¿Qué es una plataforma de protección de aplicaciones nativas en la nube (CNAPP)?

Las plataformas de protección de aplicaciones nativas en la nube (CNAPP) integran y centralizan en una sola interfaz de usuario funciones de seguridad dispares. Las CNAPP —un término acuñado por Gartner para designar lo que en Palo Alto Networks siempre hemos llamado plataformas de seguridad nativas en la nube (CNSP)— combinan funciones de gestión de la estrategia de seguridad en la nube (CSPM), plataformas de protección de cargas de trabajo en la nube (CWPP), gestión de derechos en las infraestructuras en la nube (CIEM) y seguridad de los ciclos de CI/CD en una solución integral y unificada que permite proteger las aplicaciones nativas en la nube a lo largo de todo su ciclo de vida.

Este enfoque garantiza la visibilidad de los sistemas aislados y permite a los equipos responsables de la seguridad, la infraestructura en la nube y las DevOps proteger todas las soluciones tecnológicas. Con las CNAPP, una sola plataforma protege las aplicaciones en tiempo de ejecución, además de integrar la seguridad en los flujos de trabajo de desarrollo para detectar y corregir posibles errores en las fases tempranas del ciclo de vida de las aplicaciones.

Del código a la nube: por qué necesita una plataforma como CNAPP

El problema de muchas organizaciones es que han abordado siempre la seguridad nativa en la nube de forma reactiva en lugar de hacerlo de manera proactiva, tratando cada problema de forma aislada y descartando un enfoque más integral. Así, han adoptado soluciones o herramientas individuales para cada cuestión, con lo que han acabado con una amalgama de tecnologías que genera aún más problemas, como los siguientes:

  • Las soluciones independientes dan más trabajo. Gestionar una cantidad de herramientas que no deja de crecer se acaba convirtiendo en un trabajo en sí mismo. La mayoría de estas soluciones no se comunican entre ellas y conseguir que lo hagan requeriría una carga de trabajo aún mayor, por lo que los equipos acaban teniendo una visibilidad y protección limitadas.

  • No se pueden aplicar mecanismos de protección coherentes. Hay decenas de herramientas de seguridad capaces de realizar controles en puntos concretos del ciclo de vida de las aplicaciones, pero si no se llevan a cabo controles coherentes a lo largo del desarrollo, la implementación y el tiempo de ejecución, los equipos de seguridad y riesgo perderán mucho tiempo comparando distintos datos sobre vulnerabilidades y errores de configuración.

  • La separación genera ángulos muertos. La mayoría de los equipos de seguridad en la nube necesitan analizar las amenazas presentes en los servicios en la nube, las cargas de trabajo o aplicaciones, las redes, los datos y los permisos. Sin una herramienta unificada, los ángulos muertos acaban apareciendo, pues quedan espacios desprotegidos entre una solución y otra.

Las CNAPP ofrecen ventajas evidentes para abordar todas estas cuestiones.

Los problemas distribuidos requieren soluciones integradas

Uno de los principales motivos por los que conviene adoptar una plataforma de seguridad completa e integrada es que, a la hora de garantizar la seguridad en la nube, los distintos equipos se encuentran con una compleja combinación de tareas detalladas que además se solapan entre las distintas áreas funcionales.

Infraestructura

Los equipos tienen que saber dónde empiezan y acaban sus responsabilidades en un modelo de responsabilidad compartida. A este respecto, los datos demuestran una y otra vez que las organizaciones tienden a sobrestimar los mecanismos de protección y las alertas que les puede proporcionar su proveedor de servicios en la nube. Además, aunque las instancias de conectividad, almacenamiento y computación comparten ciertas necesidades para las plataformas CSPM, cada uno de estos entornos también necesita controles de los accesos y permisos que tienen su origen en la CIEM.

Cargas de trabajo y aplicaciones

Del mismo modo, las cargas de trabajo y aplicaciones de esa infraestructura necesitan funciones de gestión de vulnerabilidades, supervisión del cumplimiento normativo, aplicación de políticas y protección en tiempo de ejecución. Tradicionalmente, siempre les ha correspondido a los equipos de seguridad o de DevOps la responsabilidad de garantizar que estas áreas estén protegidas. Sin embargo, estas herramientas se deben integrar con los datos que proceden de los ciclos de CI/CD, así como del tiempo de ejecución, en el caso de las aplicaciones web y las API.

Redes

Estas aplicaciones necesitan una red que garantice una conectividad segura y fiable. Para proteger las comunicaciones de la red, se debe aplicar el acceso según el criterio del mínimo privilegio a las cargas de trabajo que traten de acceder a otras cargas de trabajo y una prevención de amenazas integrada.

Identidad y permisos

Subyacentes a todas estas áreas, los derechos y permisos para acceder a los servicios y la infraestructura en la nube tienen que lograr un equilibrio entre la necesidad de un acceso distribuido y la gestión de riesgos para garantizar que no haya permisos excesivos ni obsoletos que puedan echar por tierra los demás esfuerzos realizados.

Programación y desarrollo

Los desarrolladores y los equipos de DevOps son responsables de entregar código de alta calidad, lo cual en la mayoría de los casos significa código seguro, pero les corresponde a los equipos de seguridad proporcionar a DevOps la información necesaria para crear ese código seguro. Para colocar las barreras de protección lo antes posible, se necesitan herramientas cohesionadas capaces de abarcar todo el ciclo de vida de las aplicaciones.

Cada equipo tiene que colaborar estrechamente para garantizar que estos mecanismos de protección se apliquen de forma coherente, y las CNAPP son las herramientas integradas que ayudan a acabar con la separación existente en la actualidad.

¿Cómo hemos llegado hasta aquí?

El desarrollo de aplicaciones nativas en la nube ha madurado hasta el punto de que ciertos supuestos prácticamente se pueden considerar hechos. Una de las primeras constataciones ha sido que los entornos en la nube son diversos, diferentes y distribuidos por su propia naturaleza. Para los profesionales que se ocupan de gestionar estos entornos tan dinámicos y complejos, una reacción natural era intervenir para imponer coherencia y uniformidad, pues gestionar los riesgos en estos entornos sería más difícil si hubiera que coordinar una gran cantidad de productos independientes que responden a una serie de requisitos específicos.

Para proteger la infraestructura y las aplicaciones nativas en la nube, las organizaciones tienen que adaptarse para ser más ágiles e integradas y afrontar las amenazas de manera proactiva empezando en el desarrollo. Asimismo, deben garantizar la seguridad a lo largo de todo el ciclo de vida del desarrollo, hasta los entornos en tiempo de ejecución. Para lograr esta agilidad, necesitan nuevas herramientas diseñadas especialmente para los entornos nativos en la nube, que sean capaces de abarcar todo el ciclo de vida del desarrollo de las aplicaciones y de ofrecer información crucial sobre la seguridad en el momento justo y en el lugar preciso.

Podemos afirmar con seguridad que Prisma Cloud pertenece a la categoría que Gartner denomina «CNAPP». Puede descargar el informe gratuito para consultar todas las recomendaciones.

Vídeo: Protección de entornos nativos en la nube con Prisma Cloud

Preguntas frecuentes sobre las plataformas de protección de aplicaciones nativas en la nube

La seguridad de los microservicios consiste en proteger los servicios individuales sin una dependencia fija que constituyen una aplicación. Cada microservicio requiere sus propios mecanismos de autenticación, autorización y cifrado para garantizar la comunicación entre un servicio y otro, evitando así accesos no autorizados. Los equipos de seguridad implementan mallas de servicios y aplican políticas para gestionar el tráfico y garantizar una seguridad coherente en todos los microservicios, reduciendo de este modo la superficie de ataque en los entornos basados en contenedores.
La gestión de la estrategia de seguridad en la nube (CSPM) automatiza la identificación y corrección de riesgos en las infraestructuras en la nube. Las herramientas de CSPM buscan constantemente errores de configuración, aplican políticas de seguridad y garantizan el cumplimiento normativo según los estándares del sector. Ofrecen visibilidad de los activos en la nube y de sus configuraciones, lo que permite a los equipos mantener una estrategia de seguridad eficaz en entornos en la nube dinámicos.
Una plataforma de protección de aplicaciones nativas en la nube (CNAPP) es un conjunto de funciones integrado que garantiza una seguridad exhaustiva de las aplicaciones nativas en la nube. La CNAPP aúna funciones como la CSPM, la CWPP y la seguridad de las aplicaciones para proteger los entornos en la nube a lo largo de todo el ciclo de vida del software. Combate los riesgos desde el código hasta el tiempo de ejecución y ofrece detección de amenazas, gestión de vulnerabilidades y supervisión del cumplimiento normativo.
Un agente de seguridad de acceso a la nube (CASB) actúa como intermediario entre los usuarios y los proveedores de servicios en la nube para aplicar las políticas de seguridad. Los CASB garantizan la visibilidad del uso de las aplicaciones en la nube, además de ofrecer protección de datos, prevención de amenazas y cumplimiento normativo para distintos servicios en la nube. Permiten a las organizaciones ampliar sus controles de seguridad más allá de la infraestructura local para llegar hasta la nube.
Una plataforma de protección de cargas de trabajo en la nube (CWPP) protege las cargas de trabajo de las distintas máquinas virtuales, contenedores y funciones sin servidor en entornos de nube pública, privada e híbrida. Las soluciones CWPP ofrecen protección en tiempo de ejecución, supervisión de la integridad de los sistemas, controles de red y gestión de las vulnerabilidades para proteger las cargas de trabajo de las amenazas y garantizar el cumplimiento normativo.
La DSPM, o gestión de la estrategia de seguridad de los datos, engloba una serie de herramientas y prácticas diseñadas para detectar y mitigar los riesgos que afectan a los datos en los entornos en la nube. Automatiza la detección de almacenes de datos, clasifica los datos confidenciales y evalúa y aplica las políticas de protección de datos. Las soluciones DSPM garantizan la visibilidad de los patrones de acceso a los datos, detectan anomalías y ayudan a garantizar el cumplimiento normativo en materia de protección de datos.
La AI-SPM, o gestión de la estrategia de seguridad en materia de IA, utiliza algoritmos de aprendizaje automático para mejorar la detección y corrección de los riesgos de seguridad. Las herramientas de AI-SPM analizan conjuntos de datos de gran tamaño para detectar comportamientos inusuales, destapar amenazas ocultas y predecir posibles vulnerabilidades. Con el tiempo, estas herramientas aprenden de los patrones detectados y se van adaptando para mejorar las medidas de seguridad y las estrategias de respuesta.
La protección de las aplicaciones consiste en una serie de medidas de seguridad diseñadas para proteger las aplicaciones de las amenazas en todas las fases de su ciclo de vida. Abarca la implementación de cortafuegos de aplicaciones, el cifrado de datos, la realización periódica de evaluaciones de seguridad y la respuesta a las vulnerabilidades durante el desarrollo. Las estrategias de protección garantizan la integridad de las aplicaciones y la confidencialidad de los datos que procesan.
La supervisión continua es el examen constante de los controles de seguridad, las vulnerabilidades y la inteligencia sobre amenazas con el fin de garantizar la integridad y la seguridad de los sistemas de TI. Implica el uso de herramientas automatizadas que alertan de los incidentes de seguridad en tiempo real para permitir una respuesta rápida a las posibles amenazas. La supervisión continua es fundamental para saber en todo momento qué está pasando y gestionar la estrategia de seguridad en los entornos en la nube dinámicos.
La inteligencia sobre amenazas consiste en recopilar y analizar información sobre las amenazas y los actores de amenazas emergentes o que ya existen para tomar decisiones bien fundadas en materia de seguridad. A partir de datos procedentes de distintas fuentes, las organizaciones prevén, detectan y mitigan posibles amenazas de seguridad antes de que afecten a las operaciones empresariales.
La protección en tiempo de ejecución garantiza la seguridad de las aplicaciones durante su ejecución mediante la supervisión activa y la mitigación de los ataques en tiempo real. Utiliza medidas como el análisis de comportamiento, la protección de la memoria y la supervisión de procesos para detectar y bloquear la actividad maliciosa con el fin de evitar que las aplicaciones sufran ataques durante su funcionamiento.
La automatización del cumplimiento normativo agiliza la aplicación de los requisitos en materia de políticas y normativas mediante la tecnología. Las herramientas de automatización evalúan los sistemas según ciertos valores de referencia, informan en caso de anomalías y corrigen los problemas para garantizar el cumplimiento normativo en todo momento. Al reducir los errores y las tareas manuales, la automatización del cumplimiento normativo contribuye a la solidez del marco de gobernanza.
La gestión de vulnerabilidades es un enfoque proactivo para gestionar los riesgos en materia de ciberseguridad. Abarca la detección, clasificación, priorización y corrección de las vulnerabilidades de software. Las herramientas de gestión de vulnerabilidades, que prestan especial atención a la mejora continua, analizan los entornos para detectar puntos débiles e implementan revisiones de seguridad o toman otras medidas correctivas para mitigar las posibles amenazas.
La seguridad de las funciones sin servidor se centra en proteger las arquitecturas de computación sin servidor en las que los desarrolladores implementan funciones individuales sin gestionar los servidores subyacentes. Aplica medidas de seguridad como los controles de permisos a nivel de función, la supervisión de la seguridad basada en eventos y la protección del entorno de ejecución frente a las amenazas. Dado que quien gestiona la infraestructura es el proveedor de la nube, las estrategias de seguridad se centran principalmente en las vulnerabilidades del código, para garantizar que los datos se manejen y transmitan de forma segura.
La seguridad de las API garantiza que las interfaces que exponen las funciones de las aplicaciones estén protegidas frente al uso indebido y los ataques. Para garantizar la seguridad de las API, se necesita una autenticación sólida, controles de accesos, cifrado y supervisión de actividades con el fin de proteger los intercambios de datos. Para ello, se recurre a estrategias como el uso de OAuth para la autorización, la implementación de límites de frecuencia para evitar usos indebidos y la utilización de puertas de enlace de API para filtrar el tráfico y detectar amenazas, garantizando así la resiliencia de las API frente a las amenazas.