Zpedia 

/ Cos'è una Cloud Native Application Protection Platform (CNAPP)?

Cos'è una Cloud Native Application Protection Platform (CNAPP)?

Una CNAPP, o piattaforma di protezione delle applicazioni native del cloud, è una soluzione per la sicurezza e la conformità che aiuta i team a creare, distribuire ed eseguire applicazioni native del cloud sicure negli ambienti cloud pubblici di oggi, che sono altamente dinamici e automatizzati. Le CNAPP aiutano inoltre i team di sicurezza a collaborare più efficacemente con sviluppatori e DevOps. La CNAPP rappresenta una nuova categoria di piattaforme di sicurezza sul cloud, che riunisce CSPM, CIEM, IAM, CWPP, protezione dati e altre funzionalità.

Perché la CNAPP è importante?

Gli approcci e gli strumenti di sicurezza tradizionali sono stati concepiti per proteggere i data center e gli endpoint on-premise, non le app e i servizi nativi del cloud. Il passaggio alle tecnologie native del cloud, ad ambienti effimeri e dinamici incentrati sull'automazione, a cicli di rilascio sempre più rapidi e a pratiche di sviluppo moderne (come infrastruttura come codice [IaC], pipeline CI/CD, container, funzioni serverless, Kubernetes) ha reso gli strumenti di sicurezza tradizionali del tutto inefficaci.

Sul cloud pubblico, le modifiche sono all'ordine del giorno, e il team addetto alla sicurezza deve gestire la sicurezza e la conformità senza rallentare l'intera organizzazione. Per farlo, deve identificare i problemi di sicurezza e le vulnerabilità fin dalle prime fasi di sviluppo, accelerare la correzione e fornire una protezione continua e uniforme. Purtroppo, realizzare tutto questo nel mezzo delle numerose interdipendenze degli ambienti moderni può risultare molto complesso con un approccio tradizionale.

Per ottimizzare la sicurezza sul cloud e la conformità, supportare le operazioni DevOps e ridurre al minimo gli attriti, i team responsabili della sicurezza devono evolversi e non pensare a proteggere l'infrastruttura, bensì le applicazioni sui carichi di lavoro. In questo modo, è possibile garantire un livello minimo di sicurezza delle configurazioni dei servizi cloud e dell'ambiente di produzione, e la protezione del runtime rappresenta un ulteriore e valido livello di protezione.

I componenti principali di una CNAPP

Una CNAPP efficace aiuta i team responsabili della sicurezza a correlare le informazioni provenienti da un'ampia gamma di segnali generando una panoramica unificata per identificare e assegnare la priorità ai rischi maggiori per l'organizzazione, sfruttando:

  • CSPM (Cloud Security Posture Management), per monitorare, identificare, segnalare e correggere i rischi per la conformità e gli errori di configurazione negli ambienti cloud;
    • Sicurezza dell'IaC, per rilevare gli errori di configurazione nel codice nelle prime fasi del ciclo di sviluppo del software e prevenire le vulnerabilità in fase di runtime;
    • Conformità e governance, per gestire lo stato di conformità e correggere le deviazioni nelle configurazioni e le violazioni delle policy negli ambienti multicloud;
  • CIEM (Cloud Infrastructure Entitlement Management), per mitigare il rischio di subire violazioni dei dati sui cloud pubblici, monitorando costantemente le autorizzazioni e le attività;
  • Protezione dei dati, per monitorare, classificare e ispezionare i dati e prevenire l'esfiltrazione dei dati critici dovuta a phishing, insider malintenzionati o altre minacce informatiche;
  • IAM (Identity and Access Management), per controllare l'accesso alle risorse interne e accertarsi che le autorizzazioni concesse agli utenti garantiscano loro un accesso appropriato ai sistemi e ai dati;
  • CWPP (Cloud Workload Protection Platform), per fornire visibilità e controllo su macchine fisiche, VM, container e carichi di lavoro serverless in ambienti ibridi, multicloud e data center.

Le problematiche di un approccio legacy

Man mano che le organizzazioni crescono, tendono a ritrovarsi con una moltitudine di tecnologie isolate e controlli di sicurezza incoerenti nei vari ambienti cloud. I team di sicurezza distribuiscono quindi soluzioni CSPM, CIEM, CWPP e altri strumenti per proteggere l'infrastruttura cloud e gli ambienti di produzione. Tuttavia, questo approccio impedisce loro di concentrarsi in modo efficace sugli obiettivi, assegnare le giuste priorità e mitigare i rischi, a causa di:

  • Gap nella visibilità e punti ciechi nella sicurezza;
  • Punti dati provenienti da più fonti, e non da un'unica fonte attendibile;
  • Esubero di informazioni e processi di correlazione dei dati che richiedono molto tempo;
  • Processo di segnalazione gravoso, che non fornisce indicazioni sui problemi critici che richiedono un'attenzione immediata;
  • risorse limitate, necessità di competenze tecniche e formazione per ogni singolo strumento;
  • Elevata complessità operativa e incremento dei costi, perché ogni strumento va gestito separatamente.

Cercare di preservare controlli adeguati utilizzando molteplici strumenti singoli in ambienti complessi è un'attività che richiede molto tempo, risorse e impegno manuale e che spesso non porta ai risultati sperati.

I vantaggi della CNAPP

La CNAPP è una soluzione di sicurezza unificata in grado di offrire una copertura totale per aiutarti a gestire ambienti effimeri, containerizzati e serverless. Ti fornisce:

  • Un'unica console, che migliora la collaborazione e l'efficienza dei team identificando e correlando problemi di gravità ridotta, singoli eventi e vettori di attacco nascosti con flussi visivi intuitivi, che includono segnalazioni, suggerimenti e linee guida per la risoluzione, per permetterti di prendere le giuste decisioni.
  • Riduzione della complessità e dei costi, permettendoti di sostituire una moltitudine di prodotti singoli con una visione completa del rischio che ti offre visibilità su configurazioni, risorse, autorizzazioni, codice e carichi di lavoro. Una CNAPP analizza milioni di attributi per assegnare la priorità ai rischi più critici.
  • La copertura completa del cloud e dei servizi, con visibilità e approfondimenti sull'intera presenza multicloud dell'azienda, che include IaaS e PaaS e si estende a VM, container, carichi di lavoro serverless e agli ambienti di sviluppo, per identificare e correggere tempestivamente i rischi.
  • Sicurezza alla velocità delle operazioni DevOps, che si integra con le piattaforme IDE per identificare gli errori di configurazione o i problemi di conformità durante le operazioni di sviluppo e CI/CD, e con gli ecosistemi SecOps per avviare segnalazioni, ticket e flussi di lavoro in caso di violazioni, in modo che i team possano agire in modo immediato.
  • Protezioni per delineare le responsabilità di sicurezza, con l'inserimento di controlli di sicurezza a ogni livello del ciclo DevOps, sfruttando le integrazioni native negli strumenti esistenti. L'implementazione delle protezioni consente agli sviluppatori di assumersi responsabilità di sicurezza e di ridurre l'attrito tra i team di sicurezza e DevOps, per supportare al meglio le operazioni di DevSecOps.

Come funziona una CNAPP?

Le piattaforme CNAPP riuniscono molteplici strumenti e funzioni di sicurezza per ridurre la complessità e le spese generali, e offrono:

  • le funzionalità combinate degli strumenti CSPM, CIEM e CWPP;
  • correlazione di vulnerabilità, contesto e relazioni nell'intero ciclo di sviluppo;
  • identificazione dei rischi ad alta priorità con un contesto arricchito;
  • correzione guidata e automatica per risolvere le vulnerabilità e gli errori di configurazione;
  • limitazioni per impedire le modifiche non autorizzate all'architettura;
  • facile integrazione con gli ecosistemi SecOps, per inviare segnalazioni praticamente in tempo reale.

Testimonianza

La combinazione di CWPP e CSPM offre sinergia, e sono molti i fornitori che stanno seguendo questa strada. Questa combinazione creerà una nuova categoria di strumenti per la protezione delle app cloud, che scansioneranno i carichi di lavoro e le configurazioni durante lo sviluppo e li proteggeranno in fase di runtime.

Gartner, Guida di mercato sulle piattaforme di protezione dei carichi di lavoro cloud

cn

Cosa comprende una CNAPP (immagine riadattata da "How to Protect Your Clouds with CSPM, CWPP, CNAPP, and CASB", Gartner, 6 maggio 2021)

Le funzionalità principali di una piattaforma CNAPP

Le piattaforme CNAPP rappresentano la convergenza di molti strumenti di sicurezza e conformità, ed è per questo che offrono decine di funzionalità specifiche. Diamo un'occhiata al modo in cui una CNAPP può supportare le operazioni delle aziende.

Infrastruttura multicloud sicura

Individua tutte le app, le API, le risorse cloud, le identità e i dati sensibili, acquisisci una visibilità completa sulla conformità delle risorse su AWS, Azure e Google Cloud e assegna la priorità per la risoluzione dei problemi in base al rischio.

Ambiente di produzione sicuro

Ottieni maggiore sicurezza nelle fasi iniziali del processo di sviluppo, ad esempio nella fase di test shift-left. Fornisci ai tuoi professionisti DevOps la possibilità di rilevare e risolvere più rapidamente le minacce e le vulnerabilità, assicurando così la conformità di dati e applicazioni.

Carichi di lavoro sicuri

Rileva e gestisci più facilmente le vulnerabilità e gli errori di configurazione della sicurezza ed esegui il monitoraggio del comportamento basato sulla rete, applica le policy e segmenta i carichi di lavoro cloud in base all'identità.

Governance e conformità continue

Riduci al minimo lo stress legato alle ispezioni, con controlli di sicurezza automatizzati per la continuità di conformità e governance su dati, configurazioni e autorizzazioni.

Piattaforma per la collaborazione tra team

Incorpora flussi di lavoro comuni, attività di correlazione dei dati, raccolta di informazioni utili e correzione per rimuovere gli ostacoli e promuovere la collaborazione tra i team DevSecOps, DevOps e addetti alle operazioni di sicurezza sul cloud.

Le raccomandazioni di Gartner sulla CNAPP

In "Innovation Insight for Cloud-Native Application Protection Platforms", Gartner offre questo suggerimento: "Invece di considerare lo sviluppo e il runtime come problemi distinti, che vengono protetti e scansionati con un insieme di strumenti separati, le aziende devono considerare la sicurezza e la conformità come delle costanti nello sviluppo e nelle operazioni, e cercare, quando possibile, di consolidare gli strumenti".

Le principali raccomandazioni includono:

  • implementare un approccio di sicurezza integrato, che copra l'intero ciclo di vita delle applicazioni native del cloud, dallo sviluppo alla produzione;
  • scansionare gli artefatti di sviluppo e la configurazione del cloud in modo completo e combinare questa operazione con la visibilità sul runtime e l'attenzione alla configurazione, per dare la priorità alla risoluzione dei rischi;
  • valutare l'offerta di soluzioni CNAPP disponibili alla scadenza dei contratti degli strumenti CSPM e CWPP e sfruttare questa opportunità per ridurre la complessità e consolidare i fornitori.

Testimonianza

Il vantaggio principale di un approccio CNAPP consiste in una migliore visibilità e nel controllo dei rischi associati all'utilizzo di applicazioni cloud.

Gartner, Innovation Insight for Cloud-Native Application Protection Platforms

Zscaler e CNAPP

Posture Control™ di Zscaler è una CNAPP ad alte prestazioni che adotta un approccio radicalmente nuovo alla sicurezza delle applicazioni native del cloud, sfruttando una soluzione al 100% agentless che correla i dati di più motori di sicurezza per assegnare la priorità ai rischi nascosti causati da errori di configurazione, minacce e vulnerabilità nell'intero stack di servizi cloud, riducendo i costi, la complessità e l'attrito tra i vari team.

Abbiamo realizzato la nostra piattaforma unificata da zero per assegnare la priorità ai rischi di sicurezza nell'infrastruttura e nelle applicazioni, nei cloud distribuiti e nei cicli di sviluppo e di DevOps, per permetterti di:

  • Proteggere le configurazioni: mantieni controlli CSPM completi su infrastruttura cloud, risorse, dati e identità. Scopri di più.
  • Proteggere i diritti: proteggi le identità di persone e dispositivi applicando l'accesso a privilegi minimi. Scopri di più.
  • Proteggere la IaC (Infrastructure as Code): sposta la sicurezza all'inizio dei flussi di lavoro di sviluppo e di DevOps per correggere vulnerabilità e problemi di conformità. Scopri di più.
  • Proteggere i dati: proteggi i dati riservati su più repository cloud e preserva la visibilità, il controllo e la conformità. Scopri di più.
  • Proteggere i carichi di lavoro e le applicazioni: sfrutta lo zero trust per proteggere senza agente host, container (ad esempio Kubernetes) e funzioni serverless nell'intero ciclo di vita delle applicazioni. Scopri di più.

Risorse suggerite

CNAPP e SASE: due piattaforme per controllare tutto
Leggi il blog
Zscaler per i carichi di lavoro
Ulteriori informazioni
Le 5 principali ragioni per distribuire subito una CNAPP
Leggi il blog
I 5 principali vantaggi di una piattaforma di protezione delle applicazioni native del cloud (CNAPP)
Leggi il blog

01 / 03