Mentre lo scenario della sicurezza del cloud si evolve, molte organizzazioni stanno adattando e valutando i propri stack di controllo includendo nuovi servizi, opzioni cloud-native e piattaforme cloud offerte da noti security vendor.
Negli ultimi anni abbiamo assistito alla nascita di un grande numero di acronimi relativi alla sicurezza del cloud – tra cui CASB, CSPM e CWPP, per citarne alcuni – ed ora spunta un altro acronimo, CNAPP, che sta per cloud-native application protection platform.
Cos’è esattamente questo nuovo acronimo? Perché può essere utile? Quali aziende dovrebbero considerare una CNAPP nella loro architettura cloud e nella pianificazione della distribuzione?
Cos’è una CNAPP?
Una piattaforma di protezione delle applicazioni cloud-native, in breve, è una combinazione di elementi tecnologici per la sicurezza del cloud. Nelle CNAPP convergono la sicurezza del workload e quella relativa alla configurazione per il piano di controllo del cloud, già presenti nelle piattaforme di protezione del workload del cloud (CWPP), assieme alla gestione della postura di cloud security (CSPM). Le CNAPP incorporano inoltre anche la gestione dei diritti di identità, la automation security e la orchestration security (in particolare per Kubernetes), e la protezione delle API.
Le CNAPP si concentrano sul concetto di cloud-native, riguardante le tecnologie e i controlli cloud-centrici che aiutano a compattare e proteggere l’intero processo di distribuzione delle applicazioni in un unico prodotto. La capacità è il driver principale del settore per i prodotti cloud-native in generale e i CNAPP in particolare: la maggior parte dei team di cloud security non hanno il tempo o la larghezza di banda per costruire e gestire modelli di controllo unici che coprono carichi di lavoro, servizi cloud, identità e il piano di controllo del cloud.
Cosa fare prima di adottare un CNAPP
I team di sicurezza, DevOps e di ingegneria del cloud potrebbero chiedersi perché hanno bisogno di la CNAPP: è qualcosa che ha senso? Ci sono offerte valide sul mercato? Domande più che lecite visto l’aumento degli strumenti e dei servizi di cloud security emersi negli ultimi anni.
Le CNAPP non sono ancora un’opzione matura, gli elementi che le compongono, già prima descritti, stanno maturando rapidamente, ma l’offerta combinata è ancora in fase di sviluppo. La maggior parte dei prodotti commerciali oggi sono validi per uno o forse alcuni di questi elementi, ma quasi nessun fornitore commerciale riesce ancora a eccellere in tutti. Gli strumenti CWPP sono tanti e i servizi CSPM sono comuni ma pochi provider riescono ad offrire livelli eccellenti per entrambi e anche per l’orchestrazione e la sicurezza delle API.
Perché le CNAPP possono essere utili
Le CNAPP spostano i controlli e le valutazioni della sicurezza in-the-cloud all’inizio della pipeline, a differenza delle opzioni standalone del passato, ad esempio analizzando i modelli di infrastructure-as-code (IaC) per i controlli di configurazione prima della distribuzione e cercando le vulnerabilità delle immagini dei container e le impostazioni di configurazione dei pod e dei cluster di Kubernetes. In una certa misura si tratta di aree che sono già state coperte in una certa misura, ma nessun singolo fornitore o prodotto offre performance significative in tutte queste aree contemporaneamente.
Le CNAPP sono anche molto focalizzate sull’automazione e l’integrazione delle API, un aspetto molto importante per i team DevOps che vogliono che i controlli di sicurezza siano integrati con gli strumenti e i servizi della pipeline per ridurre al minimo le interruzioni e semplificare le distribuzioni di continuous integration/continuous delivery.
Il futuro delle CNAPP
Il concetto di piattaforma di protezione delle applicazioni cloud-native è destinato ad avere successo, anche se l’acronimo stesso molto meno. C’è infatti un forte bisogno di capacità unificate di sicurezza attraverso la conduzione di DevOps, soprattutto quando si tratta di immagini del workload, IaC, orchestrazione e postura di vulnerabilità, configurazione e monitoraggio per il piano di controllo del cloud, e workload di runtime nel cloud.
Ci sono diversi requisiti che le piattaforme di protezione delle applicazioni cloud-native devono soddisfare per raggiungere questi obiettivi: una potente integrazione API per l’esplorazione delle risorse e la postura di vulnerabilità e configurazione; integrazione con gli strumenti della pipeline DevOps per valutare rapidamente e accuratamente i modelli IaC e le immagini del workload; e protezione runtime per tutti i tipi di carichi di lavoro, comprese le funzioni serverless.