Zscaler Cloud Platform

CNAPP y SASE: dos plataformas para gestionarlas a todas

Un candado digital

En los albores de un nuevo mercado en la tecnología de la información B2B, es habitual que la comunidad de vendedores presente docenas de productos puntuales, cada uno con sus propios puntos de diferenciación en su ámbito. Ahora mismo no hay ninguna parte en la que este fenómeno sea más obvio que en la seguridad de la nube pública, donde hay muchas siglas de soluciones casi incomprensible por ahí, cada una de las cuales resuelve su propia porción del problema más amplio de la protección de la nube. CSPM, CIEM, DLP, IAM, redes multinube, microsegmentación, escaneado IaC, seguridad de tiempo de ejecución de contenedores y evaluación de vulnerabilidades, por nombrar algunos. 

Incluso en el caso de que tuviera el presupuesto para comprar todas estas herramientas por separado, la complejidad operativa asociada con capacitar al personal, integrar los productos y lidiar con una docena de proveedores diferentes sería una pesadilla. Afortunadamente, a medida que la nube pública madura, las empresas están convergiendo en dos plataformas principales que satisfacen sus necesidades de protección de la carga de trabajo mediante una estrategia basada en la seguridad de confianza cero: las plataformas de protección de aplicaciones nativas de la nube (CNAPP) y el perímetro de servicio de acceso seguro (SASE).

En esencia, la seguridad de confianza cero es un marco construido en torno al concepto de acceso con privilegios mínimos, en el que ningún usuario o aplicación debe ser inherentemente confiable. Lo revolucionario de este enfoque es que es exactamente lo opuesto al enfoque adoptado por la mayoría de las organizaciones en las últimas décadas. Desde principios de la década de los noventa, la seguridad de la información ha girado en torno al concepto de un perímetro seguro que intenta mantener a los malos fuera y a los buenos dentro. 

En la confianza cero, todos y todo se considera hostil. Pero, por supuesto, si se mantiene todo fuera, es difícil que los usuarios y las aplicaciones se comuniquen, por lo que el acceso se otorga solo a lo que es necesario y solo una vez que se ha establecido la identidad y el contexto de riesgo. Si bien la confianza cero ha ganado una amplia adopción para el acceso de los usuarios a las aplicaciones en los últimos años, muchas empresas también la están ampliando a los casos de uso de aplicación a aplicación. 

Ahí entran CNAPP y SASE...

CNAPP y confianza cero

La tarea de una CNAPP es identificar, priorizar y ayudar a mitigar los riesgos de la carga de trabajo en la nube. Estas plataformas proporcionan visibilidad tanto de la infraestructura de la nube pública como de las cargas de trabajo que se ejecutan en dicha infraestructura. Una CNAPP también ayuda a identificar y hacer frente a los riesgos antes de la implementación en la nube mediante la integración en herramientas DevOps y entornos de desarrollo integrados (IDE). 

Las CNAPP proporcionan información estratégica sobre una amplia gama de riesgos en la nube, en lugar de varias categorías de productos previamente separadas. Entre los riesgos se incluyen aquellos relacionados con configuraciones erróneas, privilegios y permisos excesivos, datos confidenciales en reposo, vulnerabilidades de software sin parches y más. Estas plataformas se correlacionan entre funciones para ayudar a priorizar los problemas reales y explotables, y proporcionar una imagen precisa de cómo una empresa podría estar comprometida.

Una CNAPP no solo identifica y prioriza los riesgos de la nube, sino que también ayuda con la reparación de esos riesgos, ya sea a través de la reparación automatizada o mediante la corrección manual guiada. El proceso CNAPP de identificar, priorizar y mitigar los riesgos de la nube es continuo. En entornos dinámicos en la nube, la postura de riesgo cambia constantemente. 

En una arquitectura de confianza cero, CNAPP ofrece el elemento crítico del contexto de riesgo que puede utilizarse para tomar decisiones más informadas sobre el nivel de acceso que debe tener una carga de trabajo dentro y a través de la huella de la nube empresarial. Igual que en el caso de los usuarios, una carga de trabajo en la nube de riesgo debe tener un nivel de acceso limitado hasta que esos factores de riesgo se mitiguen adecuadamente. 

SASE y confianza cero

Con el contexto de riesgo establecido, el siguiente paso es permitir el acceso solo a lo que es necesario. Aquí es donde entra en juego SASE. SASE utiliza la identidad de la carga de trabajo y el contexto de riesgo para verificar los derechos de acceso, aplicando políticas empresariales basadas en ese contexto y en la transacción que se intenta realizar. A medida que cambia el contexto, los privilegios de acceso se reevaluan continuamente. SASE se ha asociado tradicionalmente a la protección de las comunicaciones de los usuarios, y solo recientemente ha empezado a ganar adeptos también como plataforma para la protección de las comunicaciones de la carga de trabajo. 

Las plataformas SASE conectan cargas de trabajo en la nube directamente a otras cargas de trabajo, sin conectarlas a redes, una implementación de comunicaciones de confianza cero para cargas de trabajo. Al brindar esta conectividad y segmentación entre aplicaciones, SASE reduce la posibilidad de que el software malicioso o los malos actores se desplacen lateralmente por la red. SASE permite las comunicaciones de carga de trabajo en la nube para varios casos de uso, incluidos:

  • Nube a nube
  • Centro de datos a nube
  • Nube a Internet
  • Dentro de la nube

Las tecnologías perimetrales tradicionales, como los cortafuegos, utilizan un enfoque de seguridad "de paso", que hace una mala compensación de la protección en favor del rendimiento. Si se encuentra tráfico malicioso, a menudo es demasiado tarde para detenerlo. Una solución basada en SASE realiza una inspección completa de cada transacción, terminando cada conexión para retener e inspeccionar incluso el tráfico cifrado antes de reenviarlo a su destino. La inspección a menudo incluye la prevención de pérdida de datos y amenazas, además del control de acceso. 

Dos partes de un todo

Juntas, CNAPP y SASE proporcionan un enfoque integral de la seguridad de las cargas de trabajo en la nube al proteger las cargas de trabajo y el acceso a las mismas, al tiempo que garantizan un rendimiento óptimo de las aplicaciones y la experiencia del usuario. En los próximos años, se concentrarán cada vez más las funciones que hoy ofrecen los productos puntuales en una de estas dos plataformas. El resultado será la adopción generalizada de la seguridad de confianza cero para las cargas de trabajo de la nube pública, y la simplificación que supone la consolidación de las herramientas. 

Pero, ¿por qué esperar? Póngase en contacto con Zscaler: nos encantaría hablar con usted más sobre cómo puede aprovechar mejor CNAPP y SASE en sus entornos hoy mismo. 

Manténgase informado sobre los últimos consejos y noticias en materia de transformación digital.

Al enviar el formulario, declara estar de acuerdo con nuestra política de privacidad.