Como escolher uma ferramenta de CSPM moderna para reduzir o risco de sua infraestrutura em nuvem

As soluções de gerenciamento da postura de segurança na nuvem tornaram-se obrigatórias para detectar e corrigir configurações incorretas em nuvens públicas, do código ao tempo de execução.

À medida que as organizações adotam avidamente serviços em nuvem pública para transformar digitalmente os processos de negócios, elas encontram vulnerabilidades críticas baseadas em nuvem que suas ferramentas legadas não conseguem resolver. Para encontrar e corrigir essas falhas de software, configurações incorretas e comprometimentos de identidade, as organizações precisam de uma solução de gerenciamento da postura de segurança em nuvem (CSPM).

Introduzidas há alguns anos, as ofertas de CSPM passaram por vários ciclos de inovação e agora têm status de mainstream no mercado de segurança em nuvem. No entanto, como costuma acontecer com tecnologias sob demanda, os líderes de segurança podem ter dificuldade ao separar o joio do trigo enquanto avaliam as opções em um mercado atribulado.

Não se preocupe, nós podemos ajudar.

Nesta postagem do blog, explicaremos o que é CSPM, quais recursos você deve procurar e quais perguntas deve fazer para escolher a solução certa para suas necessidades de segurança em nuvem.

O básico sobre CSPM 

Durante anos, as organizações foram aumentando o uso da infraestrutura em nuvem pública, mas a adoção foi exagerada durante a pandemia, à medida que os departamentos de TI lutavam para se adaptar ao aumento do trabalho remoto.

Essa tendência acelerou a adoção de softwares de segurança na nuvem, incluindo CSPM, que automatiza a detecção e a resolução de problemas de segurança e conformidade, como configurações incorretas, em aplicações e serviços desenvolvidos e implantados em infraestruturas em nuvem pública.

A princípio, o CSPM concentrou-se em estabelecer uma linha de base de configuração segura em ambientes de tempo de execução e monitorá-los quanto a desvios. Essa abordagem era suficiente quando a infraestrutura em nuvem era definida e gerenciada no tempo de execução.

No entanto, uma parte significativa da infraestrutura em nuvem agora é definida e gerenciada como código durante o estágio de desenvolvimento, uma tendência que deve se intensificar. Isso significa que configurações incorretas também são introduzidas durante o desenvolvimento.

Assim, à medida que a popularidade da infraestrutura como código (IaC) cresce, as soluções de CSPM devem ser capazes de “fazer um teste antecipado (shift left)” para detectar e resolver configurações incorretas também durante o desenvolvimento, não apenas no tempo de execução.

Os três princípios do CSPM moderno

Ao avaliar as ofertas de CSPM, elas devem oferecem recursos nestas três áreas principais:

Proteger a IaC 

A solução de CSPM deve verificar a IaC durante o desenvolvimento, quando o código está sendo escrito, para detectar e resolver configurações incorretas e estabelecer uma linha de base segura. Isso garante que a infraestrutura em nuvem não seja provisionada com riscos e seja concebida desde o início com segurança.

Perguntas importantes a serem feitas:

• Quais tipos de IaC e quais padrões de conformidade e segurança são compatíveis?
• Quantas políticas predefinidas estão disponíveis?
• Como as vias de violação são identificadas e os problemas priorizados para resolução?
• O código é gerado automaticamente para resolver configurações incorretas e criar solicitações pull?
• Com quais ferramentas de CI/CD a solução se integra?

Monitorar as configurações da infraestrutura no tempo de execução

Como os usuários alterarão as configurações no tempo de execução, causando desvios, a oferta de CSPM deverá monitorar continuamente as configurações no tempo de execução em relação à linha de base da IaC para manter um ambiente seguro.

Perguntas importantes a serem feitas:

• Quais ambientes de tempo de execução são compatíveis?
• A solução identifica a criação ou o encerramento de recursos em relação a uma linha de base segura definida por meio de IaC?
• A solução identifica alterações na configuração de um recurso a partir de sua definição na linha de base da IaC?
• A solução aplica o mesmo conjunto de políticas no tempo de execução que foram usadas para avaliar a IaC?
• Como a solução identifica possíveis vias de violação em tempo de execução e prioriza problemas para correção?

Correção da IaC

O CSPM deve sempre se referir à IaC como a única fonte de informação. Portanto, se uma alteração apresentar risco, a instância da nuvem será reimplantada considerando a linha de base segura da IaC. Caso contrário, a IaC é atualizada para refletir a mudança e estabelecer uma nova linha de base.

Perguntas importantes a serem feitas:

• Quando uma alteração é feita no tempo de execução, a solução gera automaticamente o código para resolver o problema?
• A solução cria solicitações pull ou merge sistematicamente com o código para atualizar a IaC e corrigir o desvio criado no tempo de execução?

Quer insights de CSPM mais aprofundados?

Esperamos que essas informações sejam úteis em seus esforços para selecionar a melhor solução de CSPM para sua organização. Se você quiser se aprofundar neste tópico, baixe nosso ebook “Gerenciamento de vulnerabilidades do código à nuvem: seu guia para CSPMs modernos”, que abrange detalhes muito mais profundos sobre o que procurar em um CSPM de última geração.

Faça download do ebook hoje mesmo!