¿Qué es una plataforma de protección de aplicaciones nativas de la nube (CNAPP)?

¿Por qué se necesita una CNAPP en la actualidad?

En resumidas cuentas, las soluciones CNAPP son importantes hoy en día porque pueden brindar cobertura completa para los entornos actuales. Los enfoques y herramientas de seguridad tradicionales se diseñaron para proteger los centros de datos y los puntos finales locales, no las aplicaciones y servicios nativos de la nube. Por lo tanto, con el cambio a las tecnologías nativas de la nube y las prácticas de desarrollo moderno (por ejemplo, infraestructura como código [IaC], canalizaciones de CI/CD, contenedores, funciones sin servidor, Kubernetes), esas herramientas de seguridad tradicionales se quedan cortas.

Para garantizar que los servicios en la nube cumplan con las mejores prácticas de seguridad y las exigencias de cumplimiento a la vez que mantienen la velocidad, las organizaciones necesitan un sistema de seguridad de las aplicaciones que identifique el riesgo al principio del desarrollo, que ofrezca una reparación inmediata y que brinde una garantía continua. Además, al desarrollarse en una gran variedad de infraestructuras de nube diferentes, esa seguridad debe ser consistente en todas ellas. La naturaleza interconectada e interdependiente de todo el entramado hace difícil identificar y resolver los problemas de seguridad y las vulnerabilidades empleando los enfoques tradicionales.

Asegurar el entorno en la nube significa proteger las configuraciones del servicio en la nube y el entorno de producción

Entornos dinámicos y efímeros, ciclos de lanzamiento más rápidos y aplicaciones y tecnologías implementadas en la nube (por ejemplo, software e infraestructura como servicio [SaaS e IaaS]), todos conducen a nuevos desafíos de ciberseguridad. Asegurar un entorno en la nube significa garantizar la seguridad de las configuraciones de los servicios en la nube y del entorno de producción como mínimo, siendo la protección en tiempo de ejecución una valiosa capa de protección adicional. Los equipos de seguridad necesitan optimizar la seguridad en la nube y el cumplimiento para dar soporte a DevOps y minimizar la fricción. Para hacerlo, necesitan evolucionar y pasar de proteger la infraestructura a proteger las aplicaciones que se ejecutan en las cargas de trabajo.

Desafíos del uso de herramientas dispares

A medida que las organizaciones crecen orgánicamente, tienden a terminar con una mezcla de tecnologías en uso, con controles de seguridad dispares en varios entornos de nube. Los equipos de seguridad despliegan múltiples herramientas, como CSPM, CIEM, CWPP y otras, para asegurar la infraestructura de la nube y los entornos de producción. Sin embargo, este enfoque hace que sean incapaces de enfocar, priorizar y remediar eficazmente el riesgo, debido a la existencia de:

• Brechas de visibilidad y puntos ciegos de seguridad
• Múltiples fuentes de puntos de datos frente a una única fuente de verdad
• Exceso de información y procesos de recopilación de datos que consumen mucho tiempo
• Fatiga por alertas sin indicación de problemas críticos que requieren atención inmediata
• Recursos, experiencia técnica y formación limitados para cada herramienta
• Complejidad operativa y aumento de los gastos generales por la gestión de cada herramienta por separado

Intentar mantener los controles adecuados utilizando herramientas dispares en entornos complejos requiere mucho tiempo, recursos y esfuerzo manual. Para gestionar eficazmente los riesgos, los equipos de seguridad necesitan un único panel de gestión a través del cual obtener visibilidad y definir políticas de seguridad coherentes en toda la infraestructura de la nube y el entorno de producción.

Idealmente, una solución de seguridad integral, como una CNAPP, puede brindar una cobertura de seguridad integral para ayudarle a mantenerse al día con los entornos efímeros, en contenedores y sin servidor, a la vez que reduce la complejidad y los gastos generales.

Perspectiva y recomendaciones de los analistas

En "Innovation Insight for Cloud-Native Application Protection Platforms", Gartner ofrece este consejo: "En lugar de tratar el desarrollo y el tiempo de ejecución como problemas independientes, que han de ser protegidos y analizados mediante diferentes herramientas separadas, las empresas deben hacer que la seguridad y el cumplimiento estén siempre presentes en el desarrollo y las operaciones y tratar de consolidar las herramientas a utilizar siempre que sea posible". 

Estas son las principales recomendaciones:

• Implemente un enfoque de seguridad integrado que cubra todo el ciclo de vida de las aplicaciones nativas de la nube y que comience en el desarrollo y se extienda a la producción.
• Analice los artefactos de desarrollo y la configuración de la nube de manera integral, y combínelos con la visibilidad del tiempo de ejecución y la concienciación sobre la configuración para dar prioridad a la corrección de riesgos.
• Evalúe las ofertas emergentes de CNAPP a medida que expiran los contratos de CSPM y CWPP, y aproveche esa oportunidad para reducir la complejidad y consolidar los proveedores.

¿Cómo funciona la CNAPP?

Las plataformas CNAPP reúnen múltiples herramientas y funciones de seguridad para reducir la complejidad y los gastos generales, proporcionando:

• Las capacidades combinadas de las herramientas CSPM, CIEM y CWPP
• Correlación de vulnerabilidades, contexto y relaciones a lo largo del ciclo de vida de desarrollo
• Identificación de los riesgos prioritarios con un contexto enriquecido 
• Corrección guiada y automatizada para reparar vulnerabilidades y errores de configuración
• Protecciones para evitar cambios de arquitectura no autorizados
• Fácil integración con los ecosistemas SecOps para enviar alertas en tiempo casi real

Figura 1: Lo que abarca CNAPP (imagen adaptada de Gartner de "How to Protect Your Clouds with CSPM, CWPP, CNAPP y CASB", 6 de mayo de 2021)