L’era delle applicazioni adattative tra sicurezza e visibilità
Nell’era dei microservizi e dei sistemi distribuiti non è più possibile stare al passo con un portfolio crescente di applicazioni senza adottare un’automazione sempre più sofisticata. Si apre così un nuovo capitolo per il mondo delle app che si evolvono verso uno scenario di applicazioni adattative, capaci cioè di scalare e adattarsi al meglio all’ambiente in cui si trovano e al modo in cui vengono utilizzate.
Attraverso l’intelligenza artificiale le app adattative possono anche apprendere per applicare tale conoscenza a tutta la rete per bloccare attacchi informatici e tentativi di frode. Kara Sprague, Executive Vice President e General Manager BIG-IP di F5, fornisce un approfondimento sul cambiamento profondo in atto nel mondo delle applicazioni.
“Ogni azienda deve confrontarsi con la digital experience e, alla luce del COVID-19, questa rappresenta la modalità principale con cui oggi si interagisce e si dialoga praticamente per tutte le organizzazioni. Al centro di queste esperienze digitali troviamo le applicazioni. Infatti, ogni volta che ci confrontiamo online con un’azienda, attraverso il suo sito web o la sua app mobile, sono le applicazioni che questa organizzazione ha progettato, sviluppato e che gestisce a rappresentare il biglietto da visita con cui questa si presenta ai clienti”, esordisce la Sprague.
La digital experience, abilitata dalle applicazioni, è fondamentale, ma anche potenzialmente molto fragile: secondo l’App Attention Index elaborato da AppDynamics, quasi l’80% dei consumatori che pretende di avere un rimborso o uno sconto lo fa a causa di un’esperienza digitale carente. E il 32% dichiara di aver abbandonato un brand a cui era stato fedele in precedenza a causa di una singola esperienza digitale negativa.
Le aspettative rispetto alle app e alla digital experience oggi sono insomma incredibilmente alte e non possono che crescere ulteriormente sotto la spinta di innovatori come Amazon, Apple, Uber, per citarne alcuni, che continuano a ideare nuove modalità per rivoluzionare e differenziarsi attraverso le esperienze digitali.
Complessità, sicurezza e visibilità: le sfide da affrontare
La maggior parte delle aziende, purtroppo, fatica a tenere il passo. Molte di esse possiedono portafogli applicativi vasti, per entrare in contatto con clienti, dipendenti e partner, ma a causa di fattori come il costo, i rischi o la conformità queste app sono spesso un complicato mix di servizi e funzionalità uniti a tecnologie tradizionali e moderne.
Anche le sfide in termini di sicurezza possono scoraggiare. Uno dei motivi principali è la complessità architetturale delle moderne applicazioni, mentre un secondo aspetto critico per la sicurezza è la rapida evoluzione delle minacce, in uno scenario in cui il costo degli attacchi sofisticati continua a diminuire ma il costo della difesa continua ad aumentare.
In particolare, la quantità enorme di violazioni di dati registrate nell’ultimo decennio ha consentito potenzialmente a qualsiasi cyber criminale di impossessarsi degli account delle app, controllando dove gli utenti hanno riutilizzato le password sui siti web. Una ricerca degli F5 Labs ha rivelato che l’86% degli attacchi informatici prende di mira le applicazioni o le identità a esse associate; un numero di attacchi che cresce ogni anno e che, durante la pandemia, ha raggiunto un picco senza precedenti.
E poi, non ultima, c’è la sfida della visibilità. Per fornire una digital experience di valore, bisogna essere in grado di ottimizzare le prestazioni di ogni app e per farlo è necessario ottenere informazioni dettagliate sul flusso del traffico e possedere una visibilità granulare end-to-end. Purtroppo, nella maggior parte dei casi, l’infrastruttura e i servizi che supportano queste app sono complessi e isolati in silos e pochissime organizzazioni ad oggi hanno tale visibilità, anche solo rispetto alle app maggiormente critiche rivolte ai clienti.
L’automazione sofisticata e le applicazioni adattative
Alla luce di tutti questi elementi diventa fondamentale sviluppare un percorso verso un’automazione più sofisticata, consentendo alle applicazioni di adattarsi. Proprio come un organismo vivente, le applicazioni adattive posso crescere, ridursi, difendersi e curarsi, il tutto in base all’ambiente in cui si trovano e al modo in cui vengono utilizzate. Questo vale sia per le nuove organizzazioni cloud-native, sia per le aziende che possiedono un complesso mix di architetture tradizionali e moderne.
Tutto questo ha a che fare con il data path dell’applicazione, cioè il percorso che il traffico dell’applicazione segue per raggiungere un utente finale, e con i servizi applicativi, cioè l’insieme di funzionalità che si trovano lungo il percorso dati dell’applicazione per fornire agli utenti finali un accesso sicuro e affidabile alla logica di business dell’applicazione.
I servizi applicativi includono funzionalità che facilitano la delivery delle applicazioni, come server applicativi e server Web, Ingress Controller in ambienti a microservizi, bilanciatori di carico, gestione del DNS e della CDN. Un diverso set di servizi applicativi facilita la sicurezza delle applicazioni, fornendo Web Application Firewall (WAF), accesso sicuro alle applicazioni, tecnologie anti-DDoS, anti-bot e protezione contro frodi e abusi. In sostanza, questi servizi applicativi garantiscono il fondamento della digital customer experience.
Nell’ultimo anno abbiamo utilizzato il termine ““code to customer”” per fare riferimento a questo insieme di funzionalità lungo il data patch dell’applicazione. Ciascuno di questi servizi applicativi genera dati preziosi su cosa sta accadendo a livello di traffico dell’applicazione, come latenza, gestione e applicazione delle policy. La raccolta di tale telemetria crea la visibilità granulare necessaria per poter modificare i controlli e le configurazioni e ottimizzare le prestazioni e la sicurezza lungo tutto il percorso dei dati dell’applicazione.
Molte di queste funzionalità sono già presenti, ma per compiere il prossimo importante passo verso le applicazioni adattive è necessario pensare ad un ulteriore livello di analisi e automazione sopra di esse, che rilevi la telemetria proveniente dai servizi applicativi e sia in grado di modificarne di conseguenza la configurazione. Il machine learning e altre tecniche di intelligenza artificiale possono consentire al sistema di apprendere da modelli di traffico storici o similari e fornire informazioni precise su quello che sta accadendo, nonché il percorso migliore per l’ottimizzazione. Un’applicazione adattiva può anche fare leva su questa telemetria per crescere, ridursi e regolare il proprio comportamento su richiesta.
Le app adattive possono anche difendersi e curarsi da sole, così che se un mal intenzionato cerca di attaccare o frodare l’applicazione per rubare dati o denaro, attraverso l’intelligenza artificiale l’app può apprendere e applicare tale conoscenza a tutta la rete per bloccare ulteriori tentativi da parte della stessa persona o attività simili promosse da altri individui.
Alla base di questo c’è una metodologia come quella adottata al momento da Shape Security. Utilizzando tecniche di intelligenza artificiale, Shape distingue il traffico automatizzato (bot) da quello umano e il traffico dannoso da quello innocuo. Sulla base di ciò, un’organizzazione può pre-definire policy per consentire a Shape di bloccare automaticamente il traffico dannoso o facilitare l’accesso dei clienti reali.
Ed è proprio basandosi sui sistemi AI di Shape, che F5 è oggi in grado di analizzare la telemetria proveniente dal suo vasto portafoglio di tecnologie per il data patch, dai bilanciatori di carico BIG-IP e dalle soluzioni WAF ai server web NGINX alle gateway fino ai Cloud Services di F5 e ai managed service di Silverline. Sfruttando la telemetria di questi componenti, si può ottenere una visibilità granulare sul flusso del traffico delle applicazioni, determinare i modelli nel tempo, stabilire soglie per rilevare anomalie e segnalare quando è necessario un intervento.
Ad oggi tutto questo avviene molto difficilmente in automatico, specialmente in ambienti multi-cloud o ibridi: questi richiedono infatti una grande quantità di policy spesso non eterogenee e di scripting hardcoded e manuale. Spesso, inoltre, manca la necessaria visibilità per gestire eventuali disservizi e nella maggior parte dei casi, se la customer experience è scarsa, l’azienda ne viene a conoscenza prima tramite Twitter e poi deve affrettarsi a capire le cause e a trovare una soluzione. Questo è un processo statico in cui l’organizzazione gestisce le proprie risorse in modo manuale senza poter scalare per soddisfare le aspettative crescenti che le aziende si trovano ad affrontare oggi in termini di customer experience.
In un mondo fatto di app adattative, i servizi applicativi scalano indipendentemente a seconda della domanda, si difendono e forniscono avvisi al sistema se vi sono dei problemi. Si fondono in un’esperienza utente finale il più adattabile possibile, con la possibilità di configurare e orchestrare diversi tipi di esperienze. Con il risultato finale di una straordinaria digital experience per l’utente finale dell’applicazione.