¿Qué es una plataforma de protección de aplicaciones nativas de la nube (CNAPP)?

¿Por qué es importante la CNAPP?

Los enfoques y las herramientas de seguridad tradicionales se diseñaron para proteger los centros de datos y los puntos finales locales, no las aplicaciones y los servicios nativos de la nube. Con el paso a las tecnologías nativas de la nube, los entornos dinámicos y efímeros con una fuerte automatización, los ciclos de lanzamiento más rápidos y las prácticas de desarrollo modernas (por ejemplo, la infraestructura como código [IaC], los conductos de CI/CD, los contenedores, las funciones sin servidor, Kubernetes), esas herramientas se quedan cortas.

Los cambios se producen con frecuencia en la nube pública y el equipo de seguridad debe encargarse de la seguridad y el cumplimiento de las normativas, idealmente sin ralentizar el rendimiento de la organización. Para ello, debe identificar los problemas de seguridad y las vulnerabilidades en una fase temprana del desarrollo, acelerar la corrección y proporcionar una seguridad y garantía continuas y coherentes. Desafortunadamente, lograr todo eso con las muchas interdependencias en entornos modernos puede ser un proceso bastante difícil con un enfoque tradicional.

Para optimizar la seguridad y el cumplimiento de las normas en la nube con el fin de apoyar a DevOps y minimizar la fricción, los equipos de seguridad deben evolucionar y pasar de proteger la infraestructura a proteger las aplicaciones que se ejecutan en las cargas de trabajo. Esto significa garantizar la seguridad de las configuraciones de los servicios en la nube y del entorno de producción como mínimo, siendo la protección en tiempo de ejecución una valiosa capa de protección adicional.

Componentes clave de una CNAPP

Una CNAPP eficaz ayuda a los equipos de seguridad a correlacionar la información de una amplia gama de señales en una sola vista para identificar y priorizar los mayores riesgos de la organización, combinando:

• Gestión de la postura de seguridad en la nube (CSPM) para supervisar, identificar, alertar y corregir los riesgos y configuraciones erróneas de cumplimiento en entornos de nube.
  • Seguridad de la infraestructura como código para detectar errores de configuración en el código en una fase temprana del ciclo de vida del desarrollo de software, a fin de evitar vulnerabilidades en tiempo de ejecución.
  • Cumplimiento y gobernanza para gestionar el estado de cumplimiento, así como para remediar la deriva de la configuración y las infracciones de las políticas en los entornos multinube.
• Gestión de derechos de infraestructura en la nube (CIEM) para mitigar el riesgo de infracciones de datos en nubes públicas mediante la supervisión continua de permisos y actividades.
• Protección de datos para supervisar, clasificar e inspeccionar la información y evitar la exfiltración de datos críticos como resultado de la suplantación de identidad, de amenazas internas maliciosas o de otras amenazas cibernéticas.
• Gestión de identidad y acceso (IAM) para controlar el acceso a los recursos internos y garantizar que los permisos de los usuarios les otorguen el acceso adecuado a los sistemas y datos.
• Plataformas de protección de cargas de trabajo en la nube (CWPP) para proporcionar visibilidad y control de máquinas físicas, VM, contenedores y cargas de trabajo sin servidor en entornos híbridos, multinube y de centros de datos.

Desafíos de un enfoque heredado

A medida que las organizaciones crecen, tienden a terminar con una mezcla de tecnologías y con controles de seguridad dispares en varios entornos de nube. Los equipos de seguridad despliegan CSPM, CIEM, CWPP y otras herramientas para asegurar la infraestructura de la nube y los entornos de producción. Sin embargo, este enfoque hace que sean incapaces de enfocar, priorizar y remediar eficazmente el riesgo, debido a la existencia de:

• Brechas de visibilidad y puntos ciegos de seguridad
• Múltiples fuentes de datos, sin una única fuente confiable
• Exceso de información y procesos de correlación de datos que consumen mucho tiempo
• Alerta de fatiga sin indicación de problemas críticos que necesitan atención
• Recursos, experiencia técnica y formación limitados para cada herramienta
• Alta complejidad operativa y sobrecarga por la gestión de cada herramienta por separado

Intentar mantener los controles adecuados utilizando herramientas dispares en entornos complejos requiere mucho tiempo, recursos y esfuerzo, y a menudo no es suficiente para mantenerse al día.

Ventajas de CNAPP

Como solución de seguridad unificada, una CNAPP ofrece una cobertura de seguridad completa para ayudarle a seguir el ritmo de los entornos efímeros, en contenedores y sin servidores, proporcionando:

• Un único panel, lo que mejora la colaboración y la eficiencia del equipo al identificar y relacionar problemas menores, eventos individuales y vectores de ataque ocultos a través de flujos visuales intuitivos con alertas, recomendaciones y guías de corrección para apoyar la toma de decisiones basada en los datos.
• Reducción de la complejidad y la sobrecarga, mediante la sustitución de múltiples productos puntuales por una imagen completa del riesgo a través de la visibilidad integral de configuraciones, activos, permisos, código y cargas de trabajo. Una CNAPP analiza millones de atributos para priorizar los riesgos más importantes.
• Cobertura integral de la nube y los servicios, con visibilidad e información de toda su huella multinube, incluidos IaaS y PaaS, que se extienden a las cargas de trabajo sin servidor, VM y contenedores, y a los entornos de desarrollo, para identificar y corregir los riesgos de forma temprana.
• Seguridad a la velocidad de DevOps: integración con plataformas IDE para identificar errores de configuración o problemas de cumplimiento durante el desarrollo y CI/CD, así como con ecosistemas de SecOps para activar alertas, tickets y flujos de trabajo cuando haya infracciones para que los equipos puedan actuar inmediatamente.
• Barreras de protección para distribuir la responsabilidad de la seguridad: inyectar controles de seguridad en cada nivel del ciclo de DevOps, con integraciones nativas en herramientas de desarrollo y DevOps existentes. La implantación de barreras de protección permite a los desarrolladores hacerse cargo de la seguridad en su trabajo, reduciendo la fricción entre la seguridad y el equipo de DevOps para apoyar mejor a DevSecOps.

¿Cómo funciona la CNAPP?

Las plataformas CNAPP reúnen múltiples herramientas y funciones de seguridad para reducir la complejidad y los gastos generales, proporcionando:

• Las capacidades combinadas de las herramientas CSPM, CIEM y CWPP
• Correlación de vulnerabilidades, contexto y relaciones a lo largo del ciclo de vida de desarrollo
• Identificación de los riesgos prioritarios con un contexto enriquecido
• Corrección guiada y automatizada para reparar vulnerabilidades y errores de configuración
• Protecciones para evitar cambios de arquitectura no autorizados
• Fácil integración con los ecosistemas SecOps para enviar alertas en tiempo casi real

Qué incluye la CNAPP (imagen adaptada de How to Protect Your Clouds with CSPM, CWPP, CNAPP, and CASB (Cómo proteger sus nubes con CSPM, CWPP, CNAPP y CASB), Gartner, 6 de mayo de 2021).

Capacidades principales de una CNAPP

Por ser una convergencia de tantas herramientas de seguridad y cumplimiento, las CNAPP tienen numerosas capacidades específicas. Veamos en términos generales lo que una CNAPP permite hacer a su organización.

Infraestructura de nube múltiple segura

Descubra todas las aplicaciones, API, recursos en la nube, identidades y datos confidenciales. Obtenga una visibilidad completa de los recursos conformes y no conformes en AWS, Azure y Google Cloud y priorice su corrección en función del riesgo.

Entorno de producción seguro

Traslade la seguridad a un momento anterior en el proceso de desarrollo (es decir, "moverla a la izquierda en la línea de desarrollo"). Capacite a sus profesionales de DevOps para detectar amenazas y vulnerabilidades antes y solucionarlas más rápido, para garantizar que las aplicaciones y los datos cumplan con las normas.

Cargas de trabajo seguras

Detecte y gestione con mayor facilidad las vulnerabilidades y las configuraciones incorrectas de seguridad y haga una supervisión conductual basada en la red, aplique las políticas y la segmentación de la carga de trabajo en la nube basada en identidad.

Gobernanza y cumplimiento continuos

Minimice la fatiga de las auditorías con controles de seguridad automatizados para el cumplimiento continuo y el gobierno de los datos, las configuraciones y los permisos.

Plataforma de colaboración en equipo

Incorpore flujos de trabajo comunes, correlación de datos, perspectivas significativas y correcciones para reducir la fricción y fomentar la colaboración en equipo entre DevSecOps, DevOps y operaciones de seguridad en la nube.

Recomendaciones de Gartner en cuanto a las CNAPP

En Innovation Insight for Cloud-Native Application Protection Platforms (Información sobre la innovación en las plataformas de protección de aplicaciones nativas de la nube), Gartner ofrece este consejo: "En lugar de tratar el desarrollo y el tiempo de ejecución como problemas independientes, que han de ser protegidos y analizados mediante diferentes herramientas, las empresas deben hacer que la seguridad y el cumplimiento estén siempre presentes en el desarrollo y las operaciones, y tratar de consolidar las herramientas que se van utilizar siempre que sea posible".

Estas son las principales recomendaciones:

• Implemente un enfoque de seguridad integrado que cubra todo el ciclo de vida de las aplicaciones nativas de la nube y que comience en el desarrollo y se extienda a la producción.
• Analice los artefactos de desarrollo y la configuración de la nube de manera integral, y combínelos con la visibilidad del tiempo de ejecución y la concienciación sobre la configuración para dar prioridad a la corrección de riesgos.
• Evalúe las ofertas emergentes de CNAPP a medida que expiran los contratos de CSPM y CWPP, y aproveche esa oportunidad para reducir la complejidad y consolidar los proveedores.

Zscaler y CNAPP

Posture Control™ de Zscaler es una CNAPP de alto rendimiento que adopta un enfoque radicalmente nuevo para la seguridad de aplicaciones nativas de la nube con una solución 100 % sin agente que se combina con múltiples motores de seguridad para priorizar los riesgos ocultos causados por configuraciones erróneas, amenazas y vulnerabilidades en toda la pila de la nube, con lo que se consigue una reducción de costes, complejidad y fricciones entre equipos.

Construimos nuestra plataforma unificada desde cero para priorizar los riesgos de seguridad de la infraestructura y las aplicaciones en nubes distribuidas, a lo largo de los ciclos de vida de desarrollo y DevOps, para garantizar:

• Seguridad de las configuraciones: mantenga controles integrales de CSPM en toda la infraestructura, los recursos, los datos y las identidades de la nube. Más información.
• Seguridad de los derechos: proteja las identidades humanas y de las máquinas al tiempo que aplica el acceso con menos privilegios. Más información.
• Seguridad de la infraestructura como código: traslade la seguridad a los flujos de trabajo de desarrollo y DevOps para corregir vulnerabilidades y problemas de cumplimiento. Más información.
• Seguridad de los datos: proteja los datos confidenciales en varios depósitos en la nube, manteniendo la visibilidad, el control y el cumplimiento. Más información.
• Seguridad de las cargas de trabajo y las aplicaciones: aproveche la confianza cero para proteger sin agentes los hosts, los contenedores (por ejemplo, Kubernetes) y las funciones sin servidor en todo el ciclo de vida de la aplicación. Más información.