/ O que é uma plataforma de proteção de aplicativos nativa da nuvem (CNAPP)?
O que é uma plataforma de proteção de aplicativos nativa da nuvem (CNAPP)?
Uma plataforma de proteção de aplicativos nativos da nuvem (CNAPP) é uma solução de segurança e conformidade que ajuda as equipes a desenvolver, implantar e executar aplicativos nativos da nuvem seguros nos atuais ambientes de nuvem pública altamente automatizados e dinâmicos. A CNAPP também ajuda as equipes de segurança a colaborar de forma mais eficaz com desenvolvedores e DevOps. A CNAPP compreende uma nova categoria de plataforma de segurança na nuvem, consolidando CSPM, CIEM, IAM, CWPP, proteção de dados e outros recursos.
Por que a CNAPP é importante?
As ferramentas e abordagens tradicionais de segurança foram projetadas para proteger data centers e terminais locais, não aplicativos e serviços nativos da nuvem. Com a mudança para tecnologias nativas da nuvem, ambientes dinâmicos e efêmeros com forte automação, ciclos de lançamento mais rápidos e práticas modernas de desenvolvimento (como infraestrutura como código [IaC], pipelines de CI/CD, contêineres, funções sem servidor, Kubernetes), essas ferramentas se tornaram ineficazes.
Mudanças ocorrem com frequência na nuvem pública, e as equipes de segurança precisam cuidar da segurança e da conformidade, de preferência sem desacelerar toda a organização. Para fazer isso, elas precisam identificar os problemas e as vulnerabilidade de segurança no início do desenvolvimento, acelerar as correções e oferecer segurança e garantia contínuas e consistentes. Infelizmente, realizar tudo isso em meio a todas as interdependências dos ambientes modernos pode ser bastante difícil com uma abordagem tradicional.
Para otimizar a segurança e a conformidade na nuvem para apoiar o DevOps e minimizar o atrito, as equipes de segurança precisam evoluir da proteção da infraestrutura para a proteção de aplicativos executados em cargas de trabalho. Isso significa garantir um nível mínimo de segurança das configurações de serviços na nuvem e do ambiente de produção, com a proteção do tempo de execução sendo uma valiosa camada adicional de proteção.
Principais componentes da CNAPP
Uma CNAPP eficaz ajuda as equipes de segurança a correlacionar informações de uma ampla variedade de sinais em um único panorama para identificar e priorizar os maiores riscos da organização, reunindo:
- Gerenciamento da postura de segurança na nuvem (CSPM) para monitorar, identificar, alertar e corrigir erros de conformidade e configuração em ambientes de nuvem
- Segurança de infraestrutura como código para detectar erros de configuração de código no início do ciclo de vida do desenvolvimento de software, para evitar vulnerabilidades em tempo de execução
- Conformidade e governança para gerenciar o status de conformidade e corrigir desvios de configuração e violações de políticas nos ambientes multinuvem
- Gerenciamento de direitos na infraestrutura de nuvem (CIEM) para mitigar os riscos de violações de dados em nuvens públicas, monitorando continuamente as permissões e atividades
- Proteção de dados para monitorar, classificar e inspecionar dados e evitar a exfiltração de dados críticos via phishing, usuários internos mal-intencionados ou outras ameaças cibernéticas
- Gerenciamento de identidade e acesso (IAM) para controlar o acesso a recursos internos, garantindo que as permissões dos usuários concedam acesso apropriado aos sistemas e dados
- Plataformas de proteção de cargas de trabalho na nuvem (CWPP) para oferecer visibilidade e controle de máquinas físicas, VMs, contêineres e cargas de trabalho sem servidor em ambientes híbridos, multinuvem e data centers
Desafios de uma abordagem legada
À medida que as organizações crescem, elas tendem a adotar um misto de tecnologias, com controles de segurança diferentes em vários ambientes de nuvem. As equipes de segurança implantam CSPM, CIEM, CWPP e outras ferramentas para proteger a infraestrutura na nuvem e os ambientes de produção. Essa abordagem impede que as equipes foquem, priorizem e corrijam os riscos de maneira eficaz, graças a:
- Lacunas de visibilidade e pontos cegos de segurança
- Diversas fontes de dados, sem uma única fonte confiável
- Excesso de informações e processos demorados de correlação de dados
- Fadiga de alertas, sem destaque para os problemas críticos que exigem atenção
- Recursos, conhecimento técnico e treinamentos limitados sobre cada ferramenta
- Alta complexidade operacional e sobrecarga por gerenciar cada ferramenta separadamente
Tentar manter os controles adequados ao usar ferramentas diferentes em ambientes complexos exige muito tempo, recursos e esforço manual e, muitas vezes, isso não é suficiente.
Benefícios da CNAPP
Por ser uma solução de segurança unificada, a CNAPP oferece cobertura completa de segurança para auxiliar no acompanhamento de ambientes efêmeros, sem servidor e em contêineres, oferecendo:
- Um único painel, melhorando a colaboração e a eficiência das equipes, permitindo identificar e correlacionar problemas menores, eventos individuais e vetores de ataque ocultos em fluxos visuais intuitivos com alertas, recomendações e orientações de correção que auxiliam na tomada de decisões.
- Redução de complexidade e sobrecarga, substituindo diversos produtos para fins específicos por uma visão completa dos riscos, oferecendo uma visibilidade abrangente das configurações, ativos, permissões, código e cargas de trabalho. Uma CNAPP analisa milhões de atributos para priorizar os riscos mais críticos.
- Cobertura abrangente da nuvem e dos serviços, com visibilidade e informações sobre toda a sua presença multinuvem, incluindo IaaS e PaaS e se estendendo por VMs, contêineres, cargas de trabalho sem servidor e ambientes de desenvolvimento para identificar e corrigir riscos antecipadamente.
- Segurança na velocidade do DevOps, com a integração de plataformas de IDE para identificar erros de configuração ou problemas de conformidade durante o desenvolvimento e o CI/CD, além da integração com ecossistemas de SecOps para acionar alertas, incidentes e fluxos de trabalho sobre violações para que as equipes possam agir imediatamente.
- Proteções para distribuir a responsabilidade da segurança, injetando controles de segurança em cada nível do ciclo de DevOps, com integrações nativas sobre as ferramentas de desenvolvimento e DevOps existentes. A implementação de proteções permite aos desenvolvedores assumir a segurança de seu trabalho, reduzindo o atrito entre as equipes de segurança e DevOps e oferecendo mais suporte ao DevSecOps.
Como a CNAPP funciona?
As plataformas de CNAPP reúnem várias ferramentas e funções de segurança para reduzir a complexidade e a sobrecarga, oferecendo:
- A combinação de recursos das ferramentas de CSPM, CIEM e CWPP
- Correlação de vulnerabilidades, contexto e relacionamentos em todo o ciclo de vida do desenvolvimento
- Identificação rica em contexto dos riscos de alta prioridade
- Correções guiadas e automatizadas para vulnerabilidades e erros de configuração
- Proteções para evitar alterações de arquitetura não autorizadas
- Fácil integração com ecossistemas de SecOps para enviar alertas quase em tempo real
O que a CNAPP abrange (imagem adaptada de “How to Protect Your Clouds with CSPM, CWPP, CNAPP, and CASB”. Gartner, 6 de maio de 2021)
Principais recursos da CNAPP
Por convergirem tantas ferramentas de segurança e conformidade, as CNAPPs possuem dezenas de recursos específicos. Vejamos de forma geral o que uma CNAPP proporciona para sua empresa.
Infraestrutura multinuvem segura
Descubra todos os aplicativos, APIs, recursos na nuvem, identidades e dados sigilosos. Obtenha visibilidade completa de recursos em conformidade e em não conformidade na AWS, Azure e Google Cloud e priorize sua correção com base no risco.
Ambiente de produção seguro
Antecipe a segurança para o início do processo de desenvolvimento (ou seja, “shift left”). Capacite seus profissionais de DevOps para detectar ameaças e vulnerabilidades mais cedo e corrigi-las mais rapidamente, garantindo que os aplicativos e dados estejam em conformidade.
Cargas de trabalho seguras
Detecte e gerencie vulnerabilidades e configurações incorretas de segurança com mais facilidade, além de realizar monitoramento comportamental baseado na rede, aplicação de políticas e segmentação de cargas de trabalho na nuvem com base na identidade.
Governança e conformidade contínuas
Minimize o esgotamento causado por auditorias com controles de segurança automatizados para conformidade e governança contínuas de dados, configurações e permissões.
Plataforma de colaboração em equipe
Incorpore fluxos de trabalho comuns, correlação de dados, informações significativas e correções para reduzir o atrito e promover a colaboração em equipe entre operações de DevSecOps, DevOps e segurança na nuvem.
Recomendações da Gartner sobre a CNAPP
Na pesquisa “Innovation Insight for Cloud-Native Application Protection Platforms”, a Gartner aconselha: “Em vez de tratar o desenvolvimento e a execução como problemas separados (protegidos e verificados por coleções de ferramentas separadas), as empresas devem tratar a segurança e a conformidade como algo contínuo por todo o desenvolvimento e operações e buscar consolidar ferramentas sempre que possível”.
As principais recomendações incluem:
- Implementar uma abordagem de segurança integrada que abranja todo o ciclo de vida dos aplicativos nativos da nuvem, iniciando no desenvolvimento e estendendo-se até a produção
- Examinar os artefatos de desenvolvimento e a configuração da nuvem de forma abrangente e combinar isso à visibilidade em tempo de execução e ao entendimento da configuração para priorizar a correção de riscos
- Avaliar produtos de CNAPP emergentes à medida que os contratos com CSPM e CWPP vencem, e usar essa oportunidade para reduzir a complexidade e consolidar fornecedores
Zscaler e CNAPP
O Posture Control™, da Zscaler, é uma CNAPP de alto desempenho que adota uma abordagem totalmente nova para a segurança de aplicativos nativos da nuvem, oferecendo uma solução 100% sem agente que se correlaciona com vários mecanismos de segurança para priorizar riscos ocultos causados por erros de configuração, ameaças e vulnerabilidades em toda a pilha de nuvem, reduzindo os custos, a complexidade e o atrito entre equipes.
Desenvolvemos nossa plataforma unificada desde o início para priorizar os riscos de segurança de infraestrutura e aplicativos em nuvens distribuídas e ao longo dos ciclos de vida do desenvolvimento e DevOps, permitindo a você:
- Proteger configurações: mantenha controles abrangentes de CSPM infraestrutura, recursos, dados e identidades na nuvem. Saiba mais.
- Proteger direitos: proteja identidades humanas e de máquinas e aplique o acesso de privilégio mínimo. Saiba mais.
- Proteger a infraestrutura como código: antecipe a segurança com os fluxos de trabalho de desenvolvimento e DevOps para corrigir vulnerabilidades e problemas de conformidade. Saiba mais.
- Proteger dados: proteja dados confidenciais em vários repositórios na nuvem e mantenha a visibilidade, o controle e a conformidade. Saiba mais.
- Proteger cargas de trabalho e aplicativos: aproveite o zero trust para proteger hosts, contêineres (por exemplo, Kubernetes) e funções sem servidor por todo o ciclo de vida do aplicativo, sem agentes. Saiba mais.