O que é CNAPP? [Plataforma de proteção de aplicativos nativos da nuvem]
Uma Plataforma de Proteção de Aplicativos Nativa da Nuvem (CNAPP) é uma solução de segurança que unifica todos os recursos de segurança na nuvem para proteger ambientes de nuvem.
Equipe de especialistas do Wiz
13 minutos lidos
O que é um CNAPP?
O CNAPP é uma solução de segurança nativa da nuvem de ponta a ponta que combina funcionalidades importantes, como gerenciamento de postura, proteção de carga de trabalho, proteção de tempo de execução e segurança de dados.
O CNAPP representa uma consolidação e evolução de várias tecnologias de segurança na nuvem, incluindo o Cloud Security Posture Management (CSPM), Plataformas de proteção de carga de trabalho na nuvem (CWPP), Gerenciamento de Direitos de Infraestrutura de Nuvem (CIEM), Verificação de Infraestrutura como Código (IaC) e muito mais
Além disso O CNAPP aprimora o DevOps e DevSecOps integrando a segurança ao ciclo de vida do desenvolvimento, automatizando tarefas de segurança e permitindo segurança e conformidade contínuas.
O termo "CNAPP" foi cunhado pelo Gartner, definindo-o como um "conjunto unificado e fortemente integrado de recursos de segurança e conformidade projetados para proteger e proteger aplicativos nativos da nuvem em todo o desenvolvimento e produção".
Até 2029, 60% das empresas que não implantarem uma solução CNAPP unificada em sua arquitetura de nuvem não terão ampla visibilidade da superfície de ataque da nuvem e, consequentemente, não conseguirão atingir as metas de confiança zero desejadas.
Desafios de segurança na nuvem resolvidos pelo CNAPP
A nuvem introduziu novos tipos de riscos de segurança
Os ambientes de nuvem são complexos. A nuvem permite que as organizações adicionem novos recursos sob demanda, de máquinas virtuais a funções sem servidor e containers. Há constantemente novos tipos de serviços sendo introduzidos em um ambiente dinâmico e escalável. Isso torna desafiador proteger um ambiente que pode crescer e mudar em minutos.
A nuvem também simplifica ações, como tornar possível expor um recurso à internet com o clique de um botão, resultando em mais riscos de configurações incorretas. Com tantos tipos diferentes de serviços e configurações, as organizações precisam de uma solução para ajudá-las a garantir que permaneçam seguras à medida que seu ambiente muda. Essa complexidade também introduz novos tipos de caminhos de ataque na nuvem, o que exige que as organizações tenham uma estratégia de detecção e resposta a ameaças criada para ataques nativos da nuvem.
Lacunas de visibilidade e pontos cegos
Para obter visibilidade desse ambiente complexo, as organizações geralmente usam ferramentas de segurança que dependem de agentes para fornecer visibilidade de suas cargas de trabalho. As soluções baseadas em agentes resultam em pontos cegos no ambiente, pois os recursos que não têm o agente configurado simplesmente não são protegidos pela ferramenta. Essas lacunas de visibilidade na postura de segurança podem resultar em problemas críticos que passam despercebidos e levar a uma violação.
Ferramentas em silos e desafios operacionais
Para definir uma base de segurança na nuvem, as organizações geralmente usam ferramentas de segurança autônomas, como gerenciamento de vulnerabilidades, gerenciamento de postura de segurança de dados, gerenciamento de postura de segurança do Kubernetes, gerenciamento de postura de segurança de nuvem e outros. O Gartner fala sobre essa abordagem de segurança no Guia de Mercado CNAPP 2023:
Essa falta de integração cria visões fragmentadas do risco com contexto insuficiente individualmente, dificultando a priorização do risco real.
Como descrito, o uso de ferramentas autônomas cria silos na postura de segurança e desafios operacionais, pois cada ferramenta requer experiência e processo exclusivos por ferramenta. Além disso, para entender a criticidade do risco, as organizações precisam correlacionar manualmente os riscos entre as diferentes ferramentas, resultando em mais sobrecarga operacional.
Fadiga de alerta
As ferramentas de silo não têm o contexto em torno de cada risco, por exemplo, uma solução de gerenciamento de vulnerabilidades pode identificar se uma máquina está vulnerável, mas não sabe se a máquina também está exposta à internet ou se tem altos privilégios.
A falta de contexto resulta na incapacidade das ferramentas de identificar quais riscos são mais críticos do que outros e leva a que criem muito ruído e fadiga de alerta. Isso torna difícil para as equipes identificar os riscos críticos reais em seu ambiente e priorizá-los.
Lacunas entre a equipe de segurança e os desenvolvedores
A equipe de segurança é responsável por garantir a segurança do ambiente em nuvem, no entanto, são os desenvolvedores que geram recursos na nuvem. Isso faz com que a segurança desacelere a inovação. Além disso, os desenvolvedores muitas vezes não têm visibilidade dos riscos relacionados a seus recursos e, mesmo quando têm, não conseguem priorizá-los com sucesso, pois não têm contexto e priorização.
Benefícios do CNAPP
Remoção de pontos cegos: O CNAPP fornece visibilidade sem agente e redução de riscos, detectando e protegendo automaticamente novas cargas de trabalho na nuvem sem exigir a configuração do agente. Isso garante cobertura total e elimina pontos cegos em sua postura de segurança.
Implantação mais rápida: O CNAPP sem agente permite que as organizações protejam todo o ambiente em minutos, usando o provedor de nuvem's APIs para procurar recursos
Maior eficiência operacional: A manutenção dos agentes é cara e pode reduzir a velocidade das cargas de trabalho, levando a desafios operacionais que dificultam a inovação. As equipes de DevOps geralmente as rejeitam, e o valor da visibilidade do tempo de execução em cargas de trabalho efêmeras pode não superar a sobrecarga dos agentes de gerenciamento. Um CNAPP com visibilidade sem agente e redução de riscos reduz os custos operacionais e a complexidade.
Mecanismo de risco unificado: Um CNAPP deve ser uma plataforma única que cubra todos os fatores de risco, incluindo vulnerabilidades, exposições de rede, segredos, malware, identidades e dados confidenciais, bem como detecção de ameaças em tempo real. Com um mecanismo de risco unificado, o CNAPP pode avaliar a criticidade dos riscos entendendo como eles se combinam para criar caminhos de ataque em seu ambiente. O CNAPP correlaciona automaticamente todos os riscos em prevenção e detecção, eliminando a necessidade de correlação manual e permitindo que as organizações se concentrem na correção de riscos críticos.
Contexto baseado em gráficos: Um CNAPP deve fornecer um contexto baseado em gráficos em torno dos riscos. A estrutura de nó e borda é uma prática recomendada para gráficos, tornando muito mais intuitiva a definição de consultas que representam riscos. Ter uma visualização baseada em gráficos também facilita para qualquer pessoa, em qualquer nível de habilidade, entender as relações entre recursos e contexto em torno do risco, para que possa responder a problemas mais rapidamente.
Priorização: Um CNAPP com um conjunto totalmente integrado de recursos pode priorizar melhor os riscos, correlacionando todos os riscos e identificando caminhos de ataque críticos. Um CNAPP deve fornecer uma fila única de riscos priorizados para permitir que as equipes se concentrem nas questões mais importantes e reduzam o ruído.
Habilitação Shift-left: Uma vez identificados e priorizados os riscos na produção, um CNAPP deve permitir que as organizações Deslocar para a esquerda para dimensionar a segurança em todo o ciclo de vida de desenvolvimento. Ao fornecer integração com pipelines de CI/CD, um CNAPP permite que as organizações identifiquem riscos logo no início do desenvolvimento e garantam que eles não cheguem à produção em primeiro lugar. Isso resulta em menos problemas que a equipe de segurança precisa corrigir na produção e permite que eles se concentrem em iniciativas mais amplas.
Detecção e resposta contextualizadas: Para ter uma estratégia eficaz de detecção e resposta, os defensores precisam entender os caminhos de ataque em seu ambiente. Isso os ajuda a avaliar o impacto potencial de um ataque. Antes que um ataque ocorra, um CNAPP pode ajudar os defensores a remover proativamente os caminhos de ataque por meio da redução contextual de riscos. Depois que um ataque ocorre, um CNAPP pode ajudar os defensores a detectar ameaças em tempo real com base em eventos de nuvem e sinais de tempo de execução. Também pode ajudá-los a limitar o raio de explosão de um ataque com base no contexto da nuvem. Ao correlacionar sinais de tempo de execução, eventos de nuvem e riscos de nuvem e infraestrutura, um CNAPP permite que os defensores respondam rapidamente a ameaças e minimizem o impacto de um incidente em potencial.
Visibilidade em todas as nuvens: Um CNAPP deve fornecer visibilidade completa do seu ambiente de nuvem, independentemente da nuvem em que suas cargas de trabalho são executadas, seja AWS, GCP, Azure, Alibaba, OCI ou outras nuvens em que você esteja.
Visibilidade em todos os recursos: Um CNAPP deve ser abrangente em sua cobertura e fornecer visibilidade de todos os recursos em seu ambiente, incluindo máquinas virtuais, funções sem servidor, containers, bancos de dados, serviços gerenciados e qualquer outro serviço de nuvem que você use. Um CNAPP também deve normalizar os diferentes tipos de recursos das diferentes nuvens para que você possa ter uma plataforma consistente com visibilidade consistente abrangendo todas as nuvens.
Visibilidade de todos os fatores de risco, da prevenção à detecção: O CNAPP deve fornecer visibilidade coesa de todos os fatores de risco, incluindo vulnerabilidades, exposições de rede, segredos, malware, identidades e dados confidenciais, bem como visibilidade de ameaças em tempo real, para fornecer a você a visão completa de sua postura de segurança.
Remova pontos cegos com visibilidade sem agente: Um CNAPP deve garantir cobertura total e nenhum ponto cego na postura de segurança usando uma abordagem sem agente para fornecer visibilidade em ambientes de nuvem, utilizando as APIs do CSP (Provedor de Serviços de Nuvem) para detectar e verificar recursos e cargas de trabalho, em vez de depender de agentes que devem ser configurados e mantidos.
Unifique soluções independentes de segurança na nuvem
Abordagem unificada para a segurança: Um CNAPP fornece uma plataforma, um processo e controles consistentes em todos os ambientes. Com base no Guia de Mercado CNAPP do Gartner, ao avaliar um CNAPP "Todos os serviços devem ser totalmente integrados, não módulos independentes fracamente acoplados.". Um CNAPP totalmente integrado substitui todas as soluções pontuais por uma única plataforma que abrange todos os aspectos de segurança, eliminando a necessidade de um processo único por ferramenta e reduzindo a sobrecarga operacional.
Mecanismo de risco unificado: Um CNAPP usa um mecanismo de risco unificado para identificar riscos em CSPM, CWPP, CIEM, Kubernetes Security Posture Management (KSPM), Gerenciamento de Posturas de Segurança de Dados (DSPM) e varredura IaC.
Estratégia de defesa em profundidade: Um CNAPP abrangente fornece uma defesa completa em profundidade estratégia de segurança na nuvem. Começa desde a prevenção, passando pela visibilidade sem agente e redução de riscos, até a última linha de defesa sendo a detecção e proteção contra ameaças de dentro da carga de trabalho, através de um agente leve. Um CNAPP com defesa em profundidade fornece visibilidade completa de ponta a ponta dos ataques, permitindo uma resposta mais rápida e eficiente.
Painel único de vidro: Um CNAPP não só tem visibilidade de todos os fatores de risco, mas também correlaciona todos os riscos para entender como os riscos se combinam para resultar em uma combinação tóxica em um ambiente que pode criar um caminho de ataque. O CNAPP modela os riscos em um gráfico de segurança para fornecer o contexto completo em torno dos riscos. Garner também recomenda que um CNAPP tenha um único console front-end com um modelo de dados back-end unificado para reduzir a alternância entre vários consoles.
Riscos priorizados com contexto
Contexto: Um CNAPP totalmente integrado pode identificar o contexto em torno dos riscos e encontrar caminhos de ataque em um ambiente, permitindo que as organizações entendam a real criticidade dos riscos em seu ambiente. Usando um gráfico de segurança, o CNAPP também é capaz de fornecer uma compreensão profunda das relações entre todos os elementos no ambiente de nuvem.
Priorização: Um CNAPP contextual é capaz de priorizar riscos com base na criticidade, e só traz à tona as questões às quais você realmente deve prestar atenção para que sua equipe possa se concentrar nos riscos que importam. O Gartner recomenda que um CNAPP deve ter "análises avançadas integradas que são combinadas com o gráfico para priorizar riscos" A priorização permite que as equipes gastem menos tempo respondendo a ruídos que distraem e mais tempo remediando problemas críticos.
Ponte entre as equipes de desenvolvimento e segurança
Reduza o tempo gasto na correção de problemas na produção: Um CNAPP pode integrar verificações de segurança em pipelines de CI/CD para verificar riscos durante o desenvolvimento. Ele permite que você aplique políticas de segurança unificadas em toda a produção e no pipeline de CI/CD para evitar que os problemas atinjam a produção em primeiro lugar. No Guia de Mercado do CNAPP, o Gartner recomenda "Reduzir a complexidade e melhorar a experiência do desenvolvedor escolhendo ofertas CNAPP integradas que fornecem visibilidade completa do ciclo de vida e proteção de aplicativos nativos da nuvem em todo o desenvolvimento e preparação e na operação de tempo de execução".
Permita que os desenvolvedores enviem com mais rapidez e segurança: O CNAPP capacita os desenvolvedores com o contexto, a priorização e a orientação de correção específica de que precisam para corrigir problemas relacionados aos recursos que possuem. O contexto e a priorização permitem que os desenvolvedores permaneçam ágeis e se movam rapidamente, mantendo-se seguros.
Um CNAPP integrado consolida perfeitamente as seguintes ferramentas de segurança em uma plataforma unificada, englobando e correlacionando os recursos descritos abaixo:
Gerenciamento de postura de segurança na nuvem (CSPM)
CSPM oferece informações sobre a configuração de recursos de nuvem e monitoramento contínuo desses recursos. Ele avalia os recursos de nuvem em relação às regras para configuração adequada, identificando quaisquer instâncias de configuração incorreta. O sistema garante a conformidade por meio de padrões e estruturas integrados e personalizados, remediando automaticamente recursos não conformes. Ao avaliar os recursos durante o desenvolvimento, o CSPM evita que configurações incorretas se propaguem para ambientes de produção.
Plataforma de proteção de carga de trabalho na nuvem (CWPP)
CWPP garante visibilidade de cargas de trabalho na nuvem e mitigação de riscos entre VMs, containers e funções sem servidor sem depender de agentes. Ele realiza varreduras em busca de vulnerabilidades, segredos, malware e configurações seguras dentro de cargas de trabalho. Além disso, o CWPP oferece suporte à identificação de configurações incorretas de carga de trabalho e vulnerabilidades durante pipelines de CI/CD. Como linha final de defesa, o CWPP emprega um agente leve para detecção de ameaças em tempo real, enriquecendo os dados por meio de visibilidade sem agente e redução de riscos.
CIEM (Gerenciamento de Direitos de Infraestrutura de Nuvem)
CIEM supervisiona os direitos dentro das configurações de nuvem, orientando o implementação de privilégios mínimos ao mesmo tempo em que otimiza o acesso e os direitos em todo o ambiente. O sistema analisa permissões efetivas para entidades e recursos, detectando possíveis vazamentos de segredos ou credenciais que possam comprometer o acesso a ativos confidenciais.
Gerenciamento de postura de segurança do Kubernetes (KSPM)
KSPM automatiza a segurança e a conformidade para componentes do Kubernetes, fornecendo visibilidade abrangente de containers, hosts e clusters. O sistema avalia riscos relacionados a vulnerabilidades, configurações incorretas, permissões, segredos e networking, correlacionando esses riscos para oferecer insights contextuais e priorização. O KSPM também facilita uma abordagem de deslocamento para a esquerda, identificando e prevenindo problemas de segurança do Kubernetes durante a fase de desenvolvimento.
Gerenciamento de Postura de Segurança de Dados (DSPM)
DSPM protege dados confidenciais dentro do ambiente de nuvem. Ele identifica dados confidenciais e fornece visibilidade sobre sua localização em buckets, volumes de dados, ambientes de sistema operacional e não-SO e bancos de dados gerenciados e hospedados. O DSPM correlaciona dados confidenciais com o contexto de nuvem subjacente e outros fatores de risco para compreender a configuração, o uso e a movimentação de ativos de dados. Um DSPM totalmente integrado pode até mesmo identificar caminhos potenciais de ataque a dados confidenciais, permitindo a priorização proativa de problemas para evitar violações.
Detecção e resposta à nuvem (CDR)
Detecção e resposta à nuvem Permite a detecção, investigação e resposta a ameaças baseadas em nuvem monitorando a atividade no ambiente de nuvem e identificando eventos suspeitos. Embora a redução proativa de riscos sem agentes elimine possíveis caminhos de ataque, a detecção de ameaças em tempo real continua sendo essencial. O CDR identifica ameaças e atividades suspeitas em tempo real, incluindo execução remota de código, malware, mineração de criptomoedas, movimentação lateral, escalonamento de privilégios e fuga de containers. O sistema oferece visibilidade abrangente, correlacionando automaticamente ameaças em sinais em tempo real, atividade na nuvem e logs de auditoria para rastrear movimentos de invasores. Isso permite uma resposta rápida e limita o impacto de possíveis incidentes.
Com o tempo, o CNAPP se tornará a maneira padrão para os desenvolvedores de nuvem garantirem que estão indo bem na frente de segurança. Os CNAPPs são utilizáveis e consumíveis por desenvolvedores e equipes de operação, portanto, permitirão que essas equipes sejam mais proativas com a segurança de seus recursos.
Hoje, as equipes de segurança têm poucas maneiras de saber se estão em um bom estado com sua segurança. Eles não't tem uma maneira de dizer se eles'tomaram as medidas certas para proteger a nuvem, ou se eles'Deixei algumas áreas escancaradas. Os CNAPPs permitirão que qualquer desenvolvedor de nuvem veja que está tomando as medidas certas para proteger seus aplicativos e recursos e para que as equipes de segurança validem o estado de segurança em seus aplicativos de nuvem sem lacunas.
Como em qualquer espaço nascente,'s mais fácil de comercializar do que entregar, portanto, certifique-se de que qualquer CNAPP que você considere seja capaz de abordar adequadamente os drivers subjacentes e as mudanças que estão fazendo com que sua equipe explore tal solução.
Wiz's Abordagem ao CNAPP
Wiz'A abordagem do CNAPP baseia-se nestes pilares fundamentais:
Arquitetura sem agente:O Wiz não exige a instalação de nenhum agente em seus recursos de nuvem, o que facilita a implantação e o gerenciamento e evita qualquer impacto no desempenho.
Visibilidade abrangente:A Wiz fornece 100% de visibilidade de todos os seus recursos e riscos de nuvem, em todos os provedores de nuvem e serviços de nuvem.
Segurança baseada em gráficos:A Wiz cria um gráfico de todos os seus recursos de nuvem e seus relacionamentos, o que permite identificar caminhos de ataque complexos e priorizar riscos de forma mais eficaz.
Priorização implacável de riscos:Wiz'A abordagem de segurança baseada em gráficos permite que a TI identifique caminhos de ataque complexos e priorize riscos de forma mais eficaz, para que você possa se concentrar nos problemas mais importantes primeiro.
Plataforma unificada:A Wiz fornece uma plataforma única para todas as suas necessidades de segurança na nuvem, incluindo gerenciamento de vulnerabilidades, gerenciamento de configurações incorretas, gerenciamento de segredos e análise forense na nuvem.
O Wiz CNAPP oferece suporte à segurança em nossos ambientes de nuvem em um único lugar. Todas as nossas informações de segurança estão em um só lugar e a solução é flexível o suficiente para que diferentes equipes possam se concentrar apenas nos detalhes de que precisam.
Wiz'A solução CNAPP fornece visibilidade de todos os seus recursos e riscos de nuvem, da infraestrutura aos dados. Ele também fornece insights e recomendações acionáveis para ajudá-lo a priorizar e remediar riscos.