Relatório: Market Guide para soluções CNAPP

Soluções CNAPP [Cloud Native Application Protection Platform] são plataformas completas para proteção de ativos na nuvem, que ajudam a proteger e manter aplicativos cloud durante todo o ciclo de vida de desenvolvimento de software, desde a criação até a entrada em produção.

Neste artigo, fizemos uma revisão geral as informações fornecidas pelo Gartner em seu market guide, e também provemos dados adicionais que podem enriquecer a sua visão sobre a adoção dessas soluções.

Para o Gartner, a definição de CNAPP é um conjunto unificado e totalmente integrado de recursos de segurança e conformidade projetados para proteger e proteger aplicativos nativos da nuvem durante o desenvolvimento e a produção. Os CNAPPs consolidam um grande número de recursos anteriormente isolados, incluindo verificação de contêineres, gerenciamento de postura de segurança em nuvem, infraestrutura como verificação de código, gerenciamento de direitos de infraestrutura em nuvem, proteção de carga de trabalho em nuvem em tempo de execução e verificação de vulnerabilidade/configuração em tempo de execução.

Em essência, o CNAPP combina os seguintes recursos:

  • Verificação de contêiner
  • Gerenciamento de postura de segurança na nuvem (CSPM)
  • Verificação de infraestrutura como código (IaC)
  • Gerenciamento de direitos de infraestrutura em nuvem (CIEM)
  • Proteção de carga de trabalho em nuvem em tempo de execução (CWPP)
  • Verificação de vulnerabilidade/configuração em tempo de execução
  • Aplicativo web em tempo de execução e proteção de API
  • Verificação de artefatos, que consiste em:
    • SAST/DAST
    • Análise de composição de software (SCA)
    • Verificação de API
    • Verificação de exposição (segredos, CVEs, dados confidenciais, malware)


Essa convergência de soluções está totalmente alinhada ao contexto atual. Hoje, a superfície de ataque de aplicativos nativos da nuvem está aumentando. O principal alvo dos criminosos está na configuração incorreta da infraestrutura em nuvem (rede, computação, armazenamento, identidades e permissões), APIs e a própria cadeia de fornecimento de software. 

Além disso, o Gartner também pontua que os desenvolvedores “são cada vez mais responsáveis por tarefas operacionais, como resolver vulnerabilidades, implantar infraestrutura como código e implantar e desmontar implementações em produção, exigindo, portanto, ferramentas que atendam a esse escopo ampliado”. Veja, abaixo, como a expansão do escopo dos desenvolvedores para aplicativos em nuvem tornou a equação de desenvolvimento seguro cada vez mais complexa:

De acordo com o Gartner, como os desenvolvedores estão criando contêineres, funções sem servidor e infraestrutura em nuvem, as ferramentas CNAPP precisam atuar no “shift left” dentro do ciclo de desenvolvimento. Isso requer “uma compreensão profunda do pipeline de desenvolvimento”, estendendo a verificação de vulnerabilidades mais cedo no pipeline de desenvolvimento na medida em que o código está sendo desenvolvido.

Em resumo, para proteger aplicações espalhadas por nuvens públicas, privadas e híbridas, as equipes de segurança normalmente precisam usar diversas ferramentas de segurança – e essas ferramentas nem sempre funcionam bem juntas — e o CNAPP vem como uma alternativa para, justamente, resolver esse problema.

O diagrama abaixo, do Gartner, exemplifica bem o aumento da superfície de ataque na nuvem, bem como o risco dos aplicativos nativos de nuvem.

O que é o CNAPP?

Idealmente, um CNAPP deve integrar os recursos de quatro categorias existentes de ferramentas de segurança: proteção de carga de trabalho em nuvem (CWPP), gerenciamento de postura de segurança em nuvem (CSPM), corretores de segurança de aplicativos em nuvem (CASB) e ferramentas de gerenciamento de direitos de infraestrutura em nuvem (CIEM).

Uma solução de CNAPP deve verificar contêineres, bem como infraestrutura como código (IaC), e ajudar as organizações a fortalecer aplicativos em cargas de trabalho em nuvem durante o desenvolvimento e após sua implantação.

Componentes-chave de um CNAPP completo

Na medida em que as soluções CNAPP amadurecem, deverão abranger cada vez mais a funcionalidade dos quatro elementos principais, começando com os recursos do CWPP.

Plataforma de proteção de carga de trabalho em nuvem (CWPP): protegendo cargas de trabalho em nuvem

Os CWPPs se concentram na proteção de cargas de trabalho de servidores onde quer que estejam, seja em máquinas físicas ou virtuais locais, ou em infraestrutura como serviço (IaaS) executada em nuvens públicas. Eles normalmente combinam proteção da integridade do sistema, controle de aplicativos, monitoramento comportamental, prevenção de invasões e (em alguns casos) proteção antimalware em tempo de execução.

Gerenciamento de postura de segurança na nuvem (CSPM): garantindo a configuração adequada da nuvem

Os CSPMs identificam, monitoram e corrigem configurações incorretas e problemas de conformidade que podem causar problemas como violações de dados. Para fazer isso, os CSPMs podem incorporar e aproveitar as melhores práticas dos principais provedores de nuvem, estruturas de controle de segurança e padrões de conformidade – incluindo requisitos legais como a LGPD, por exemplo.

Corretor de segurança de aplicativos em nuvem (CASB): controlando o uso da nuvem

Às vezes descritos como firewalls para serviços de nuvem, os CASBs ficam entre provedores de nuvem e usuários e impõem políticas de segurança para garantir que usuários autorizados possam acessar apenas serviços de nuvem específicos – e que usuários não autorizados tenham acesso negado. Os CASBs podem descobrir os serviços em nuvem que uma organização está usando, incluindo serviços shadow IT não gerenciados, e então aplicar diversas políticas de aplicação de segurança a eles. Isso pode incluir autenticação, autorização, logon único (SSO), mapeamento de credenciais, criação de perfil de dispositivo, criptografia, tokenização, registro em log, alertas e detecção/prevenção de malware.

Gerenciador de direitos de infraestrutura em nuvem (CIEM): Gerenciando identidades e privilégios

Os CIEMs ajudam as organizações a gerenciar todas as suas identidades e privilégios em todos os ambientes de nuvem. Eles identificam e corrigem direitos de acesso que não são necessários ou que excedem o princípio do privilégio mínimo, permitindo um nível de acesso maior do que o necessário.

O Gartner sumarizou todas as funcionalidades principais, recomendadas e opcionais para um CNAPP:

Funcionalidades recomendadas e opcionais de um CNAPP

Funcionalidades Principais Funcionalidades Recomendadas Funcionalidades Opcionais
Visibilidade de tempo de execução
em máquinas virtuais (VM)
e cargas de trabalho de contêiner
Visibilidade interna da carga de trabalho
em tempo real para VMs e contêineres críticos,
incluindo detecção/resposta de carga de trabalho
Autoproteção em tempo de execução de aplicativo (RASP)
Gerenciamento de postura de segurança em nuvem,
incluindo todos os principais provedores
de hiperescala e suas ofertas gerenciadas de Kubernetes
Descoberta e verificação de API para
configuração correta no desenvolvimento
Instrumentação e monitoramento
de funções sem servidor
Verificação de infraestrutura como código ( IAC),
inclusive para as principais linguagens de script IaC e YAML/Helm para Kubernetes
Verificação de riscos em repositórios de dados IaaS não estruturados*
Observabilidade/monitoramento
da camada de aplicação
Gerenciamento de direitos de infraestrutura em nuvem
Capacidade de monitoramento de rede
Suporte para infraestrutura baseada em VMware (local e baseada em nuvem pública)
Mapeamento de conectividade de rede
Detecção e resposta de carga de trabalho
Suporte para verificação de política como código
Verificação de riscos de contêineres e registros de contêineres*
Capacidade expandida de detecção e resposta (CDR) na nuvem além do monitoramento de carga de trabalho (por exemplo, análise de logs de eventos, logs de rede e pesquisas de DNS)
Suporte para Agente de Política Aberta
Análise de composição de software, incluindo criação de lista de materiais de software (SBOM)
Detecção de desvio do estado esperado
MicroWAF/aplicativo web e proteção de API ( WAAP ) em tempo de execução
--
Suporte para outras nuvens comuns
Análise estática tradicional de código personalizado para vulnerabilidades desconhecidas
Verificação de riscos em outros artefatos de aplicativos*
Varredura de repositórios de dados estruturados IaaS em busca de riscos
Verificação dinâmica tradicional de vulnerabilidades desconhecidas
Verificação de API em busca de vulnerabilidades desconhecidas
Segurança do pipeline de desenvolvimento/cadeia de fornecimento de software além da SCA
Endurecimento do pipeline de desenvolvimento

Orca Security é um fornecedor CNAPP recomendado pelo Gartner

Conheça a plataforma completa da Orca Security e agende uma demo 

Benefícios de uma solução CNAPP

De acordo com o relatório do Gartner, até 2025 ao menos 60% das empresas empresas vai consolidar a proteção de workloads da nuvem (CWPP) e postura de segurança na nuvem (CSPM) em um único fabricante. Hoje, de acordo com a empresa, apenas 25% das empresas tem esse serviço consolidado.

Ao oferecer uma abordagem holística à segurança na nuvem em todo o ciclo de vida do aplicativo, o CNAPP promete aos desenvolvedores a capacidade de descobrir riscos onde quer que possam surgir – em código personalizado ou de código aberto, em configurações, em endpoints, contêineres, ambientes sem servidor e em tempo de execução. O CNAPP se alinha mais estreitamente com a forma como o software em nuvem é desenvolvido, permitindo assim uma segurança de aplicativos mais integrada em todo o processo de desenvolvimento, apoiando iniciativas de DevSecOps e tornando mais fácil proteger os aplicativos, independentemente da rapidez com que eles mudam.

Além da integração das soluções citadas acima, os CNAPPs também trazem outros benefícios:

Gerenciamento mais fácil, mais automação. Os CNAPPs prometem tornar os profissionais de segurança de aplicativos em nuvem mais eficazes – e ajudá-los a responder mais rapidamente – simplificando a identificação e correlação de problemas onde quer que surjam em cargas de trabalho, infraestrutura ou desenvolvimento em nuvem. Ao mesmo tempo, os sistemas CNAPP podem potencialmente ampliar o uso da automação baseada em políticas em testes de segurança durante todo o ciclo de vida de desenvolvimento de aplicativos em nuvem.

Melhor visibilidade dos riscos. Os CNAPPs visam oferecer uma visão coerente dos riscos decorrentes do código do aplicativo, componentes de código aberto, infraestrutura em nuvem, configurações incorretas, permissões incorretas, cargas de trabalho em tempo de execução e muito mais. Eles devem ajudar a priorizar e remediar riscos em VMs, contêineres e cargas de trabalho sem servidor que anteriormente poderiam ter escapado da detecção oportuna.

Detecção antecipada para suportar o shift left. As práticas de desenvolvimento ágil e o provisionamento de nuvem de autoatendimento ajudaram os desenvolvedores a migrar o código para a produção mais rápido do que nunca, mas a segurança nem sempre foi preparada antecipadamente. O CNAPP pode ajudar as organizações a aplicar práticas DevSecOps para integrar totalmente a avaliação de segurança em seus pipelines de CI/CD. Por exemplo, ao revelar configurações incorretas de código no início do desenvolvimento, o CNAPP pode ajudar as equipes a evitar vulnerabilidades que, de outra forma, só seriam descobertas em tempo de execução.

Recomendações do Gartner

Com base no estudo realizado pelo Gartner,  empresas que buscam implementar uma solução de CNAPP devem seguir alguns passos entre o planejamento, a avaliação e a implementação. Veja:

Planejamento

Nesta etapa, o Gartner recomenda colocar a experiência do desenvolvedor como objetivo principal, com a meta de reduzir atrito, falsos positivos e, claro, riscos. Além disso, o Gartner também que a equipe de avaliação seja criada com a participação de profissionais de diversas áreas, e que essa verificação tenha abrangência sobre segurança na nuvem, segurança de contêineres e segurança de aplicativos. 

Além disso, como o desenvolvedor é a pessoa responsável por remediar o risco identificado, a equipe deve incluir representantes de DevSecOps/desenvolvimento. Faça um inventário das ferramentas de pipeline de CI/CD da organização, pois isso será uma contribuição crítica para o processo de avaliação.

E o mais importante: utilizar a oferta de CNAPP ajuda a diminuir o número de fornecedores e também a complexidade da escolha. 

Avaliação

Durante a fase de avaliação, a equipe conjunta de desenvolvimento/segurança deve identificar e classificar os requisitos de funcionalidade necessários para o seu ambiente como obrigatórios, preferenciais e opcionais. Além disso, os clientes devem dar a preferência por executar um piloto funcional com aplicativos reais antes de selecionar uma oferta de CNAPP de um único fornecedor.

Implantação

De acordo com a recomendação do Gartner, a implementação de um CNAPP deve acontecer primeiro em aplicativos nativos da nuvem, onde a velocidade de desenvolvimento é fundamental e a identificação de riscos é imperativa. Mesmo que uma implantação completa do CNAPP não seja possível, o Gartner recomenda a implantação de uma solução CSPM, pois a maior parte dos riscos de aplicativos nativos da nuvem são causados por configuração e gerenciamento incorretos.

Para saber mais informações sobre o Market Guide do Gartner sobre soluções CNAPP, clique aqui. Se você quer conhecer mais sobre a Orca Security e como podemos ajudar na sua jornada de segurança para a nuvem, entre em contato conosco