muy buen comentario: si tienen que eludir los controles para hacer las cosas, entonces los controles les han fallado. La gente siempre eludirá políticas que no tienen sentido y la única seguridad perfecta sería cerrar la empresa por completo. La seguridad también hace que el lugar de trabajo sea más estresante para los empleados. Por ejemplo, si los desarrolladores tienen que cambiar de contexto para iniciar sesión en otra plataforma/servidor/base de datos, se crea fricción y puede resultar muy frustrante. ¡Aquí es donde entra en juego el desempeño humano! Este es mi libro favorito sobre desempeño humano; realmente debería escribir sobre cómo plataformas como Teleport están cambiando el panorama de las intervenciones de desempeño. Kevin dijo que las organizaciones de seguridad deben convertirse en el Departamento del Sí. Sólo se puede construir volviéndose accesible, útil y consciente de los negocios. Comprenda lo que debe hacer la seguridad e incluya a sus clientes internos. Sepa lo que está protegiendo, comprenda la cultura, comprenda sus obligaciones (es decir, las regulaciones) y escuche. La gente te dirá lo que está mal si los escuchas. Teleport Connect desde el punto de vista del CEO Ev Kontsevoy, CEO de Teleport, pronunció el segundo discurso de apertura. Se trata de ampliar el acceso a la infraestructura. Me gustaron las definiciones que dio. Hay que admitir que a medida que empecemos a escalar plataformas para ejecutar cargas de trabajo multinube, nuestras definiciones tendrán que cambiar. Acceso: conectividad, autenticación, autorización y auditoría. ¿Puede una solución hacer todas estas cosas? Infraestructura: hardware, software, peopleware. Escalar la infraestructura: escalar el acceso (dolor y riesgo) para el acceso a la infraestructura. Escalar el software introduce complejidad porque hay muchas capas y las capas tienen su propio inicio de sesión, RBAC, etc. Escalar el hardware es difícil en este momento porque todo está cambiando. Y escalar a las personas es difícil porque van y vienen, usan sus propios dispositivos, trabajan desde casa (o en una cafetería o de vacaciones…). Esto es mucho que gestionar por sí solo y luego hay que descubrir cómo protegerlo todo. Tienes que asegurarlo sin obstaculizar la productividad. Eso es difícil, porque la seguridad y la productividad se oponen entre sí. La mayoría de los ataques exitosos siguen un patrón: los humanos hacen algo que no deberían y los atacantes aprovechan el error humano. Los atacantes ingresan a través del exploit, pero luego giran para atacar sistemas más críticos. Así que trate de diseñar sistemas de acceso para que no dependan del error humano. Los secretos se filtran debido a un error humano, así que pase de los secretos a la verdadera identidad. Teleport considera las vulnerabilidades secretas. Entrega continua de teletransporte el mismo día Esta presentación estuvo a cargo de Sako M, Sr. DevOps en Gladly. Realmente lo disfruté porque habló sobre su viaje hacia la automatización. Nos recordó que el trabajo aumenta con cada herramienta que se agrega. Por supuesto, el trabajo duro afecta el rendimiento de los desarrolladores y hace que todos sean más lentos. Desarrolló una jerarquía de cinco niveles para la automatización. L1 = manual, pero aquí es donde se construye un manual L2 = semiautomatización, el equipo se reúne y decide qué se puede automatizar L3 = automatización condicional, L4 = alta automatización, ¡encuentre más trabajo interesante que hacer! Su trabajo es seguro, hay mucho trabajo por hacer1 L5 = automatización total, de principio a fin, sin intervención Su Golden Path será un modelo de referencia reutilizable y bien diseñado. Puedes usar un repositorio de git para comenzar. Y no importa en qué parte de este proceso se encuentre, seleccione el software adecuado al nivel. Eligió Teleport porque le ayudó a escalar su equipo. Me gustó mucho esta charla, fue muy pragmática. Si cree en todo lo que se comercializa sobre cargas de trabajo multinube, pensaría que todo el mundo lo tiene todo resuelto. Cuando en realidad, sólo unas pocas empresas están en L4, y mucho menos en L5. Comience donde se encuentra y en todos los niveles mejore su vocabulario y su comprensión de lo que se necesita para automatizarse aún más. Así es como terminas con las métricas de implementación que tu organización necesita. Como operaciones, usted construye la plataforma que ayuda a los desarrolladores a realizar implementaciones rápidas y frecuentes, sin que la introducción de nuevos errores afecte la disponibilidad. Empoderar a la próxima generación Estuve en un panel moderado por Mary D’Onofrio (Socia de Bessemer Venture Partners). La otra panelista fue Ada Lin, ingeniera de seguridad de Teleport que acaba de dar el salto al equipo de plataforma desde el equipo de TI. Hablamos sobre cómo fue pasar de operaciones a desarrollo. Pero también hablamos de lo importante que es el papel de las operaciones. Algunos de nosotros hemos estado en operaciones durante 20 años. ¡Es sorprendente ver cómo mejoran las herramientas y el software para hacer que el trabajo del operador sea tan fácil! No creo que hace 20 años un departamento de seguridad hubiera pensado alguna vez en ser un departamento del sí, simplemente no teníamos las herramientas. ¿Y usar una plataforma que pensaba que las contraseñas eran una vulnerabilidad? No puedo imaginar que eso sea siquiera una consideración. Pero ahora es casi una necesidad. Si vamos a ampliar las cargas de trabajo, necesitaremos el conocimiento que hemos acumulado a lo largo de los años, así como las herramientas que realmente pueden llevarnos a la automatización L5. ¿Que sigue? Si es un veterano de operaciones, este es un buen momento para dedicarse a la tecnología. Están cambiando tantas cosas que parece bastante caótico. Así que escuche, lea y aprenda todo lo que pueda. Es fundamental que aprendamos por qué se están introduciendo nuevos métodos para hacer cosas como la seguridad. Es importante aportar su experiencia a estas nuevas herramientas, pero asegúrese de no descartarlas de plano. Evolucionemos y ayudemos a la próxima generación para que no tengan que pasar por todo el trabajo que hicimos nosotros. Estaré en AWS Re:Invent la próxima semana. Me encantaría conocer su opinión sobre la evolución hacia el mundo de la nube múltiple.

Source link