Presentamos Zscaler Posture Control, nuestra plataforma de protección de aplicaciones nativas de la nube (CNAPP)

Uno de nuestros valores culturales en Zscaler es la obsesión por el cliente, es decir, se espera que todos los empleados no solo vayan más allá de las expectativas del cliente, sino que comprendan a la perfección los desafíos del cliente para ayudarles a resolverlos mejor. Saber cómo resolver los problemas a los que se enfrentan las empresas no se logra con la lectura de artículos de noticias o informes de analistas (aunque ambos pueden ser útiles), sino manteniendo tantas conversaciones abiertas y directas como sea posible. 

A medida que hemos ampliado nuestra plataforma Zero Trust Exchange en los últimos dos años para proteger las aplicaciones y cargas de trabajo nativas de la nube, así como a los usuarios, nuestros equipos de productos y la dirección han entablado cientos de estas conversaciones. ¿Qué hemos aprendido?

La seguridad en la nube está rota en sus principios fundamentales

En los entornos nativos de la nube actuales, los equipos de desarrollo están innovando más rápidamente que nunca. Las metodologías de desarrollo de aplicaciones se están alejando del modelo tradicional de "cascada" para adoptar procesos más ágiles de integración continua/provisión continua (CI/CD) con automatización de extremo a extremo. Esto significa que los desarrolladores han adoptado arquitecturas basadas en microservicios construidas con contenedores, ensambladas en conductos de desarrollo de estilo DevOps e implementadas de forma programática en infraestructuras en la nube. 

Desafortunadamente, las herramientas de seguridad no han seguido este ritmo y están mal adaptadas a la velocidad y la escala de las aplicaciones nativas de la nube impulsadas por los desarrolladores, centradas en las API e independientes de la infraestructura. La mayor parte de las organizaciones actuales utilizan demasiadas herramientas con diferentes siglas para lograr una cobertura completa de la seguridad en la nube. CSPM, CIEM, análisis IaC, CWPP, CNAPP, DLP, análisis de vulnerabilidades y muchas más forman parte de la "pila" estándar; algunas proceden de proveedores de nube y otras de proveedores de seguridad externos.

El desafío de las herramientas de seguridad para la nube

Estas herramientas puntuales de seguridad para la nube no se integran juntas, abordan solo debilidades de seguridad muy exiguas y tienen dificultades para identificar riesgos, lo que se deriva en problemas como la falta de visibilidad, la complejidad y la fricción entre los equipos multifuncionales que ralentizan el progreso general. 

Para cumplir con la escala y la velocidad del desarrollo de aplicaciones nativas de la nube, las organizaciones necesitan un enfoque de seguridad integral que abarque todo el ciclo de vida de CI/CD para integrarse sin problemas con los flujos de trabajo de los desarrolladores y DevOps. Este enfoque requiere una arquitectura simplificada que se correlacione con las debilidades de la nube y la carga de trabajo para priorizar el riesgo real y brindar una solución a través de los flujos de trabajo preferidos de cada parte interesada lo antes posible en el proceso de desarrollo.

El equipo adecuado para resolver el problema

Cuando se abordan nuevas áreas sustanciales como ésta, es habitual que la gente diga que se necesita el "ADN de una empresa emergente" en el equipo. Sin embargo, otros dirán que "no hay nada que sustituya a quienes han ajustado la escala de una plataforma y han vivido para contarlo". Con Posture Control, el equipo que hemos creado viene de lo mejor de ambos mundos. 

Hemos incrementado significativamente los equipos que llegaron a Zscaler a través de nuestras adquisiciones de Cloudneeti y Trustdome. Hemos contratado equipos enteros que han ajustado la escala de otras plataformas de seguridad en la nube para cubrir nuevas áreas como el análisis de vulnerabilidades y las integraciones DevOps, y hemos hecho transferencias internas de miembros del equipo que convirtió a Zscaler en el gigante de la seguridad en la nube que es en la actualidad.

¿El resultado? Un equipo de cientos de ingenieros brillantes y altamente motivados con el ADN de una empresa emergente y una capacidad comprobada para ajustar la escala, todos ellos centrados en la seguridad de la nube pública y nuestro producto más reciente, Posture Control.

Presentamos Posture Control de Zscaler

Zscaler Posture Control es un CNAPP integral que reimagina la seguridad en la nube. Está diseñado para identificar los riesgos ocultos a lo largo del ciclo de vida de la nube nativa, causados por una combinación de configuraciones erróneas, amenazas y vulnerabilidades. La plataforma correlaciona señales en varios motores de seguridad en la nube para identificar y priorizar sus riesgos y los incidentes de seguridad. Una arquitectura completamente sin agentes agiliza la seguridad de la carga de trabajo (para el 100 % de las cargas de trabajo), y la integración de herramientas nativas significa que los desarrolladores y DevOps pueden identificar y solucionar los problemas de seguridad sin ralentizar su trabajo. 

Figura: interfaz de usuario/tablero de alertas nuevo y global de posture control

De forma crítica, Posture Control se construyó desde cero como una plataforma completamente nueva. El camino esperado habría sido combinar tecnologías como CSPM, de nuestra adquisición de Cloudneeti, y CIEM, de nuestra adquisición de Trustdome, en una única interfaz de usuario y una única cuenta de usuario, pero este enfoque no resolvería los desafíos que nos han comunicado nuestros clientes una y otra vez. Solo si se replantean todos los aspectos del producto, desde la incorporación y la implementación hasta la puntuación y priorización de los riesgos, puede un producto como este satisfacer las necesidades del presente y el futuro.

Figura: investigación de relación de riesgos y amenazas y resultados de ruta de ataque

En el centro de la plataforma se encuentra una base de datos unificada que obtiene datos procedentes de numerosas fuentes para identificar y analizar las combinaciones de debilidades de la nube y la carga de trabajo que los atacantes tienen más probabilidades de explotar. La priorización resultante basada en el riesgo hace que los equipos de InfoSec sean mucho más eficientes. 

Las integraciones nativas en los flujos de trabajo de desarrollo y DevOps permiten que esos mismos equipos se asocien de forma más eficaz con la organización del director de tecnología, lo que minimiza los costosos y lentos reprocesos de seguridad, así como el número de puntos débiles que se abren paso en sus entornos de producción en la nube. 

Zscaler para cargas de trabajo

Combinado con Zscaler Internet Access (ZIA) para cargas de trabajo y Zscaler Private Access (ZPA) para cargas de trabajo, que protege las aplicaciones en tiempo de ejecución, Zscaler Posture Control ofrece una protección completa tanto para las aplicaciones nativas de la nube como para las tradicionales que se ejecutan en cualquier servicio y nube.

Más información sobre el control de postura

Posture Control está disponible públicamente: contáctenos hoy mismo para obtener más información, programar una demostración o solicitar una prueba.