Como escolher uma ferramenta de CSPM moderna para reduzir o risco de sua infraestrutura em nuvem
por Equipe Tenable
Página inicial do blog / Notícias e pontos de vista
As soluções de gerenciamento da postura de segurança na nuvem tornaram-se obrigatórias para detectar e corrigir configurações incorretas em nuvens públicas, do código ao tempo de execução.
À medida que as organizações adotam avidamente serviços em nuvem pública para transformar digitalmente os processos de negócios, elas encontram vulnerabilidades críticas baseadas em nuvem que suas ferramentas legadas não conseguem resolver. Para encontrar e corrigir essas falhas de software, configurações incorretas e comprometimentos de identidade, as organizações precisam de uma solução de gerenciamento da postura de segurança em nuvem (CSPM).
Introduzidas há alguns anos, as ofertas de CSPM passaram por vários ciclos de inovação e agora têm status de mainstream no mercado de segurança em nuvem. No entanto, como costuma acontecer com tecnologias sob demanda, os líderes de segurança podem ter dificuldade ao separar o joio do trigo enquanto avaliam as opções em um mercado atribulado.
Não se preocupe, nós podemos ajudar.
Nesta postagem do blog, explicaremos o que é CSPM, quais recursos você deve procurar e quais perguntas deve fazer para escolher a solução certa para suas necessidades de segurança em nuvem.
O básico sobre CSPM
Durante anos, as organizações foram aumentando o uso da infraestrutura em nuvem pública, mas a adoção foi exagerada durante a pandemia, à medida que os departamentos de TI lutavam para se adaptar ao aumento do trabalho remoto.
Essa tendência acelerou a adoção de softwares de segurança na nuvem, incluindo CSPM, que automatiza a detecção e a resolução de problemas de segurança e conformidade, como configurações incorretas, em aplicações e serviços desenvolvidos e implantados em infraestruturas em nuvem pública.
A princípio, o CSPM concentrou-se em estabelecer uma linha de base de configuração segura em ambientes de tempo de execução e monitorá-los quanto a desvios. Essa abordagem era suficiente quando a infraestrutura em nuvem era definida e gerenciada no tempo de execução.
No entanto, uma parte significativa da infraestrutura em nuvem agora é definida e gerenciada como código durante o estágio de desenvolvimento, uma tendência que deve se intensificar. Isso significa que configurações incorretas também são introduzidas durante o desenvolvimento.
Assim, à medida que a popularidade da infraestrutura como código (IaC) cresce, as soluções de CSPM devem ser capazes de “fazer um teste antecipado (shift left)” para detectar e resolver configurações incorretas também durante o desenvolvimento, não apenas no tempo de execução.
Os três princípios do CSPM moderno
Ao avaliar as ofertas de CSPM, elas devem oferecem recursos nestas três áreas principais:
Proteger a IaC
A solução de CSPM deve verificar a IaC durante o desenvolvimento, quando o código está sendo escrito, para detectar e resolver configurações incorretas e estabelecer uma linha de base segura. Isso garante que a infraestrutura em nuvem não seja provisionada com riscos e seja concebida desde o início com segurança.
Perguntas importantes a serem feitas:
- Quais tipos de IaC e quais padrões de conformidade e segurança são compatíveis?
- Quantas políticas predefinidas estão disponíveis?
- Como as vias de violação são identificadas e os problemas priorizados para resolução?
- O código é gerado automaticamente para resolver configurações incorretas e criar solicitações pull?
- Com quais ferramentas de CI/CD a solução se integra?
Monitorar as configurações da infraestrutura no tempo de execução
Como os usuários alterarão as configurações no tempo de execução, causando desvios, a oferta de CSPM deverá monitorar continuamente as configurações no tempo de execução em relação à linha de base da IaC para manter um ambiente seguro.
Perguntas importantes a serem feitas:
- Quais ambientes de tempo de execução são compatíveis?
- A solução identifica a criação ou o encerramento de recursos em relação a uma linha de base segura definida por meio de IaC?
- A solução identifica alterações na configuração de um recurso a partir de sua definição na linha de base da IaC?
- A solução aplica o mesmo conjunto de políticas no tempo de execução que foram usadas para avaliar a IaC?
- Como a solução identifica possíveis vias de violação em tempo de execução e prioriza problemas para correção?
Correção da IaC
O CSPM deve sempre se referir à IaC como a única fonte de informação. Portanto, se uma alteração apresentar risco, a instância da nuvem será reimplantada considerando a linha de base segura da IaC. Caso contrário, a IaC é atualizada para refletir a mudança e estabelecer uma nova linha de base.
Perguntas importantes a serem feitas:
- Quando uma alteração é feita no tempo de execução, a solução gera automaticamente o código para resolver o problema?
- A solução cria solicitações pull ou merge sistematicamente com o código para atualizar a IaC e corrigir o desvio criado no tempo de execução?
Esperamos que essas informações sejam úteis em seus esforços para selecionar a melhor solução de CSPM para sua organização.
Artigos relacionados
Cybersecurity Snapshot: U.S. Gov’t Unpacks AI Threat to Banks, as NCSC Urges OT Teams to Protect Cloud SCADA Systems
March 29, 2024Check out new guidance for banks on combating AI-boosted fraud. Plus, how to cut cyber risk when migrating SCADA systems to the cloud. Meanwhile, why CISA is fed up with SQLi flaws. And best practices to prevent and respond to DDoS attacks. And much more!
Cybersecurity Snapshot: NSA Picks Top Cloud Security Practices, while CNCF Looks at How Cloud Native Can Facilitate AI Adoption
March 22, 2024Check out the NSA’s 10 key best practices for securing cloud environments. Plus, learn how cloud native computing could help streamline your AI deployments. Meanwhile, don’t miss the latest about cyberthreats against water treatment plants and critical infrastructure in general. And much more!
FlowFixation: AWS Apache Airflow Service Takeover Vulnerability and Why Neglecting Guardrails Puts Major CSPs at Risk
March 21, 2024Tenable Research discovered a one-click account takeover vulnerability in the AWS Managed Workflows Apache Airflow service that could have allowed full takeover of a victim’s web management panel of the Airflow instance. The discovery of this now-resolved vulnerability reveals a broader problem of misconfigured shared-parent domains that puts customers of major CSPs at risk.
Cybersecurity Snapshot: U.S. Gov’t Unpacks AI Threat to Banks, as NCSC Urges OT Teams to Protect Cloud SCADA Systems
March 29, 2024Check out new guidance for banks on combating AI-boosted fraud. Plus, how to cut cyber risk when migrating SCADA systems to the cloud. Meanwhile, why CISA is fed up with SQLi flaws. And best practices to prevent and respond to DDoS attacks. And much more!
Enhancing Transportation Cybersecurity and Fleet Management for the DoD
March 25, 2024Few things can halt operations across the Department of Defense like a critical failure of logistics and transportation. From automated asset inventory to malicious-activity detections through baselining, learn how Tenable OT Security can protect these critical functions within the DoD and work towards the federal government’s zero trust mandate in OT environments.
Cybersecurity Snapshot: NSA Picks Top Cloud Security Practices, while CNCF Looks at How Cloud Native Can Facilitate AI Adoption
March 22, 2024Check out the NSA’s 10 key best practices for securing cloud environments. Plus, learn how cloud native computing could help streamline your AI deployments. Meanwhile, don’t miss the latest about cyberthreats against water treatment plants and critical infrastructure in general. And much more!
- Cloud