Comparaciones de enfoques de seguridad nativos en la nube


Vinay Khanna, Ashwin Prabhu y Sriranga Seetharamaiah también contribuyeron a este artículo.

En la nube, las responsabilidades de seguridad se comparten entre el proveedor de servicios en la nube (CSP) y los equipos de seguridad empresarial. Para permitir que los equipos de seguridad proporcionen cumplimiento, visibilidad y handle en toda la pila de aplicaciones, los proveedores de servicios de seguridad y proveedores de seguridad han agregado varios enfoques innovadores en las diferentes capas. En este blog site comparamos los enfoques y proporcionamos un marco para que las empresas piensen en estos enfoques.

Descripción standard

Los proveedores de servicios en la nube están lanzando nuevos servicios a un ritmo vertiginoso para permitir que los desarrolladores de aplicaciones empresariales aporten nuevo valor comercial al mercado más rápidamente. Para cada uno de estos servicios, los CSP están asumiendo cada vez más la responsabilidad de la seguridad al tiempo que permiten que los equipos de seguridad empresarial se centren más en la aplicación. Para poder proporcionar visibilidad, seguridad y mejorar las herramientas existentes en entornos tan diversos y cambiantes, los CSP habilitan registros, API, agentes nativos y otras tecnologías que los equipos de seguridad de la empresa pueden utilizar.

Comparación

Hay muchos enfoques diferentes de seguridad y cada uno tiene diferentes compensaciones en términos de la profundidad de visibilidad y seguridad que brindan, la facilidad de implementación, los permisos requeridos, los costos y la escala en la que trabajan.

API y registros son el mejor enfoque para comenzar a descubrir sus cuentas en la nube y encontrar actividades anómalas interesantes para los equipos de seguridad en esas cuentas. Es fácil obtener acceso a los datos de varias cuentas utilizando estos mecanismos, sin que los equipos de seguridad tengan que hacer mucho más que obtener acceso cruzado a las numerosas cuentas de la organización. El enfoque proporciona una gran visibilidad, pero debe complementarse con enfoques de protección.

Análisis de imágenes e instantáneas son un buen enfoque para obtener datos más profundos de las cargas de trabajo antes de que se inicie la aplicación y durante su ejecución. En este método, la imagen / instantánea del disco del sistema en ejecución se puede analizar para detectar anomalías, vulnerabilidades, incidentes de configuración, etc. Las instantáneas proporcionan datos profundos de las cargas de trabajo, pero es posible que no detecten problemas de memoria residente como malware sin archivos. Además, a medida que avanzamos hacia cargas de trabajo efímeras, el análisis de instantáneas periódicamente puede tener un uso limitado. Es posible que el mecanismo no funcione para los servicios en la nube para los que es posible que no se puedan obtener instantáneas de disco. El enfoque proporciona datos profundos de instantáneas, pero debe complementarse con algunos enfoques de protección para que sea útil.

Agentes nativos y scripts son un buen enfoque para permitir una mayor visibilidad y controles al proporcionar una manera fácil de mejorar los agentes nativos de la nube como SSM en una máquina. Según la funcionalidad, los agentes pueden tener un uso elevado de recursos. El soporte del agente nativo está limitado por las capacidades proporcionadas por CSP, como el soporte / funciones del sistema operativo proporcionados. En muchos casos, los agentes nativos ejecutan comandos que registran la información necesaria, lo que implica que debemos tener el enfoque de registro funcionando en paralelo.

Contenedores DaemonSet y Sidecar es un enfoque para implementar agentes fácilmente en entornos de contenedor y sin servidor. Sidecar permite ejecutar un contenedor por pod, lo que proporciona datos profundos, pero el uso de recursos y el costo como resultado son altos, porque varios sidecars se ejecutarían en un solo servidor. Los sidecars pueden funcionar en modelos Container Serverless, en cuyo caso los contenedores DaemonSet no funcionan. Como la funcionalidad de un Sidecar y DaemonSet es como la de un agente, muchas de las limitaciones del agente mencionadas también se aplican aquí.

Agente El enfoque proporciona la visibilidad más profunda y el mejor control del entorno en el que se ejecuta una aplicación, mediante la ejecución de código coresidente con la aplicación. Sin embargo, este enfoque es más difícil porque los equipos de seguridad deben tener capacidades de descubrimiento profundo de antemano para poder implementar estos agentes. También hay fricción al agregar agentes, ya que tiene que ejecutarse en todas las máquinas y los equipos de seguridad no tienen derechos para ejecutar software package en todas las máquinas, especialmente en la nube. El uso de recursos y el costo de una solución pueden ser altos según los casos de uso admitidos. Las tecnologías más nuevas, como los filtros de paquetes extendidos de Berkley (eBPF), permiten reducir el uso de recursos de los agentes para hacerlos más agradables para un uso más amplio.

Integrado en la imagen / Integrado en el código El enfoque permite que la seguridad se integre en la imagen de la aplicación implementada. Esto permite implementar la funcionalidad de seguridad sin tener que trabajar en la implementación de un agente con cada carga de trabajo. Este enfoque proporciona una visibilidad profunda de la aplicación y funciona incluso para cargas de trabajo sin servidor. La compilación en código agrega una gran fricción al tener que agregar código en el proceso de compilación, y las bibliotecas de código deben estar disponibles en todos los lenguajes de aplicación.

MVISION CNAPP

MVISION Cloud adopta un enfoque múltiple para proteger las aplicaciones y permitir que los equipos de seguridad obtengan el manage de sus entornos en la nube.

  1. Los equipos de seguridad a menudo carecen de visibilidad de sus efímeras infraestructuras en la nube y MVISION Cloud proporciona una forma fluida mediante el uso del acceso IAM de cuentas cruzadas y luego el uso de API y registros para proporcionar visibilidad en los entornos de la nube.
  2. Usando el mismo acceso, MVISION Cloud no solo puede proporcionar una Auditoría de la configuración del entorno del cliente, sino también realizar escaneos de imágenes para identificar vulnerabilidades en los componentes de la carga de trabajo.
  3. MVISION Cloud puede ayudar a identificar el riesgo de los recursos, para que los equipos de seguridad puedan concentrarse en asegurar los recursos adecuados. Todo esto sin tener que desplegar un agente.
  4. Luego, utilizando enfoques como Sidecars, contenedores y agentes DaemonSet, MVISION CNAPP ayuda a proporcionar una visibilidad profunda y protege las aplicaciones contra los ataques más sofisticados al proporcionar monitoreo de integridad de archivos (FIM), lista de permisos de aplicaciones (AAL), Anti-Malware, análisis de vulnerabilidad en tiempo de ejecución y realizar comprobaciones de endurecimiento.
  5. Al utilizar los datos de todas las fuentes, MVISION CNAPP proporciona una puntuación de riesgo frente a incidentes para ayudar a los equipos de seguridad a priorizar los incidentes y centrarse en los mayores riesgos.

Conclusión

Los diversos enfoques de seguridad tienen sus propias compensaciones únicas y ningún enfoque puede satisfacer todos los requisitos de los distintos equipos, para el conjunto diverso de plataformas que admiten.

En cualquier momento, los diferentes servicios en la nube estarán en diferentes niveles de madurez de adopción. Los equipos de seguridad deben adoptar un enfoque incremental en el que comienzan a adoptar soluciones que son fáciles de insertar y pueden proporcionar la barrera básica de seguridad y visibilidad, al comienzo del ciclo de adopción del servicio. A medida que las aplicaciones de un servicio maduran y las aplicaciones de mayor valor se ponen en línea, será necesario un enfoque de seguridad que proporcione un descubrimiento y un handle más profundos para complementar los enfoques existentes.

Ningún enfoque podrá satisfacer todos los casos de uso de los clientes y en cualquier momento habrá diferentes conjuntos de soluciones de seguridad que estarán activas. Nos dirigimos a un mundo de enfoques de seguridad aún más diversos, que deben funcionar a la perfección para ayudar a proteger la empresa.





Enlace a la noticia primary