Las soluciones para el Cloud Security Posture Management (CSPM) se han convertido en una necesidad para detectar y corregir errores en la configuración de las nubes públicas, desde la codificación hasta los tiempos de ejecución.
A medida que las organizaciones adoptan con entusiasmo los servicios de nube pública para transformar digitalmente los procesos comerciales, se encuentran con vulnerabilidades críticas que sus herramientas de siempre no pueden abordar. Para encontrar y corregir estas fallas de software, configuraciones incorrectas y compromisos de identidad, las organizaciones necesitan un Cloud Security Posture Management (CSPM).
Con varios años ya en el mercado, las ofertas de CSPM han pasado por varios procesos de innovación y ahora son un factor importante en el mercado de la seguridad en la nube. Sin embargo, como sucede a menudo con las tecnologías en demanda, las múltiples opiniones dentro del mercado pueden hacer más difícil el trabajo para los líderes de seguridad al querer evaluar las opciones.
No se preocupe, lo tenemos cubierto.
En este blog, explicaremos qué es CSPM, qué capacidades debe buscar y qué preguntas debe hacerse para elegir la solución adecuada para sus necesidades de seguridad en la nube.
Adaptarse al entorno
Durante años, las organizaciones han estado impulsando el uso de la infraestructura de nube pública, pero esto se aceleró durante la pandemia. Tanto así que los departamentos de TI se esforzaron por adaptarse al aumento del trabajo remoto.
Esta tendencia ha acelerado la adopción de productos de seguridad en la nube, incluido el CSPM, que automatiza la detección y resolución de problemas de seguridad y cumplimiento. Por ejemplo, identificar configuraciones incorrectas en aplicaciones y servicios desarrollados e implementados en infraestructuras de nube pública.
Al principio, el CSPM se centró en establecer una línea base de configuración segura para los programas que se ejecutan en plataformas (runtime environments) y poder monitorearlos para detectar desviaciones. Este enfoque fue suficiente cuando la infraestructura de la nube se basaba en la ejecución de estos programas.
Sin embargo, una parte importante de la infraestructura de la nube ahora se define y administra como un código en etapa de desarrollo, una tendencia que se espera que se intensifique, lo que significa que también se introducen errores de configuración durante el desarrollo.
Por lo tanto, a medida que crece la popularidad de la infraestructura como código (IaC), las soluciones de CSPM deben poder migrar rápido para detectar y resolver errores de configuración también durante el desarrollo, no solo en el momento de la ejecución.
Los tres principios de la CSPM moderna
Al evaluar las ofertas de CSPM, asegúrese de que ofrezcan capacidades en estas tres áreas clave:
Infraestructura como Código (IaC) segura
La solución CSPM debe escanear IaC durante el desarrollo, cuando se escribe el código. Con esto se detectan y resuelven errores de configuración y se establece una línea de base segura. Este factor asegura que la infraestructura de la nube no esté creada con riesgos y «nazca segura».
Preguntas importantes que hacer:
- ¿Qué tipos de IaC y qué estándares de seguridad y cumplimiento son compatibles?
- ¿Cuántas políticas predefinidas hay disponibles?
- ¿Cómo se identifican las rutas de incumplimiento y se priorizan los problemas para su resolución?
- ¿Se genera un código automáticamente para resolver errores de configuración y crear solicitudes de implementación de cambios?
- ¿Con qué herramientas de CI/CD se integra la solución?
Supervisión de las configuraciones de infraestructura en base a “runtime environments”
Los usuarios cambiarán las configuraciones al momento de ejecutar el programa, lo que provocará desviaciones. La oferta de CSPM debe monitorear continuamente las configuraciones los runtime environments contra la línea base de IaC para mantener un entorno seguro.
Preguntas importantes que hacer:
- ¿Cuáles runtime environments son compatibles?
- ¿La solución identifica la creación o terminación de recursos en relación con una línea de base segura definida a través de IaC?
- ¿La solución identifica cambios en la configuración de un recurso a partir de su definición en la línea base de IaC?
- ¿La herramienta aplica el mismo conjunto de políticas en los runtime environments que se usaron para evaluar IaC?
- ¿Cómo identifica la solución las posibles rutas de incumplimiento en el tiempo de ejecución y prioriza los problemas para su resolución?
Soluciones a través de la IaC
El CSPM siempre debe hacer referencia a la IaC como la única fuente de verdad. Si un cambio presenta un riesgo, la configuración de la nube se vuelve a implementar en función de la línea de base segura de IaC. De lo contrario, el IaC se actualiza para reflejar el cambio y establecer una nueva línea base de IaC.
Preguntas importantes que hacer:
- Cuando se realiza un cambio en un runtime environment, ¿la solución genera automáticamente un código para resolver el problema?
- ¿La solución crea automáticamente solicitudes de extracción o combinación para con el código poder actualizar el IaC y remediar la deriva creada en el runtime environment?
BG2 Services y Tenable te ofrecen las mejores herramientas y soluciones para proteger tus datos. ¡Contáctanos!
Fuente
- Team Tenable. (2022). How to Choose a Modern CSPM Tool to Reduce Your Cloud Infrastructure Risk. Tenable. https://www.tenable.com/blog/how-to-choose-a-modern-cspm-tool-to-reduce-your-cloud-infrastructure-risk