TECHTARGET

Cosa serve sapere sulle piattaforme di protezione delle applicazioni cloud-native

Tra i più recenti acronimi dei tanti che il mondo della cloud security ci propone c’è CNAPP (Cloud-native application protection platform), una piattaforma di protezione delle applicazioni cloud-native destinata a restare in circolazione per diverso tempo

Pubblicato il 27 Gen 2022

cloud-native application protection platforms

Mentre lo scenario della sicurezza del cloud si evolve, molte organizzazioni stanno adattando e valutando i propri stack di controllo includendo nuovi servizi, opzioni cloud-native e piattaforme cloud offerte da noti security vendor.

Negli ultimi anni abbiamo assistito alla nascita di un grande numero di acronimi relativi alla sicurezza del cloud – tra cui CASB, CSPM e CWPP, per citarne alcuni – ed ora spunta un altro acronimo, CNAPP, che sta per cloud-native application protection platform.

Cos’è esattamente questo nuovo acronimo? Perché può essere utile? Quali aziende dovrebbero considerare una CNAPP nella loro architettura cloud e nella pianificazione della distribuzione?

Cos’è una CNAPP?

Una piattaforma di protezione delle applicazioni cloud-native, in breve, è una combinazione di elementi tecnologici per la sicurezza del cloud. Nelle CNAPP convergono la sicurezza del workload e quella relativa alla configurazione per il piano di controllo del cloud, già presenti nelle piattaforme di protezione del workload del cloud (CWPP), assieme alla gestione della postura di cloud security (CSPM). Le CNAPP incorporano inoltre anche la gestione dei diritti di identità, la automation security e la orchestration security (in particolare per Kubernetes), e la protezione delle API.

Le CNAPP si concentrano sul concetto di cloud-native, riguardante le tecnologie e i controlli cloud-centrici che aiutano a compattare e proteggere l’intero processo di distribuzione delle applicazioni in un unico prodotto. La capacità è il driver principale del settore per i prodotti cloud-native in generale e i CNAPP in particolare: la maggior parte dei team di cloud security non hanno il tempo o la larghezza di banda per costruire e gestire modelli di controllo unici che coprono carichi di lavoro, servizi cloud, identità e il piano di controllo del cloud.

Cosa fare prima di adottare un CNAPP

I team di sicurezza, DevOps e di ingegneria del cloud potrebbero chiedersi perché hanno bisogno di la CNAPP: è qualcosa che ha senso? Ci sono offerte valide sul mercato? Domande più che lecite visto l’aumento degli strumenti e dei servizi di cloud security emersi negli ultimi anni.

Le CNAPP non sono ancora un’opzione matura, gli elementi che le compongono, già prima descritti, stanno maturando rapidamente, ma l’offerta combinata è ancora in fase di sviluppo. La maggior parte dei prodotti commerciali oggi sono validi per uno o forse alcuni di questi elementi, ma quasi nessun fornitore commerciale riesce ancora a eccellere in tutti. Gli strumenti CWPP sono tanti e i servizi CSPM sono comuni ma pochi provider riescono ad offrire livelli eccellenti per entrambi e anche per l’orchestrazione e la sicurezza delle API.

Perché le CNAPP possono essere utili

Le CNAPP spostano i controlli e le valutazioni della sicurezza in-the-cloud all’inizio della pipeline, a differenza delle opzioni standalone del passato, ad esempio analizzando i modelli di infrastructure-as-code (IaC) per i controlli di configurazione prima della distribuzione e cercando le vulnerabilità delle immagini dei container e le impostazioni di configurazione dei pod e dei cluster di Kubernetes. In una certa misura si tratta di aree che sono già state coperte in una certa misura, ma nessun singolo fornitore o prodotto offre performance significative in tutte queste aree contemporaneamente.

Le CNAPP sono anche molto focalizzate sull’automazione e l’integrazione delle API, un aspetto molto importante per i team DevOps che vogliono che i controlli di sicurezza siano integrati con gli strumenti e i servizi della pipeline per ridurre al minimo le interruzioni e semplificare le distribuzioni di continuous integration/continuous delivery.

Il futuro delle CNAPP

Il concetto di piattaforma di protezione delle applicazioni cloud-native è destinato ad avere successo, anche se l’acronimo stesso molto meno. C’è infatti un forte bisogno di capacità unificate di sicurezza attraverso la conduzione di DevOps, soprattutto quando si tratta di immagini del workload, IaC, orchestrazione e postura di vulnerabilità, configurazione e monitoraggio per il piano di controllo del cloud, e workload di runtime nel cloud.

Ci sono diversi requisiti che le piattaforme di protezione delle applicazioni cloud-native devono soddisfare per raggiungere questi obiettivi: una potente integrazione API per l’esplorazione delle risorse e la postura di vulnerabilità e configurazione; integrazione con gli strumenti della pipeline DevOps per valutare rapidamente e accuratamente i modelli IaC e le immagini del workload; e protezione runtime per tutti i tipi di carichi di lavoro, comprese le funzioni serverless.

Valuta la qualità di questo articolo

La tua opinione è importante per noi!

Speciale Digital360Awards e CIOsumm.it

Tutti
Update
Keynote
Round table
Video
Digital360Awards e CIOsumm.it, i momenti salienti
Approfondimenti
La sinergia tra CIO e CISO trasforma la cybersecurity in un obiettivo di business strategico
Approfondimenti 
Etica dell’innovazione tecnologica per i CIO: prima chiedersi perché. Poi definire cosa e come
Eventi
Digital360 Awards e CIOsumm.IT, ecco i progetti vincitori
Tavola rotonda
Evoluzione del CIO: da centro di costo a motore strategico del business
Tavola rotonda
Business Process Augmentation: dall’RPA alla GenAI… il dato e tratto
Approfondimenti
Sistemi digitali potenziati: l’intelligenza dei chatbot è nelle mani dei CIO
Tavola rotonda
Intelligenza collaborativa e AI: sfide e opportunità per i CIO nell’era dello Human to Machine (H2M) 
Approfondimenti
Open Source: collaborazione e innovazione nel caos apparente del software libero 
Metodologie
BANI: che cos’è e come l’AI può aiutare i CIO a gestire la felicità (e l’infelicità) dei talenti
Prospettive
AI in un mondo complesso. Tra ordine e disordine, le aziende iniziano a capire la giusta via
Approfondimenti
Intelligenza Umana vs Intelligenza Artificiale insieme. Non invece
Eventi
Digital360 Awards e CIOsumm.IT, al via l’evento conclusivo
Video
Digital360Awards e CIOsumm.it, i momenti salienti
Approfondimenti
La sinergia tra CIO e CISO trasforma la cybersecurity in un obiettivo di business strategico
Approfondimenti 
Etica dell’innovazione tecnologica per i CIO: prima chiedersi perché. Poi definire cosa e come
Eventi
Digital360 Awards e CIOsumm.IT, ecco i progetti vincitori
Tavola rotonda
Evoluzione del CIO: da centro di costo a motore strategico del business
Tavola rotonda
Business Process Augmentation: dall’RPA alla GenAI… il dato e tratto
Approfondimenti
Sistemi digitali potenziati: l’intelligenza dei chatbot è nelle mani dei CIO
Tavola rotonda
Intelligenza collaborativa e AI: sfide e opportunità per i CIO nell’era dello Human to Machine (H2M) 
Approfondimenti
Open Source: collaborazione e innovazione nel caos apparente del software libero 
Metodologie
BANI: che cos’è e come l’AI può aiutare i CIO a gestire la felicità (e l’infelicità) dei talenti
Prospettive
AI in un mondo complesso. Tra ordine e disordine, le aziende iniziano a capire la giusta via
Approfondimenti
Intelligenza Umana vs Intelligenza Artificiale insieme. Non invece
Eventi
Digital360 Awards e CIOsumm.IT, al via l’evento conclusivo

Articoli correlati

Articolo 1 di 2