O que é uma plataforma de proteção de aplicativos nativa da nuvem (CNAPP)?

Por que a CNAPP é importante?

As ferramentas e abordagens tradicionais de segurança foram projetadas para proteger data centers e terminais locais, não aplicativos e serviços nativos da nuvem. Com a mudança para tecnologias nativas da nuvem, ambientes dinâmicos e efêmeros com forte automação, ciclos de lançamento mais rápidos e práticas modernas de desenvolvimento (como infraestrutura como código [IaC], pipelines de CI/CD, contêineres, funções sem servidor, Kubernetes), essas ferramentas se tornaram ineficazes.

Mudanças ocorrem com frequência na nuvem pública, e as equipes de segurança precisam cuidar da segurança e da conformidade, de preferência sem desacelerar toda a organização. Para fazer isso, elas precisam identificar os problemas e as vulnerabilidade de segurança no início do desenvolvimento, acelerar as correções e oferecer segurança e garantia contínuas e consistentes. Infelizmente, realizar tudo isso em meio a todas as interdependências dos ambientes modernos pode ser bastante difícil com uma abordagem tradicional.

Para otimizar a segurança e a conformidade na nuvem para apoiar o DevOps e minimizar o atrito, as equipes de segurança precisam evoluir da proteção da infraestrutura para a proteção de aplicativos executados em cargas de trabalho. Isso significa garantir um nível mínimo de segurança das configurações de serviços na nuvem e do ambiente de produção, com a proteção do tempo de execução sendo uma valiosa camada adicional de proteção.

Principais componentes da CNAPP

Uma CNAPP eficaz ajuda as equipes de segurança a correlacionar informações de uma ampla variedade de sinais em um único panorama para identificar e priorizar os maiores riscos da organização, reunindo:

• Gerenciamento da postura de segurança na nuvem (CSPM) para monitorar, identificar, alertar e corrigir erros de conformidade e configuração em ambientes de nuvem
  • Segurança de infraestrutura como código para detectar erros de configuração de código no início do ciclo de vida do desenvolvimento de software, para evitar vulnerabilidades em tempo de execução
  • Conformidade e governança para gerenciar o status de conformidade e corrigir desvios de configuração e violações de políticas nos ambientes multinuvem
• Gerenciamento de direitos na infraestrutura de nuvem (CIEM) para mitigar os riscos de violações de dados em nuvens públicas, monitorando continuamente as permissões e atividades
• Proteção de dados para monitorar, classificar e inspecionar dados e evitar a exfiltração de dados críticos via phishing, usuários internos mal-intencionados ou outras ameaças cibernéticas
• Gerenciamento de identidade e acesso (IAM) para controlar o acesso a recursos internos, garantindo que as permissões dos usuários concedam acesso apropriado aos sistemas e dados
• Plataformas de proteção de cargas de trabalho na nuvem (CWPP) para oferecer visibilidade e controle de máquinas físicas, VMs, contêineres e cargas de trabalho sem servidor em ambientes híbridos, multinuvem e data centers

Desafios de uma abordagem legada

À medida que as organizações crescem, elas tendem a adotar um misto de tecnologias, com controles de segurança diferentes em vários ambientes de nuvem. As equipes de segurança implantam CSPM, CIEM, CWPP e outras ferramentas para proteger a infraestrutura na nuvem e os ambientes de produção. Essa abordagem impede que as equipes foquem, priorizem e corrijam os riscos de maneira eficaz, graças a:

• Lacunas de visibilidade e pontos cegos de segurança
• Diversas fontes de dados, sem uma única fonte confiável
• Excesso de informações e processos demorados de correlação de dados
• Fadiga de alertas, sem destaque para os problemas críticos que exigem atenção
• Recursos, conhecimento técnico e treinamentos limitados sobre cada ferramenta
• Alta complexidade operacional e sobrecarga por gerenciar cada ferramenta separadamente

Tentar manter os controles adequados ao usar ferramentas diferentes em ambientes complexos exige muito tempo, recursos e esforço manual e, muitas vezes, isso não é suficiente.

Benefícios da CNAPP

Por ser uma solução de segurança unificada, a CNAPP oferece cobertura completa de segurança para auxiliar no acompanhamento de ambientes efêmeros, sem servidor e em contêineres, oferecendo:

• Um único painel, melhorando a colaboração e a eficiência das equipes, permitindo identificar e correlacionar problemas menores, eventos individuais e vetores de ataque ocultos em fluxos visuais intuitivos com alertas, recomendações e orientações de correção que auxiliam na tomada de decisões.
• Redução de complexidade e sobrecarga, substituindo diversos produtos para fins específicos por uma visão completa dos riscos, oferecendo uma visibilidade abrangente das configurações, ativos, permissões, código e cargas de trabalho. Uma CNAPP analisa milhões de atributos para priorizar os riscos mais críticos.
• Cobertura abrangente da nuvem e dos serviços, com visibilidade e informações sobre toda a sua presença multinuvem, incluindo IaaS e PaaS e se estendendo por VMs, contêineres, cargas de trabalho sem servidor e ambientes de desenvolvimento para identificar e corrigir riscos antecipadamente.
• Segurança na velocidade do DevOps, com a integração de plataformas de IDE para identificar erros de configuração ou problemas de conformidade durante o desenvolvimento e o CI/CD, além da integração com ecossistemas de SecOps para acionar alertas, incidentes e fluxos de trabalho sobre violações para que as equipes possam agir imediatamente.
• Proteções para distribuir a responsabilidade da segurança, injetando controles de segurança em cada nível do ciclo de DevOps, com integrações nativas sobre as ferramentas de desenvolvimento e DevOps existentes. A implementação de proteções permite aos desenvolvedores assumir a segurança de seu trabalho, reduzindo o atrito entre as equipes de segurança e DevOps e oferecendo mais suporte ao DevSecOps.

Como a CNAPP funciona?

As plataformas de CNAPP reúnem várias ferramentas e funções de segurança para reduzir a complexidade e a sobrecarga, oferecendo:

• A combinação de recursos das ferramentas de CSPM, CIEM e CWPP
• Correlação de vulnerabilidades, contexto e relacionamentos em todo o ciclo de vida do desenvolvimento
• Identificação rica em contexto dos riscos de alta prioridade
• Correções guiadas e automatizadas para vulnerabilidades e erros de configuração
• Proteções para evitar alterações de arquitetura não autorizadas
• Fácil integração com ecossistemas de SecOps para enviar alertas quase em tempo real

O que a CNAPP abrange (imagem adaptada de “How to Protect Your Clouds with CSPM, CWPP, CNAPP, and CASB”. Gartner, 6 de maio de 2021)

Principais recursos da CNAPP

Por convergirem tantas ferramentas de segurança e conformidade, as CNAPPs possuem dezenas de recursos específicos. Vejamos de forma geral o que uma CNAPP proporciona para sua empresa.

Infraestrutura multinuvem segura

Descubra todos os aplicativos, APIs, recursos na nuvem, identidades e dados sigilosos. Obtenha visibilidade completa de recursos em conformidade e em não conformidade na AWS, Azure e Google Cloud e priorize sua correção com base no risco.

Ambiente de produção seguro

Antecipe a segurança para o início do processo de desenvolvimento (ou seja, “shift left”). Capacite seus profissionais de DevOps para detectar ameaças e vulnerabilidades mais cedo e corrigi-las mais rapidamente, garantindo que os aplicativos e dados estejam em conformidade.

Cargas de trabalho seguras

Detecte e gerencie vulnerabilidades e configurações incorretas de segurança com mais facilidade, além de realizar monitoramento comportamental baseado na rede, aplicação de políticas e segmentação de cargas de trabalho na nuvem com base na identidade.

Governança e conformidade contínuas

Minimize o esgotamento causado por auditorias com controles de segurança automatizados para conformidade e governança contínuas de dados, configurações e permissões.

Plataforma de colaboração em equipe

Incorpore fluxos de trabalho comuns, correlação de dados, informações significativas e correções para reduzir o atrito e promover a colaboração em equipe entre operações de DevSecOps, DevOps e segurança na nuvem.

Recomendações da Gartner sobre a CNAPP

Na pesquisa “Innovation Insight for Cloud-Native Application Protection Platforms”, a Gartner aconselha: “Em vez de tratar o desenvolvimento e a execução como problemas separados (protegidos e verificados por coleções de ferramentas separadas), as empresas devem tratar a segurança e a conformidade como algo contínuo por todo o desenvolvimento e operações e buscar consolidar ferramentas sempre que possível”.

As principais recomendações incluem:

• Implementar uma abordagem de segurança integrada que abranja todo o ciclo de vida dos aplicativos nativos da nuvem, iniciando no desenvolvimento e estendendo-se até a produção
• Examinar os artefatos de desenvolvimento e a configuração da nuvem de forma abrangente e combinar isso à visibilidade em tempo de execução e ao entendimento da configuração para priorizar a correção de riscos
• Avaliar produtos de CNAPP emergentes à medida que os contratos com CSPM e CWPP vencem, e usar essa oportunidade para reduzir a complexidade e consolidar fornecedores

Zscaler e CNAPP

O Posture Control™, da Zscaler, é uma CNAPP de alto desempenho que adota uma abordagem totalmente nova para a segurança de aplicativos nativos da nuvem, oferecendo uma solução 100% sem agente que se correlaciona com vários mecanismos de segurança para priorizar riscos ocultos causados por erros de configuração, ameaças e vulnerabilidades em toda a pilha de nuvem, reduzindo os custos, a complexidade e o atrito entre equipes.

Desenvolvemos nossa plataforma unificada desde o início para priorizar os riscos de segurança de infraestrutura e aplicativos em nuvens distribuídas e ao longo dos ciclos de vida do desenvolvimento e DevOps, permitindo a você:

• Proteger configurações: mantenha controles abrangentes de CSPM infraestrutura, recursos, dados e identidades na nuvem. Saiba mais.
• Proteger direitos: proteja identidades humanas e de máquinas e aplique o acesso de privilégio mínimo. Saiba mais.
• Proteger a infraestrutura como código: antecipe a segurança com os fluxos de trabalho de desenvolvimento e DevOps para corrigir vulnerabilidades e problemas de conformidade. Saiba mais.
• Proteger dados: proteja dados confidenciais em vários repositórios na nuvem e mantenha a visibilidade, o controle e a conformidade. Saiba mais.
• Proteger cargas de trabalho e aplicativos: aproveite o zero trust para proteger hosts, contêineres (por exemplo, Kubernetes) e funções sem servidor por todo o ciclo de vida do aplicativo, sem agentes. Saiba mais.