¿Qué es una plataforma de protección de aplicaciones nativas en la nube (CNAPP)?
Las plataformas de protección de aplicaciones nativas en la nube (CNAPP) integran y centralizan en una sola interfaz de usuario funciones de seguridad dispares. Las CNAPP —un término acuñado por Gartner para designar lo que en Palo Alto Networks siempre hemos llamado plataformas de seguridad nativas en la nube (CNSP)— combinan funciones de gestión de la estrategia de seguridad en la nube (CSPM), plataformas de protección de cargas de trabajo en la nube (CWPP), gestión de derechos en las infraestructuras en la nube (CIEM) y seguridad de los ciclos de CI/CD en una solución integral y unificada que permite proteger las aplicaciones nativas en la nube a lo largo de todo su ciclo de vida.
Este enfoque garantiza la visibilidad de los sistemas aislados y permite a los equipos responsables de la seguridad, la infraestructura en la nube y las DevOps proteger todas las soluciones tecnológicas. Con las CNAPP, una sola plataforma protege las aplicaciones en tiempo de ejecución, además de integrar la seguridad en los flujos de trabajo de desarrollo para detectar y corregir posibles errores en las fases tempranas del ciclo de vida de las aplicaciones.
Del código a la nube: por qué necesita una plataforma como CNAPP
El problema de muchas organizaciones es que han abordado siempre la seguridad nativa en la nube de forma reactiva en lugar de hacerlo de manera proactiva, tratando cada problema de forma aislada y descartando un enfoque más integral. Así, han adoptado soluciones o herramientas individuales para cada cuestión, con lo que han acabado con una amalgama de tecnologías que genera aún más problemas, como los siguientes:
Las soluciones independientes dan más trabajo. Gestionar una cantidad de herramientas que no deja de crecer se acaba convirtiendo en un trabajo en sí mismo. La mayoría de estas soluciones no se comunican entre ellas y conseguir que lo hagan requeriría una carga de trabajo aún mayor, por lo que los equipos acaban teniendo una visibilidad y protección limitadas.
No se pueden aplicar mecanismos de protección coherentes. Hay decenas de herramientas de seguridad capaces de realizar controles en puntos concretos del ciclo de vida de las aplicaciones, pero si no se llevan a cabo controles coherentes a lo largo del desarrollo, la implementación y el tiempo de ejecución, los equipos de seguridad y riesgo perderán mucho tiempo comparando distintos datos sobre vulnerabilidades y errores de configuración.
La separación genera ángulos muertos. La mayoría de los equipos de seguridad en la nube necesitan analizar las amenazas presentes en los servicios en la nube, las cargas de trabajo o aplicaciones, las redes, los datos y los permisos. Sin una herramienta unificada, los ángulos muertos acaban apareciendo, pues quedan espacios desprotegidos entre una solución y otra.
Las CNAPP ofrecen ventajas evidentes para abordar todas estas cuestiones.
Los problemas distribuidos requieren soluciones integradas
Uno de los principales motivos por los que conviene adoptar una plataforma de seguridad completa e integrada es que, a la hora de garantizar la seguridad en la nube, los distintos equipos se encuentran con una compleja combinación de tareas detalladas que además se solapan entre las distintas áreas funcionales.
Infraestructura
Los equipos tienen que saber dónde empiezan y acaban sus responsabilidades en un modelo de responsabilidad compartida. A este respecto, los datos demuestran una y otra vez que las organizaciones tienden a sobrestimar los mecanismos de protección y las alertas que les puede proporcionar su proveedor de servicios en la nube. Además, aunque las instancias de conectividad, almacenamiento y computación comparten ciertas necesidades para las plataformas CSPM, cada uno de estos entornos también necesita controles de los accesos y permisos que tienen su origen en la CIEM.
Cargas de trabajo y aplicaciones
Del mismo modo, las cargas de trabajo y aplicaciones de esa infraestructura necesitan funciones de gestión de vulnerabilidades, supervisión del cumplimiento normativo, aplicación de políticas y protección en tiempo de ejecución. Tradicionalmente, siempre les ha correspondido a los equipos de seguridad o de DevOps la responsabilidad de garantizar que estas áreas estén protegidas. Sin embargo, estas herramientas se deben integrar con los datos que proceden de los ciclos de CI/CD, así como del tiempo de ejecución, en el caso de las aplicaciones web y las API.
Redes
Estas aplicaciones necesitan una red que garantice una conectividad segura y fiable. Para proteger las comunicaciones de la red, se debe aplicar el acceso según el criterio del mínimo privilegio a las cargas de trabajo que traten de acceder a otras cargas de trabajo y una prevención de amenazas integrada.
Identidad y permisos
Subyacentes a todas estas áreas, los derechos y permisos para acceder a los servicios y la infraestructura en la nube tienen que lograr un equilibrio entre la necesidad de un acceso distribuido y la gestión de riesgos para garantizar que no haya permisos excesivos ni obsoletos que puedan echar por tierra los demás esfuerzos realizados.
Programación y desarrollo
Los desarrolladores y los equipos de DevOps son responsables de entregar código de alta calidad, lo cual en la mayoría de los casos significa código seguro, pero les corresponde a los equipos de seguridad proporcionar a DevOps la información necesaria para crear ese código seguro. Para colocar las barreras de protección lo antes posible, se necesitan herramientas cohesionadas capaces de abarcar todo el ciclo de vida de las aplicaciones.
Cada equipo tiene que colaborar estrechamente para garantizar que estos mecanismos de protección se apliquen de forma coherente, y las CNAPP son las herramientas integradas que ayudan a acabar con la separación existente en la actualidad.
¿Cómo hemos llegado hasta aquí?
El desarrollo de aplicaciones nativas en la nube ha madurado hasta el punto de que ciertos supuestos prácticamente se pueden considerar hechos. Una de las primeras constataciones ha sido que los entornos en la nube son diversos, diferentes y distribuidos por su propia naturaleza. Para los profesionales que se ocupan de gestionar estos entornos tan dinámicos y complejos, una reacción natural era intervenir para imponer coherencia y uniformidad, pues gestionar los riesgos en estos entornos sería más difícil si hubiera que coordinar una gran cantidad de productos independientes que responden a una serie de requisitos específicos.
Para proteger la infraestructura y las aplicaciones nativas en la nube, las organizaciones tienen que adaptarse para ser más ágiles e integradas y afrontar las amenazas de manera proactiva empezando en el desarrollo. Asimismo, deben garantizar la seguridad a lo largo de todo el ciclo de vida del desarrollo, hasta los entornos en tiempo de ejecución. Para lograr esta agilidad, necesitan nuevas herramientas diseñadas especialmente para los entornos nativos en la nube, que sean capaces de abarcar todo el ciclo de vida del desarrollo de las aplicaciones y de ofrecer información crucial sobre la seguridad en el momento justo y en el lugar preciso.
Podemos afirmar con seguridad que Prisma Cloud pertenece a la categoría que Gartner denomina «CNAPP». Puede descargar el informe gratuito para consultar todas las recomendaciones.
Vídeo: Protección de entornos nativos en la nube con Prisma Cloud