Resumen
En la actualidad, las empresas confían en la automatización de la TI para gestionar la seguridad de las infraestructuras, las aplicaciones y los entornos de nube híbrida, los cuales son cada vez más complejos. Al momento de adoptar una estrategia de automatización, muchas empresas comienzan con soluciones gratuitas y basadas en la comunidad.
Estas pueden resultar útiles en situaciones específicas, pero muchas veces carecen de las funciones de seguridad y el soporte que necesitan los entornos empresariales, lo cual puede representar una gran desventaja a la hora de lidiar con los puntos vulnerables de diferentes equipos y áreas.
Para muchas empresas, Ansible® es la solución principal de sus iniciativas de automatización. Una comunidad comprometida se ocupa del desarrollo del software open source que utiliza. El proyecto upstream Ansible está formado por más de 20 proyectos comunitarios diferentes que suelen unirse mediante un elemento llamado AWX que contiene la API y la GUI.
Las comunidades open source son la base del desarrollo de aplicaciones y de las operaciones informáticas modernas, pero no todas las versiones de software open source pueden adaptarse de la misma manera a las necesidades de las empresas en materia de seguridad. Esto se evidencia al comparar las diversas versiones de la solución comunitaria de Ansible con Red Hat® Ansible Automation Platform, la cual se centra en la seguridad.
El precio de la automatización con respaldo de la comunidad
Ningún entorno es completamente seguro, pero nunca ha sido tan importante como ahora que las herramientas de automatización se diseñen teniendo en cuenta este aspecto. Cada vez son más frecuentes los ataques dirigidos a la cadena de suministro de software, los cuales perjudican tanto a las finanzas como a la reputación de las empresas:
- El promedio anual de ataques a la cadena de suministro aumentó un 742 % en los últimos 3 años1.
- El 45 % de las empresas recibirá ataques a la cadena de suministro antes de 20252.
- Una de cada cinco filtraciones de datos se genera debido a problemas en las cadenas de suministro de software3.
- Las extorsiones por los ataques aumentan un 71 % cada año4.
Si tenemos en cuenta estos puntos vulnerables, puede ser problemático el uso de una herramienta open source sin la debida gestión y que solo tenga el soporte de la comunidad. Los repositorios open source pueden alojarse prácticamente en cualquier lugar, lo cual genera una falta de uniformidad que dificulta el seguimiento de los cambios y aumenta las posibilidades de que se pierdan las actualizaciones.
Aunque los proyectos comunitarios tienen medidas de seguridad, estas varían considerablemente y se aplican de forma desigual, de manera que algunos proyectos quedan más expuestos que otros. Sin embargo, esto no significa que los proyectos que utilizan elementos open source no son adecuados para uso empresarial, sino simplemente que deben empaquetarse y probarse para cumplir con estándares más rigurosos.
Diferencias en materia de seguridad entre AWX y Ansible Automation Platform
A diferencia de los proyectos desarrollados por la comunidad, como AWX, que no se diseñan para las empresas que priorizan la seguridad, Ansible Automation Platform ofrece soporte, pruebas de rendimiento, correcciones de errores y otras prácticas estandarizadas que contribuyen a lograr un entorno empresarial más uniforme y menos expuesto a los puntos vulnerables, lo cual aumenta la seguridad.
Soporte
AWX es un proyecto upstream con el respaldo de la comunidad y, como tal, carece de muchos de los elementos que la mayoría de las empresas esperan de una herramienta de automatización empresarial. No incluye garantías sobre los puntos vulnerables de seguridad en el acuerdo de nivel del servicio (SLA), contenido certificado compatible con proveedores de software independientes (ISV) ni soporte para migrar entre las versiones debido a las actualizaciones.
Ansible Automation Platform incluye:
- Soporte permanente para todos los elementos empaquetados con mejoras en la resolución de problemas y el análisis de la causa raíz a través de Red Hat
- Acceso de autoservicio a una enorme cantidad de información compilada en el Portal de clientes Red Hat
- Priorización de la corrección de errores y las funciones por parte del equipo de ingeniería de Red Hat Ansible
Pruebas de rendimiento
Los miembros de la comunidad prueban las versiones nuevas de AWX, pero esto no garantiza la compatibilidad ni el rendimiento necesarios para los entornos empresariales. A medida que los equipos de Red Hat desarrollan versiones nuevas de Ansible Automation Platform, realizan pruebas rigurosas permanentemente y registran las mejoras de rendimiento a lo largo del proceso. Esto les permite diseñar funciones nuevas para las necesidades cambiantes de las empresas.
Ansible Automation Platform incluye:
- Pruebas nocturnas de integración y control de calidad
- Pruebas periódicas de intrusión en el producto para evitar que se aprovechen los nuevos puntos vulnerables de seguridad
- Pruebas de esfuerzo del controlador y la malla de automatización para la ejecución en paralelo de los playbooks y otro contenido de Ansible
Container Health Index y calificaciones de seguridad
Ansible Automation Platform publica los entornos de ejecución compatibles junto con una calificación de seguridad llamada Container Health Index (CHI). Esto significa que Red Hat certifica las imágenes de los contenedores, y se ocupa de su mantenimiento y soporte. La versión comunitaria de AWX no ofrece servicios similares.
- Si un entorno de ejecución no obtiene una calificación de seguridad "A", el SLA establece que debe lograrse tal calificación en cinco días hábiles. No sucede lo mismo con los entornos de ejecución en AWX.
Prácticas de seguridad del ciclo de vida de desarrollo (SDL)
Las SDL son un conjunto codificado de prácticas recomendadas que se estandarizan en etapas específicas del desarrollo del producto en Red Hat. Estas se siguen en el desarrollo de Ansible Automation Platform, pero no en el de AWX ni en el de los diferentes subproyectos de Ansible, debido a que se trata de sistemas descentralizados.
Los estándares y las prácticas de SDL tienen como objetivo:
- Reducir la cantidad de puntos vulnerables en el software lanzado
- Disminuir las posibles consecuencias negativas de los puntos vulnerables que no se detectan ni abordan
- Analizar las causas principales de los puntos vulnerables para evitar que vuelvan a aparecer en el futuro
Corrección de errores
En Ansible Automation Platform, se registran los errores en una base de datos central, y un equipo de desarrollo se ocupa de corregirlos a diario. La resolución de los errores se prioriza en función de los comentarios de los usuarios.
- Los clientes pueden acceder a las correcciones de los errores identificados por Red Hat desde access.redhat.com.
- Es posible realizar una solicitud de soporte en el portal de clientes o, en el caso de que haya que corregir errores urgentes, comunicarse por teléfono con el centro de soporte local.
En la versión de Ansible desarrollada por la comunidad, en cambio, los errores no se registran en un solo lugar, y es la comunidad la que decide el orden en el que se corregirán. Además, debido a que los errores se corrigen de diferentes maneras en cada versión comunitaria de Ansible, puede resultar difícil para los usuarios trasladarse de una a otra.
Ansible Automation Platform ofrece a las empresas la atención personalizada y uniforme que necesitan para ocuparse de los errores rápidamente y disminuir las consecuencias que estos puedan tener en sus operaciones.
Event-Driven Ansible
Ansible Automation Platform incluye Event-Driven Ansible, que le permite automatizar varias tareas, como la resolución de problemas y la actualización del software, a través de un proceso estandarizado y sujeto a auditorías. Con Event-Driven Ansible podrá:
- Reducir al mínimo los errores humanos que suelen ocurrir debido a la gran cantidad de tareas repetitivas que agregan puntos vulnerables a la cadena de suministro
- Automatizar las respuestas de seguridad para ocuparse de los puntos vulnerables rápidamente, antes de que se conviertan en problemas graves
Conozca en mayor profundidad las diferencias entre Ansible y Ansible Automation Platform
Ventajas de elegir Red Hat Ansible Automation Platform
Red Hat Ansible Automation Platform le ofrece un marco empresarial uniforme para diseñar y llevar adelante la automatización de la TI según sus necesidades y con la seguridad como prioridad en todo momento. Permite que los equipos automaticen las tareas de seguridad y cumplimiento normativo en toda la empresa y que utilicen el contenido de automatización certificado para responder a las amenazas de manera coordinada y con el soporte permanente de Red Hat.
El modelo de desarrollo abierto de Red Hat conecta a los ingenieros de la plataforma con más de una docena de proyectos open source de Ansible en la comunidad. A medida que los miembros del equipo trabajan en conjunto para identificar y potenciar las ideas más prometedoras, Red Hat les brinda todo su respaldo realizando aportes al código y creando productos a partir de los proyectos upstream.
Ansible Automation Platform simplifica el empaquetado y la distribución, y garantiza la interoperabilidad comprobada y confiable entre todos los elementos. También ofrece soporte durante 18 meses, por lo que reduce la incertidumbre y los puntos vulnerables relacionados con el uso de las herramientas open source upstream.
Además, Ansible Automation Platform puede servir como punto de integración para las soluciones de seguridad, ya que incluye contenido de partners certificados, como CyberArk, IBM y Palo Alto Networks, lo cual posibilita la automatización de la gestión y la integración de una amplia variedad de tecnologías de seguridad externas.