Cómo elegir una herramienta moderna de CSPM para reducir el riesgo de su infraestructura en la nube

Las soluciones de gestión de la postura de seguridad en la nube se han convertido en algo necesario para detectar y corregir errores de configuración en nubes públicas, desde el código hasta el tiempo de ejecución

En la medida en que las organizaciones adoptan con entusiasmo los servicios de nube pública para transformar digitalmente los procesos de negocios, se enfrentan a vulnerabilidades críticas basadas en la nube que sus herramientas legadas no pueden abordar. Para encontrar y corregir estos defectos de software, configuraciones erróneas y riesgos de identidades, las organizaciones necesitan una solución de gestión de la postura de seguridad en la nube (CSPM).

Las ofertas de CSPM, presentadas por primera vez hace años, han pasado por varios ciclos de innovación y ahora se están volviendo populares en el mercado de la seguridad en la nube. Sin embargo, como pasa frecuentemente con las tecnologías bajo demanda, el revuelo en el mercado puede dificultar que los líderes de seguridad evalúen objetivamente las opciones.

No se preocupe, nosotros lo protegemos.

En esta publicación de blog, explicaremos qué es la CSPM, qué capacidades debe buscar y qué preguntas debe formular para elegir la solución adecuada para sus necesidades de seguridad en la nube.

La historia detrás de la CSPM 

Durante años, las organizaciones han estado impulsando el uso de su infraestructura en la nube pública, pero la adopción se intensificó durante la pandemia y los departamentos de TI se apresuraron a adaptarse al aumento del trabajo remoto.

Esta tendencia ha dado lugar a la adopción de productos de seguridad en la nube, incluyendo CSPM, que automatizan la detección y resolución de problemas de seguridad y cumplimiento, como las configuraciones erróneas, en aplicaciones y servicios desarrollados e implementados en infraestructuras de nube pública.

Al principio, la CSPM se centró en establecer una base de referencia de configuración segura en entornos de tiempo de ejecución y en monitorear dichos entornos para determinar los desfases. Este abordaje bastaba cuando la infraestructura en la nube se definía y gestionaba en tiempo de ejecución.

Sin embargo, una parte significativa de la infraestructura en la nube ahora se define y gestiona como código durante la fase de desarrollo, una tendencia que se espera que se intensifique, lo que implica que también se introduzcan configuraciones erróneas durante el desarrollo.

Por lo tanto, a medida que crece la popularidad de Infrastructure as Code (IAC), las soluciones CSPM deben ser capaces de acelerar la detección (shift left) para descubrir y resolver errores de configuración también durante el desarrollo, no sólo en tiempo de ejecución.

Los tres postulados de la CSPM

En la medida en que evalúa las ofertas de CSPM, debe asegurarse de que ofrezcan capacidades en estas tres áreas clave:

Protección de IaC 

La solución CSPM debe escanear la IaC durante el desarrollo, cuando se está escribiendo el código, para detectar y resolver errores de configuración y establecer una base de referencia segura. Esto garantiza que la infraestructura en la nube no se aprovisione con riesgos y que “nazca segura”.

Preguntas importantes a formular:

• ¿Qué tipos de IaC y qué normas de cumplimiento y seguridad cuentan con soporte?
• ¿Cuántas políticas predefinidas hay disponibles?
• ¿Cómo se identifican las rutas de filtraciones de datos y se priorizan los problemas para su resolución?
• ¿Se genera código automáticamente para resolver las configuraciones erróneas y se crean solicitudes de incorporación de cambios?
• ¿Con qué herramientas CI/CD se integra la solución?

Configuraciones de infraestructura de monitoreo en tiempo de ejecución

Debido a que los usuarios cambiarán las configuraciones en tiempo de ejecución, provocando un desfase, la oferta de CSPM debe monitorear continuamente las configuraciones en tiempo de ejecución con respecto a la base de referencia de IaC para mantener un entorno seguro.

Preguntas importantes a formular:

• ¿Qué entornos de tiempo de ejecución se admiten?
• ¿La solución identifica la creación o terminación de recursos en relación con una base de referencia segura definida a lo largo de IaC?
• ¿La solución identifica los cambios en la configuración de un recurso a partir de su definición en la base de referencia de IaC?
• ¿La solución aplica el mismo conjunto de políticas en tiempo de ejecución que se utilizaron para evaluar la IaC?
• ¿Cómo identifica la solución las posibles rutas de filtración de datos en tiempo de ejecución y prioriza los problemas para su resolución?

Correcciones a través de IaC

La CSPM siempre debe referirse a IaC como la única fuente de verdad, de modo que si un cambio genera riesgos, la instancia en la nube se vuelve a implementar de acuerdo a la base de referencia IaC segura. De lo contrario, la IaC se actualiza para reflejar el cambio y establecer una nueva base de referencia de IaC.

Preguntas importantes a formular:

• Cuando se realiza un cambio en tiempo de ejecución, ¿la solución genera automáticamente el código para resolver el problema?
• ¿La solución crea mediante programación solicitudes de incorporación de cambios con el código para actualizar la IaC y corregir el desfase creado en tiempo de ejecución?

Esperamos que esta información resulte útil en sus esfuerzos por seleccionar la mejor solución de CSPM para su organización.