
[16/09/2022] La seguridad en la nube sigue siendo una situación controvertida, y el conjunto de herramientas continúa haciéndose más complejo, plagado de acrónimos que representan posibles soluciones. Ahora hay otra: la plataforma de protección de aplicaciones nativas de la nube, o CNAPP (por sus siglas en inglés). Esta herramienta combina la cobertura de cuatro productos distintos:
- Un gestor de derechos de infraestructura en la nube (CIEM, por sus siglas en inglés) que gestiona los controles de acceso generales y las tareas de gestión de riesgos.
- Una plataforma de protección de la carga de trabajo en la nube (CWPP, por sus siglas en inglés) que asegura el código en todo tipo de repositorios basados en la nube, y proporciona protección en tiempo de ejecución en todo el entorno de desarrollo y en los conductos de código.
- Un broker de seguridad de acceso a la nube (CASB, por sus siglas en inglés) que gestiona las tareas de autenticación y cifrado.
- Un gestor de la postura de seguridad en la nube (CSPM, por sus siglas en inglés) que combina la inteligencia de amenazas y la corrección.
Los responsables de TI y de seguridad buscan algunos elementos básicos de estos productos, como una detección más precisa de las amenazas, la compatibilidad con todas las cargas de trabajo en varias implantaciones en la nube y formas de aplicar controles preventivos.
[Reciba lo último de CIO Perú suscribiéndose a nuestro newsletter semanal]
Se trata de mucho software que gestionar, integrar y comprender. Sin embargo, casi ninguno de los productos que dicen ser CNAPP tiene un conjunto completo de características que incorporen estas cuatro categorías. Lo que sigue es una visión general del panorama y consejos sobre cómo navegar entre los contendientes.
Dos enfoques de la CNAPP
Hay dos maneras de enfocar la CNAPP: desde la perspectiva de DevSecOps o desde las prácticas tradicionales de seguridad informática. La primera se centra más en la protección de las propias aplicaciones (las dos primeras categorías de productos mencionadas anteriormente), mientras que la segunda se centra más en la ampliación de las protecciones tradicionales a nivel de red (las dos últimas categorías de productos mencionadas anteriormente).
En el siguiente cuadro resumen se indica de cuál de estas dos direcciones procede cada proveedor, otras características notables y de integración, si ofrecen una solución CNAPP completa y la poca información disponible sobre su estrategia de precios.
Participaron para este reportaje los siguientes proveedores: Aqua, Check Point, CrowdStrike, Data Theorem, Lacework, Palo Alto Networks, SUSE, Sysdig, Tenable y Tigera. Los siguientes proveedores no respondieron a las solicitudes de información: jFrog, McAfee, Orca Security, Qualys, Snyk, Trend Micro y Wiz.
Por qué existe la CNAPP
La clave para entender esta categoría de productos está en los retos de integración. VMware, en su último informe sobre el estado de la observabilidad, descubrió que el 57% de los encuestados afirmaron que se utilizan hasta 50 tecnologías diferentes en una aplicación típica en la nube. Las organizaciones suelen utilizar muchos proveedores de nube diferentes, distribuyendo su riesgo y yendo más allá de ejecutar sus aplicaciones heredadas en los tres grandes proveedores de PaaS (AWS, Google y Azure) y empleando una mezcla de estrategias de nube privada, pública e híbrida. Esto incluye varias instancias de máquinas virtuales, contenedores Kubernetes y también el uso de microservicios y sin servidor.
Las organizaciones tendrán que controlar los riesgos de las aplicaciones nativas de la nube, identificar las áreas débiles y eliminar las vulnerabilidades. Sysdig en su último informe de seguridad nativa en la nube encontró que el 73% de las cuentas en la nube contenían cubos de Amazon S3 expuestos. ¿Es un misterio que no se hayan producido más infracciones por este motivo?
Lo que va en contra de la seguridad de las nubes es su éxito: Se han convertido en la capa informática de facto para las empresas. "La evolución de las cargas de trabajo en la nube y los servidores Linux en algo omnipresente pero cada vez más vulnerable está impulsando la maduración del mercado de CWPP", comenta Mitchell Hall de Morphisec en una entrada de blog. Parte de esta maduración es que las cargas de trabajo en la nube tienen muchas partes móviles.
También están en un estado de flujo. En el último informe de Cisco sobre la nube híbrida, casi el 60% de los encuestados afirmaron que mueven las cargas de trabajo entre las instalaciones locales y las externas cada semana. Algunas de estas aplicaciones se ejecutan en repositorios de código abierto y otras utilizan código interno. Son muchos casos de uso diferentes que hay que proteger.
Hablando de esto, el informe State of Cloud Native Security 2022 de Palo Alto Networks descubrió que el 80% de las organizaciones que utilizan principalmente herramientas de seguridad de código abierto tienen una postura de seguridad débil o muy débil, mientras que el número de empresas que alojan más de la mitad de sus cargas de trabajo en la nube se ha duplicado desde el 2020. Gran parte de este crecimiento proviene del mundo sin servidores.
Lo que está motivando esta categoría de productos puede rastrearse en Gartner, que utilizó por primera vez el apelativo CNAPP cuando publicó su informe "Innovation Insight" en agosto del 2021. Dijeron que "los contenedores y las funciones sin servidor son los principales bloques de construcción de las aplicaciones nativas de la nube, y son cada vez más granulares con ciclos de vida más cortos". Esto significa que cualquier protección necesita actuar de forma rápida y discreta.
También descubrieron que se ha pasado de proteger la infraestructura a proteger las cargas de trabajo basadas en la nube y las aplicaciones que las ejecutan. Descubrieron que muchos de sus clientes corporativos han cosido juntos -es decir, con poca o ninguna automatización- diez o más herramientas de seguridad dispares, incluyendo pruebas de seguridad de aplicaciones dinámicas, firewalls de aplicaciones web, y las cuatro plataformas de protección en la nube mencionadas al principio de este artículo. Este enfoque de colcha de retazos única y loca no está funcionando.
Lo ideal sería que una solución CNAPP redujera los errores de configuración, mejorara la seguridad del pipeline de desarrollo (lo que comúnmente se denomina desplazamiento a la izquierda) y utilizara una automatización eficaz. Para ello es necesario que todas esas siglas funcionen a pleno rendimiento. Hay que ser capaz de escanear varios elementos de código y vulnerabilidades, detectar rápidamente los errores de configuración de la nube y de codificación de la aplicación (idealmente, cuando las aplicaciones se ejecutan) y seguir haciendo los bloqueos y abordajes básicos de seguridad (como la gestión de la identidad y la red). Orca afirma que "los CNAPP exhiben su valor real combinando de forma inteligente los puntos de datos de las diferentes capas de la pila tecnológica para poner de relieve los problemas de seguridad críticos en lugar de limitarse a enviar miles de alertas inconexas sin sentido".
Preguntas que hay que hacerse al considerar un CNAPP
Antes de probar cualquiera de los productos de los proveedores, piense en estas preguntas:
- ¿Qué artefactos de la nube puede descubrir y luego escanear regularmente? Algunos productos (como Lacework) no van mucho más allá de los tres grandes actores de IaaS. Algunos (como Tigera) solo soportan los servicios Kubernetes de los tres grandes. Otros (como Sysdig) profundizan en los contenedores y en los distintos servidores Linux que los ejecutan. La verdadera cuestión es si se puede supervisar continuamente todos estos artefactos en tiempo casi real.
- ¿Puede mezclar agentes y sin agentes en el panel principal del producto, los informes y las políticas? ¿Cómo se notifican los incidentes? ¿Existen reglas de acceso discretas para que varios empleados puedan centrarse en partes específicas del panorama general? ¿Existen políticas de seguridad preconstruidas, separadas o combinadas, para la recogida de datos con y sin agente? ¿En qué medida los cuadros de mando y sus visualizaciones le muestran el estado actual de su seguridad general en la nube?
- ¿Están cubiertas las cuatro herramientas de gestión? Algunos de los proveedores, como Microsoft Defender for Cloud, tienen elementos de CWPP y CSPM y tendrá que añadir otros componentes para proteger Kubernetes y las nubes que no son de Azure. Tigera viene de la dirección opuesta, centrándose más en los contenedores y su infraestructura.
- Si ha estado involucrado con la infraestructura como código para gestionar sus despliegues en la nube, ¿qué marcos devops son compatibles (como Terraform, Azure Blueprints, AWS Cloudformation, Demisto)? ¿Cómo funciona esto con el desplazamiento a la izquierda (en otras palabras, escanea los repositorios de código abierto)?
- Por último, ¿cuál es el precio? Muy pocos proveedores son transparentes en cuanto a los precios. Data Theorem se lleva el premio al más complejo, con diferentes cálculos para el número de APIs, aplicaciones web y móviles, y recursos en la nube consumidos. El de Tenable es una ligera mejora, pero sigue siendo complejo. Aqua y Tigera tienen los precios más transparentes. Check Point tiene el más sencillo: 200 dólares al año por carga de trabajo activa. Otros crean unidades sintéticas o agrupan varios elementos que ocultan los detalles.
Proveedores de CNAPP
Aqua Security Platform: Aqua Security ha tenido una serie de productos (como para la protección de la cadena de suministro y de la carga de trabajo y un CSPM) que también ha agrupado en un centro. La empresa ofrece una garantía única de un millón de dólares (y preguntas frecuentes sobre sus detalles aquí) si se produce un "ataque con éxito probado" bajo su vigilancia. Aqua tiene precios transparentes, incluyendo una versión gratuita para instalaciones pequeñas, y planes que comienzan en 849 dólares al mes para las cuentas más pequeñas (utilizando una compleja calculadora en línea para estimar su factura). Además de los tres grandes IaaS, es compatible con Alibaba, Oracle Cloud, Mirantis, VMware Tanzu y OpenShift. Dispone de varios niveles de protección de la carga de trabajo y admite métodos con y sin agente.
Aqua muestra los resultados de su escaneo de código, como esta pantalla que enumera varios errores de configuración.
Check Point CloudGuard: Check Point CloudGuard es un producto único, resultado de años de combinar productos de numerosas adquisiciones corporativas como Dome9 y Protegos. Ofrece un único panel de control, un conjunto de reglas de políticas y soporte para métodos con y sin agente. CloudGuard se integra con CloudFormation y Terraform y tiene un plan de precios sencillo de 200 dólares al año por cada carga de trabajo. Es compatible con las nubes de Alibaba y (pronto) de Oracle, así como con los entornos Kubernetes.
Check Point Cloudguard muestra las políticas PCI de las tres grandes plataformas IaaS y un panel de evaluación de riesgos.
CrowdStrike Cloud Security: CrowdStrike Cloud Security está empaquetado como dos productos separados en su constelación de más de 20 módulos de protección diferentes de Falcon. Dispone de un panel de control atractivo y unificado que muestra los principales incidentes y activos de las tres grandes plataformas IaaS junto con una lista de una docena de despliegues de contenedores diferentes, que se tratan por separado en el panel de control. Cubre el universo CNAPP tanto con métodos con agente como sin agente. También cuenta con un interesante servicio de análisis de vulnerabilidad de imágenes de contenedores.
Inventario de activos en la nube de CrowdStrike: Los contenedores se evalúan en una colección diferente de menús.
Data Theorem: La plataforma de Data Theorem abarca cinco productos separados que trabajan juntos para ofrecer CNAPP. Estos incluyen protección especializada para aplicaciones en la nube, móviles, API y web, así como un producto de protección de la cadena de suministro. Cuenta con un motor de análisis central y un panel de control que proporciona cierta integración. Data Theorem es compatible con las tres grandes empresas de IaaS y con Kubernetes. Una característica notable es lo que denomina "políticas de cabecera" que se construyen para evitar violaciones históricas. Dispone de agentes y métodos sin agentes. Su estructura de precios es compleja, con diferentes planes para cada producto.
Cuadro de mandos de Data Theorem que muestra la profundidad de sus diversas características de seguridad.
Lacework Polygraph: Lacework Polygraph es compatible con los tres grandes actores de IaaS junto con Kubernetes. Dispone de métodos con y sin agente junto con reglas de detección basadas en el comportamiento para examinar la infraestructura como nube y las vulnerabilidades. Utiliza un único producto integrado para que las políticas puedan abarcar la información recopilada de ambos métodos.
Palo Alto Networks Prisma Cloud: Palo Alto no pudo proporcionar una demostración de su solución Prisma Cloud antes de nuestra fecha límite, pero decidimos incluirla ya que es un líder del mercado. La empresa construyó Prisma Cloud a través de una serie de adquisiciones como Redlock (defensa contra amenazas en la nube), Twistlock (seguridad de contenedores) y Bridgecrew (seguridad en la nube orientada a los desarrolladores). Palo Alto permite a los clientes adoptar gradualmente una solución CNAPP completa vendiendo Prisma Cloud de forma modular o en paquetes. El precio de estos paquetes comienza en 540 dólares al año.
Centro de mando de Prisma Cloud.
SUSE Neuvector: SUSE adquirió Neuvector el año pasado y ha liberado su código para que sea de código abierto, por lo que su uso es gratuito, con planes de asistencia de pago si es necesario. Se trata de una solución CNAPP parcial, más fuerte en CWPP y que carece de la funcionalidad CIEM y CASB. Es compatible con las tres grandes plataformas IaaS, así como con las plataformas de contenedores Rancher, OpenShift, VMware Tanzu y Mirantis. Es exclusivamente sin agente.
Sysdig: Sysdig cuenta con dos servicios, llamados acertadamente Secure y Monitor, y ambos son necesarios para dar cobertura a la CNAPP. El año pasado, la empresa adquirió Apolicy para ampliar sus funciones de protección de cargas de trabajo. Además de los tres grandes jugadores de IaaS, Sysdig también soporta las nubes de IBM, Oracle y VM Tanzu, así como Red Hat OpenShift. Tiene una página de precios que carece de detalles, pero Sysdig nos dijo que los planes comienzan en 500 dólares / mes basado en sus repositorios de almacenamiento AWS EC2. Las características notables incluyen un nuevo módulo de priorización de riesgos y la capacidad de sugerir automáticamente reglas de acceso de mínimo privilegio.
El panel de control de Sysdig muestra el estado de sus escaneos.
Tenable.cs: Tenable.cs (Cloud Security) es un producto con mucho texto que toca la mayoría de las bases de la CNAPP con la excepción de CWPP. Hace métodos sin agente y con agente, y viene con más de mil 400 políticas preestablecidas y un montón de puntos de referencia por defecto. Integra su escáner de vulnerabilidades Nessus, ampliándolo para escanear máquinas virtuales y contenedores, junto con su adquisición de Accurics, y a principios de este año compró Cymptom e integrará su descubrimiento y protección de rutas en la nube en su línea de Cloud Security el próximo año. Soporta las tres grandes plataformas IaaS y Kubernetes. Tiene un precio complejo que es básicamente un cargo fijo por activo monitoreado, definido como cualquier nodo de computación o base de datos o registro de contenedores.
Resumen de informes de cumplimiento de Tenable que muestra los problemas y por qué fallaron.
Tigera Calico Cloud: Tigera Calico Cloud proviene de la perspectiva de CWPP y se integra con muchas plataformas Kubernetes diferentes, incluidos los tres grandes proveedores de IaaS junto con OpenShift de Red Hat y Rancher de SUSE. El mundo de los contenedores es su enfoque y está más centrado en la red que otras herramientas CNAPP. Tiene una página de precios muy transparente y viene en tres paquetes diferentes: una colección gratuita de código abierto, una versión de servicios gestionados, y una versión en las instalaciones. Las características de protección de la versión gratuita son mínimas, pero las otras dos están a la par.
Gráfico de Tigera de los servicios descubiertos y cómo están conectados.
Basado en el artículo de David Strom (CSO) y editado por CIO Perú
Puede ver también: