¿Qué es una plataforma de protección de aplicaciones nativas de la nube (CNAPP)?

¿Por qué es importante la CNAPP?

Los enfoques y las herramientas de seguridad tradicionales se diseñaron para proteger los centros de datos y los terminales locales, no las aplicaciones y los servicios nativos de la nube. Con el paso a las tecnologías nativas de la nube, los entornos dinámicos y efímeros con una fuerte automatización, los ciclos de lanzamiento más rápidos y las prácticas de desarrollo modernas (por ejemplo, la infraestructura como código [IaC], los conductos de CI/CD, los contenedores, las funciones sin servidor, Kubernetes), esas herramientas se quedan cortas.

Los cambios se producen con frecuencia en la nube pública y el equipo de seguridad debe encargarse de la seguridad y el cumplimiento de las normativas, idealmente sin ralentizar el rendimiento de la organización. Para ello, debe identificar los problemas de seguridad y las vulnerabilidades en una fase temprana del desarrollo, acelerar la corrección y proporcionar una seguridad y garantía continuas y coherentes. Desafortunadamente, lograr todo eso con las muchas interdependencias en entornos modernos puede ser un proceso bastante difícil con un enfoque tradicional.

Para optimizar la seguridad y el cumplimiento de las normas en la nube con el fin de apoyar a DevOps y minimizar la fricción, los equipos de seguridad deben evolucionar y pasar de proteger la infraestructura a proteger las aplicaciones que se ejecutan en las cargas de trabajo. Esto significa garantizar la seguridad de las configuraciones de los servicios en la nube y del entorno de producción como mínimo, siendo la protección en tiempo de ejecución una valiosa capa de protección adicional.

Componentes clave de CNAPP

Una CNAPP eficaz ayuda a los equipos de seguridad a correlacionar información a través de una amplia gama de señales en una sola vista para identificar y priorizar los mayores riesgos de la organización, reuniendo:

• Gestión de la postura de seguridad en la nube (CSPM) para supervisar, identificar, alertar y remediar riesgos de cumplimiento y configuraciones incorrectas en entornos de nube
  • Infraestructura como seguridad de código para detectar configuraciones incorrectas en el código en las primeras etapas del ciclo de vida del desarrollo de software para evitar vulnerabilidades en tiempo de ejecución
  • Cumplimiento y gobernanza para gestionar el estado de cumplimiento, así como remediar la desviación de la configuración y las infracciones de políticas en entornos multinube
• Infraestructura de nube gestión de derechos (CIEM) para mitigar el riesgo de filtraciones de datos en nubes públicas mediante la supervisión continua de permisos y actividades
• Protección de datos para supervisar, clasificar e inspeccionar datos y evitar la filtración de datos críticos como resultado de phishing, información interna maliciosa u otras amenazas cibernéticas
• Identidad y gestión de acceso (IAM) para controlar el acceso a los recursos internos, garantizando que los permisos de los usuarios les otorguen acceso adecuado a los sistemas y datos.
• Plataformas de protección de cargas de trabajo en la nube (CWPP) para proporcionar visibilidad y control de máquinas físicas, máquinas virtuales, contenedores y cargas de trabajo sin servidor en entornos híbridos, de centro de datos, multinube

Desafíos de un enfoque heredado

A medida que las organizaciones crecen, tienden a terminar con una mezcla de tecnologías, con controles de seguridad dispares en diversos entornos de nube. Los equipos de seguridad implementan CSPM, CIEM, CWPP y otras herramientas para proteger la infraestructura de la nube y los entornos de producción. Este enfoque les impide centrarse, priorizar y remediar riesgos de manera efectiva, gracias a:

• Brechas de visibilidad y puntos ciegos de seguridad
• Múltiples fuentes de puntos de datos, sin una única fuente de verdad
• Desbordamiento de información y procesos de correlación de datos que consumen mucho tiempo
• Fatiga de alertas sin indicación de problemas críticos que necesitan atención
• Recursos, experiencia técnica y capacitación limitados en cada herramienta
• Alta complejidad operativa y gastos generales derivados de la administración de cada herramienta por separado

Intentar mantener controles adecuados utilizando herramientas dispares en entornos complejos requiere mucho tiempo, recursos y esfuerzo manual, y muchas veces no basta con mantenerse al día.

Ventajas de una CNAPP

Como solución de seguridad unificada, CNAPP ofrece una cobertura de seguridad completa para ayudarle a mantenerse al día con entornos efímeros, en contenedores y sin servidor, proporcionando:

• Un panel único que mejora la colaboración y la eficiencia del equipo al identificar y correlacionar problemas menores, eventos individuales y vectores de ataque ocultos en flujos visuales intuitivos con alertas, recomendaciones y orientación de solución para respaldar decisiones informadas.
• Reducción de la complejidad y los gastos generales, reemplazando múltiples productos puntuales con una imagen completa del riesgo a través de una visibilidad integral de las configuraciones, los activos, los permisos, el código y las cargas de trabajo. Una CNAPP analiza millones de atributos para priorizar los riesgos más críticos.
• Cobertura integral de servicios y nube, con visibilidad e información sobre toda su huella multinube, incluidas IaaS y PaaS, que se extiende a cargas de trabajo de VM, contenedores y sin servidor y a entornos de desarrollo, para identificar y remediar riesgos tempranamente.
• Seguridad a la velocidad de DevOps, integrándose con plataformas IDE para identificar configuraciones incorrectas o problemas de cumplimiento durante el desarrollo y CI/CD, así como con ecosistemas SecOps para activar alertas, tickets y flujos de trabajo sobre infracciones para que los equipos puedan actuar de inmediato.
• Protecciones para distribuir la responsabilidad de la seguridad, inyectando controles de seguridad en cada nivel del ciclo de DevOps, con integraciones nativas en herramientas de desarrollo y DevOps existentes. La implementación de barreras de seguridad permite a los desarrolladores apropiarse de la seguridad en su trabajo, lo que reduce la fricción entre la seguridad y el equipo de DevOps para brindar un mejor soporte a DevSecOps.

¿Cómo funciona la CNAPP?

Las plataformas CNAPP reúnen múltiples herramientas y funciones de seguridad para reducir la complejidad y los gastos generales, proporcionando:

• Las capacidades combinadas de las herramientas CSPM, CIEM y CWPP
• Correlación de vulnerabilidades, contexto y relaciones a lo largo del ciclo de vida del desarrollo
• Identificación de riesgos de alta prioridad con un contexto rico
• Remediación guiada y automatizada para corregir vulnerabilidades y configuraciones incorrectas.
• Protecciones para evitar cambios de arquitectura no autorizados.
• Fácil integración con ecosistemas SecOps para enviar alertas casi en tiempo real.

Qué incluye la CNAPP (imagen adaptada de "How to Protect Your Clouds with CSPM, CWPP, CNAPP, and CASB" (Cómo proteger sus nubes con CSPM, CWPP, CNAPP y CASB), Gartner, 6 de mayo de 2021).

Capacidades principales de una CNAPP

Dado que son convergencias de tantas herramientas de seguridad y cumplimiento, las CNAPP tienen numerosas capacidades. Veamos en términos generales lo que una CNAPP permite hacer a su organización.

Infraestructura multinube segura

Descubra todas las aplicaciones, API, recursos en la nube, identidades y datos confidenciales. Obtenga una visibilidad completa de los recursos conformes y no conformes en AWS, Azure y Google Cloud y priorice su corrección en función del riesgo.

Entorno de producción seguro

Traslade la seguridad a un momento anterior en el proceso de desarrollo (es decir, "moverla a la izquierda en la línea de desarrollo"). Capacite a sus profesionales de DevOps para detectar amenazas y vulnerabilidades antes y solucionarlas más rápido, a fin de garantizar que las aplicaciones y los datos cumplan con las normas.

Cargas de trabajo seguras

Detecte y gestione con mayor facilidad las vulnerabilidades y las configuraciones incorrectas de seguridad, y haga una supervisión conductual basada en la red, aplique las políticas y la segmentación de la carga de trabajo en la nube basada en identidad.

Gobernanza y cumplimiento continuos

Minimice la fatiga de las auditorías con controles de seguridad automatizados para el cumplimiento continuo y el gobierno de los datos, las configuraciones y los permisos.

Plataforma de colaboración en equipo

Incorpore flujos de trabajo comunes, correlación de datos, perspectivas y correcciones para reducir la fricción y fomentar la colaboración en equipo entre DevSecOps, DevOps y operaciones de seguridad en la nube.

Recomendaciones de Gartner en cuanto a las CNAPP

En "Innovation Insight for Cloud-Native Application Protection Platforms" (Información sobre la innovación en las plataformas de protección de aplicaciones nativas de la nube), Gartner ofrece este consejo: "En lugar de tratar el desarrollo y el tiempo de ejecución como problemas independientes, que han de ser protegidos y analizados mediante diferentes herramientas, las empresas deben hacer que la seguridad y el cumplimiento estén siempre presentes en el desarrollo y las operaciones, y tratar de consolidar las herramientas que se van utilizar siempre que sea posible".

Las recomendaciones clave incluyen:

• Implementar un enfoque de seguridad integrado que cubra todo el ciclo de vida de las aplicaciones nativas de la nube, comenzando en el desarrollo y extendiéndose a la producción.
• Analizar los artefactos de desarrollo y la configuración de la nube de manera integral, y combinar esto con la visibilidad del tiempo de ejecución y el conocimiento de la configuración para priorizar la corrección de riesgos.
• Evaluar las aplicaciones emergentes. Las ofertas de CNAPP a medida que caducan los contratos para CSPM y CWPP, y aprovechar esta oportunidad para reducir la complejidad y consolidar proveedores.

Zscaler y CNAPP

Posture Control™ de Zscaler es una plataforma de protección de aplicaciones (CNAPP) nativa de la nube que adopta un enfoque de la seguridad de las aplicaciones nativas de la nube radicalmente nuevo con una solución 100 % sin agentes. Esta se correlaciona en varios motores de seguridad para priorizar los riesgos ocultos causados por errores de configuración, amenazas y vulnerabilidades en toda la pila de la nube, lo que reduce los costes, la complejidad y la fricción entre equipos.

Construimos nuestra plataforma unificada desde cero para priorizar los riesgos de seguridad de la infraestructura y las aplicaciones en nubes distribuidas y en todos los ciclos de vida de desarrollo y DevOps, lo que le permite:

• Proteger las configuraciones: mantenga controles CSPM integrales en toda la infraestructura, los recursos, los datos y las identidades de la nube. Más información.
• Proteger los derechos: proteja las identidades humanas y de las máquinas al tiempo que aplica el acceso con privilegios mínimos. Más información.
• Proteger la infraestructura como código: deje la seguridad en manos del desarrollador y de los flujos de trabajo de DevOps para solucionar vulnerabilidades y problemas de cumplimiento. Más información.
• Proteger los datos: proteja los datos confidenciales en múltiples repositorios en la nube mientras mantiene la visibilidad, el control y el cumplimiento. Más información.
• Proteger las cargas de trabajo y aplicaciones: aproveche la confianza cero para, sin agentes. proteger hosts, contenedores (por ejemplo, Kubernetes) y funciones sin servidor durante todo el ciclo de vida de la aplicación. Más información.