Aplicações nativas em nuvem revolucionaram a forma como desenvolvemos, implantamos e gerenciamos software. Com a adoção de tecnologias de nuvem, as organizações estão adotando Programas de Proteção de Aplicações Nativas em Nuvem (CNAPPs). Em sua essência, eles tentam garantir a segurança de aplicações nativas em nuvem em tempo de execução. Utilizam ferramentas como Cloud Security Posture Management (CSPM) e Cloud Workload Protection Platform (CWPP) para detectar e remediar configurações incorretas e incidentes de segurança.
CNAPPs são frequentemente apresentados como a ferramenta ideal para a segurança em nuvem. Prometem proteção abrangente para aplicações nativas em nuvem. No entanto, essas plataformas possuem limitações inerentes. Isso pode deixar as organizações expostas a riscos e violações de segurança. Esse fato nem sempre é enfatizado.
1. Projetados apenas para a nuvem
CNAPPs são voltados para ambientes nativos em nuvem. Muitas vezes, negligenciam as necessidades de segurança em ambientes tradicionais on-premises. Uma abordagem apenas para a nuvem apresenta obstáculos para organizações que operam em ambos os ambientes. Há uma falta de cobertura abrangente em diferentes cenários de desenvolvimento. Sem medidas de segurança para ambientes híbridos, as organizações precisam lidar com riscos elevados de segurança e problemas de conformidade. Ou devem gerenciar ferramentas separadas, sem insights de segurança integrados e correlacionados.
2. Foco no tempo de execução
CNAPPs priorizam a abordagem de ameaças e riscos durante a fase de execução. Embora sejam excelentes em identificar ameaças em tempo de execução, vulnerabilidades introduzidas durante as fases de codificação e teste do Ciclo de Vida do Desenvolvimento de Software (SDLC) podem passar despercebidas. Esse atraso aumenta a probabilidade de problemas de segurança não serem abordados até se tornarem críticos em produção. Isso coloca o negócio em risco de violações de segurança e compromissos de dados.
3. Segurança da infraestrutura versus segurança da aplicação
Ao priorizar a proteção da infraestrutura em nuvem, os CNAPPs oferecem capacidades limitadas para identificar e mitigar vulnerabilidades dentro do código da aplicação. Isso os torna uma solução incompleta. Proteger a infraestrutura é essencial, mas deve ser complementado por uma robusta segurança do código da aplicação para uma proteção abrangente.
4. Visibilidade limitada ao nível do código
CNAPPs enfrentam um desafio significativo na detecção de vulnerabilidades no nível do código. Isso ocorre devido à sua visibilidade limitada no código da aplicação. Ao contrário de soluções AppSec mais abrangentes que podem cobrir ambientes híbridos, CNAPPs frequentemente dependem de ferramentas de terceiros para análise de código. Essas ferramentas muitas vezes não são aprofundadas. Isso pode resultar em desafios na identificação e gestão de vulnerabilidades. Como resultado, as equipes de segurança têm dificuldade em identificar riscos no código da aplicação. Além disso, têm dificuldade em correlacionar vulnerabilidades em produção com sua localização no código para os desenvolvedores remediarem.
5. Cobertura incompleta de segurança de APIs
CNAPPs carecem de cobertura abrangente para vulnerabilidades de APIs. A segurança de APIs é vital para proteger aplicações modernas que dependem de APIs para comunicação. CNAPPs frequentemente desenvolvem suas próprias funcionalidades de segurança de APIs internamente. No entanto, estas são vistas como ad hoc, na melhor das hipóteses. Devido ao seu foco em tempo de execução, eles frequentemente perdem aspectos cruciais da segurança de APIs.
6. Falta de foco nos desenvolvedores
Os desenvolvedores nunca foram parte do plano dos CNAPPs. Seu enfoque na segurança da infraestrutura tem pouca participação dos desenvolvedores. Isso significa que os fornecedores de CNAPP não se concentram nas necessidades dos desenvolvedores ou na integração com seus fluxos de trabalho e ferramentas. CNAPPs frequentemente falham em fornecer capacidades amigáveis para desenvolvedores, impactando a experiência do desenvolvedor e a colaboração no desenvolvimento de software.
7. Integração inadequada com IDEs
Os desenvolvedores dependem de IDEs para codificação. No entanto, se esses IDEs não estiverem integrados e não conseguirem trazer insights diretamente para o ambiente de trabalho do desenvolvedor, eles não receberão feedback em tempo real sobre preocupações de segurança. Isso torna difícil corrigi-las rapidamente. Como os CNAPPs se integram na fase de tempo de execução, há um grande atraso na descoberta de vulnerabilidades. Isso aumenta a chance de vulnerabilidades não serem descobertas até o tempo de execução, potencialmente expondo aplicações a atores mal-intencionados.
8. Orientação inadequada de remediação
Sem orientação clara, priorizar e resolver riscos de segurança se torna difícil. CNAPPs oferecem orientação insuficiente para remediar vulnerabilidades identificadas no código. Qualquer conselho de remediação fornecido tende a carecer de especificidade do ponto de vista do desenvolvedor, tornando difícil para eles implementarem correções eficazes.
9. Detecção versus prevenção
CNAPPs se concentram principalmente em monitorar e responder a riscos de segurança, em vez de preveni-los proativamente. Essa limitação prejudica a capacidade da organização de prevenir efetivamente vulnerabilidades específicas da aplicação e desafios de segurança de entrarem em produção. Sem a capacidade de impor políticas de segurança preventivas e interromper o processo de construção na fase de codificação, os CNAPPs lutam para fornecer proteção abrangente contra vulnerabilidades no código que chegam à produção.
Ao integrar a Checkmarx com uma solução CNAPP, as organizações podem superar as limitações inerentes dos CNAPPs. Oferecemos ferramentas avançadas de segurança para apoiar todo o ciclo de desenvolvimento em ambientes de nuvem híbrida. Essa integração aprimora os fluxos de trabalho dos desenvolvedores. Fornecendo feedback de segurança em tempo real durante a codificação, permitindo a detecção e remediação precoce de vulnerabilidades. Com nossa abordagem de segurança proativa, as vulnerabilidades são abordadas ao longo do ciclo de vida do desenvolvimento de software. Correlacionando insights de tempo de execução dos CNAPPs para melhor priorização de riscos e reduzindo o ruído de alertas em até 90%. Ao impor políticas de segurança personalizáveis e mitigar ameaças relacionadas a APIs, preenchemos a lacuna entre a segurança da infraestrutura em nuvem e a segurança da aplicação. Isso fornece uma solução abrangente para proteger aplicações nativas em nuvem.
Post originalmente escrito por Sagy Kratu, disponível em Blog da Checkmarx.
A Checkmarx é uma empresa israelense de software de segurança de aplicação, cuja missão é fornecer às organizações empresariais produtos e serviços de teste de segurança de sistemas e aplicações que capacitem desenvolvedores a fornecer software mais seguro e com mais rapidez. Entre os mais de 1400 clientes da empresa estão cinco dos dez principais fornecedores de software do mundo e muitas organizações da Fortune 500 e do governo, incluindo SAP, Samsung e Salesforce.com.