Qual a importância de termos uma solução de CNAPP?

Qual a importância de termos uma solução de CNAPP?

A boa gestão de segurança dos ambientes foi um problema levado do on-premise à nuvem pública. A necessidade de termos diversas ferramentas para monitorar a postura de segurança dos recursos deixava os times desconfortáveis, pois os times frequentemente descobriam recursos não monitorados (e que consequentemente apresentavam riscos à saúde do ambiente). Hoje falaremos do CNAPP (em especial do Microsoft Defender for Cloud), uma solução que veio para deixar a vida dos times de segurança mais tranquila.


💡
Antes de iniciarmos o conteúdo, faço questão de mencionar meu amigo Yuri Diógenes (https://www.linkedin.com/in/yuridiogenes/), Principal PM do Microsoft Defender for Cloud e a maior referência quando o assunto é CNAPP. Aproveito para deixar este link para uma de suas palestras sobre o tema: Improving your multi-cloud security with a Cloud Native Application Protection Platform (CNAPP).

O que é CNAPP?

What is a Cloud Native Application Protection Platform (CNAPP)?

O termo CNAPP (Cloud Native Application Protection Platform) faz referência a uma solução centralizada de segurança para ambientes cloud. Todas as funcionaliades de segurança necessárias em um ambiente cloud, estão presentes na solução, facilitando o trabalho dos administradores e dos times de segurança.

Uma característica importantíssima das soluções de CNAPP é a segurança de ambientes multi-cloud, não se limitando apenas a um provedor. Para que sua organização consiga extrair todos os benefícios da solução, é importante que você escolha uma ferramenta que habilite essa visão cross-provider, caso contrário, teremos replicado o problema de se ter múltiplas visões dos ambientes, tendo que orquestrar diferentes soluções, paineis e acessos.

Além do suporte multi-cloud e visão centralizada, as seguintes (também) são características das soluções de CNAPP existentes no mercado:

  • CSPM (Cloud Security Posture Management) - importante em qualquer ambiente cloud, a solução de CSPM é a responsável por fornecer uma visão de como o ambiente está em relação aos benchmarks e melhores práticas de mercado. Com ela podemos visualizar as configurações críticas que não estão aplicadas em nosso ambiente e solucionar o tal problema, garantindo assim uma melhor cobertura das boas práticas de segurança.

  • CWPP (Cloud Workload Protection Platform) - focado nos recursos do provedor de nuvem, o CWPP identifica e analisa ameaças nos recursos da plataforma. A análise de ameaças é feita nos workloads que estão sendo rodando em seu ambiente, explorando a variedade de opções existentes para execução dessas aplicações.

  • CIEM (Cloud Infrastructure Entitlement Management) - considerado uma parte da disciplina de IAM (Identity and Access Management) o CIEM é responsável por centralizar o gerenciamento de acessos privilegiados nos provedores. Essas contas (muitas vezes superpoderosas) apresentam alto risco ao ambiente, pois caso comprometidas, possibilitarão ao detentor das credenciais, alto escopo de acessos ou de permissões.

Essa são algumas das principais características de uma solução de CNAPP. Com o intuito de incentivar a adoção desse tipo de ferramenta em sua organização, vamos agora falar sobre os benefícios que uma ferramenta como o Defender for Cloud pode trazer para o seu ambiente.


Benefícios

Na seção anterior, mencionamos algumas vezes a tendência das empresas de adoatarem múltiplos provedores de nuvem e a complexidade que isso gera no trabalho dos times de segurança. Somado a isso, a vasta variedade de recursos que podem ser criados nas plataformas fazem com que qualquer problema de configuração possa se tornar em uma tremenda dor de cabeça para a sua organização.

Se tirarmos os olhos do painel centralizado e focarmos nos recursos existentes em cada uma das ofertas da solução, enxergaremos ainda melhor os benefícios gerados.

Para as integrações ao SDLC (Software Development Lifecycle), podemos garantir aos times de engenharia de software a tranquilidade de saber que o código executado em produção foi escaneado para vulnerabilidades de diversas maneiras. Análises do código foram feitas durante o pipeline, buscando situações perigosas e que pudessem comprometer a integridade do código. As dependências também foram "varridas", evitando que uma dependência com vulnerabilidades altas seja utilizada nos códigos produtivos. "Segredos!", que são tão problemáticos, são identificados em tempo de commit, garantindo que as credenciais não cheguem aos repositórios (independente se forem públicos ou privados).

Em relação aos recursos de infraestrutura, temos uma série de atribuições que nos permitem protegê-los. Servidores poderão ser varridos e monitorados para ameaças e recomendações de hardening. Bases de dados diversas serão analisadas, na busca de servidores com autenticação fraca, criptografia at-rest desabilitada e até falta de mascaramento de dados. Sendo o alicerce de qualquer infraestrutura em nuvem, as estruturas de networking capturam muitos pontos de informação, que serão utilizados para detecção avançada de ataques ao seu ambiente e também na identificação de atores maliciosos ali presentes.

Até agora falamos apenas dos benefícios tecnológicos. E os benefícios financeiros? Afinal de contas, essa será a informação questionada pelos times de negócio que financiarão essas iniciativas de segurança.

O benefício financeiro está "escondido" no valor gerado pela solução de CNAPP. Não será logo de cara que os executivos da sua organização notarão o retorno financeiro da adoção do CNAPP, mas isso ficará evidente quando (e é só questão de tempo) houver um problema de segurança em algum dos ambientes da sua empresa. Um incidente grave, uma ameaça detectada, ou algo parecido. Após a rápida identificação e mitigação do problema de segurança, os analistas reportarão aos executivos (e ao CISO) o impacto no ambiente e é aí que estará escondido o valor dessa solução.

A rápida capacidade de identificação e remediação reduziu exponencialmente os danos à sua organização, poupando muuuuuuita dor de cabeça aos times de segurança e infraestrutura. É importante que os times de segurança levem esse report aos executivos para garantir o constante patrocínio para compra e manutenção das ferramentas de segurança, possibilitando a constante evolução nas camadas de proteção dos ativos da sua organização.


Microsoft Defender for Cloud

Microsoft Defender for Cloud

Falando especificamente da solução da Microsoft, o Defender for Cloud se apresenta como a principal ferramenta de CNAPP do mercado, tanto em capacidades funcionais quanto em cobertura. Atendendo ambientes multi-cloud (Azure, AWS, GCP e on-premise), o Defender possibilita a proteção dos workloads desde a concepção do código, ao sair da máquina do desenvolvedor, passar pelas pipelines e ter seu deploy feito em ambiente produtivo.

Para entrar em mais detalhes nas capacidades existentes no Defender for Cloud, vamos partir da seguinte imagem:

Temos mapeado acima os domínios específicos do Defender for Cloud, não havendo necessariamente um serviço do Defender para cada um dos domínios apresentados.

💡
É importante declarar que as integrações do Defender com outros cloud providers está em constante evolução, então é possível que nem todas as funcionalidades existentes em um dos produtos com o Azure esteja disponível no recurso equivalente do provedor de sua escolha.

Com o landscape apresentado acima, podemos enxergar claramente a cobertura cloud-wide do Defender. Baseado nos 3 pilares do gartner, podemos classificar as soluções da seguinte maneira:

Artifact Scanning

No Defender for Cloud DevOps Security, temos diversos recursos de segurança aplicados nos artefatos que passam nas soluções do Azure Pipelines, Azure DevOps e Github, nesse caso protegendo não apenas os códigos das aplicações, mas também os artefatos de IaC (Infrastructure as Code) que passam por ali.

Cloud Configuration

Tudo que diz respeito às boas práticas de segurança em uma plataforma cloud estão aqui representadas. Com soluções como o Defender for Servers, Defender for Storage, Defender for Database, Defender for Container, Defender for App Service, Defender for Key Vault, Defender for APIs, Defender for DNS, Defender for Resource Manager e principalmente o CSPM habilitadas, receberemos recomendações de segurança baseadas nos benchmarks utilizados pelo Azure, que nos permitirão reforçar a configuração dos nossos recursos, reduzindo a superfície de ataque para atores maliciosos.

💡
Os benchmarks utilizados por padrão são construídos pela própria Microsoft, com base nas melhores práticas de mercado e padrões de segurança reconhecidos. Você pode criar regras de identificação personalizadas, com o objetivo de garantir a aderência aos requisitos de compliance da sua empresa.

Runtime Protection

Os recursos de runtime protection visão garantir a proteção das plataformas de execução de aplicações. Nesses recursos, não são feitas apenas recomendações de melhora nas configurações, mas também temos a análise das possíveis ameaças que permeiam aquela plataforma.

💡
Outro recurso que é importante comentar é o Defender for Identity, que não foi representado nos diagramas anteriores. O Defender for identity faz parte do conjunto de capacidades do Defender for Cloud, mas não é considerado um "integrante" das funções de CNAPP da ferramenta. Sua responsabilidade é potencializar a proteção das soluções de identidade de uma empresa, fornecendo insights e recomendações em ambientes Entra e Active Directory.

CNAPP pode ser um conceito novo para você, da mesma forma que é um termo recente no campo da cibersegurança. É um daqueles assuntos que a cada dia que passa, ganha mais força e reconhecimento no mercado, por isso é importante ficar ligado!

Espero que tenha gostado do texto, me coloco à disposição para conversarmos sobre o tema, caso deseje.

Até logo!