Zscaler Cloud Platform

CNAPP e SASE: due piattaforme per controllare tutto

Una serratura digitale

Quando si apre un nuovo mercato di tecnologie dell'informazione B2B, i fornitori tendono a proporre miriadi di soluzioni ad hoc, ciascuna con le sue peculiari caratteristiche all'interno della propria nicchia di riferimento. Nell'ambito della sicurezza dei cloud pubblici, questo è ancora più evidente, con un marasma di soluzioni dagli acronimi praticamente incomprensibili, ognuna delle quali risolve una piccola parte del più ampio problema legato alla protezione del cloud: CSPM, CIEM, DLP, IAM, multicloud networking, microsegmentazione, scansione IaC, sicurezza runtime dei container e valutazione delle vulnerabilità, per citarne alcuni. 

Anche se si disponesse del budget necessario per acquistare tutti questi strumenti separatamente, la complessità operativa associata alla formazione del personale, all'integrazione dei prodotti e alla gestione di una dozzina di fornitori diversi si rivelerebbe un incubo. Fortunatamente, con la maturazione del cloud pubblico, le aziende stanno convergendo su due piattaforme principali che soddisfano le loro esigenze di protezione dei carichi di lavoro attraverso una strategia basata sulla sicurezza zero trust: Cloud Native Application Protection Platform (CNAPP) e Secure Access Service Edge (SASE).

La sicurezza zero trust consiste essenzialmente in un framework costruito attorno al concetto di accesso a privilegi minimi, secondo cui nessuna applicazione e nessun utente dovrebbero essere intrinsecamente ritenuti attendibili. L'elemento rivoluzionario di questo approccio è che rappresenta completamente l'opposto rispetto a quello adottato dalle aziende nel corso degli ultimi vent'anni. Dall'inizio degli anni '90, la sicurezza delle informazioni ha ruotato attorno al concetto di un perimetro sicuro, per tenere fuori i cattivi e proteggere i buoni.

Nell'approccio zero trust, tutto e tutti sono considerati ostili. Ma, naturalmente, se si tiene tutto fuori, è difficile per gli utenti e le applicazioni comunicare. Per questo motivo, l'accesso viene concesso solo a ciò che è necessario e solo dopo che vengono stabiliti l'identità e il contesto del rischio. Sebbene nel corso degli ultimi anni lo zero trust sia stato adottato diffusamente per l'accesso degli utenti alle applicazioni, molte aziende lo stanno ora estendendo anche ai casi d'uso da applicazione ad applicazione. 

CNAPP e SASE

 

CNAPP e zero trust

Il compito di una piattaforma CNAPP consiste nell'identificare, assegnare priorità e aiutare a mitigare i rischi associati ai carichi di lavoro cloud. Queste piattaforme forniscono visibilità sia sull'infrastruttura dei cloud pubblici, sia sui carichi di lavoro in esecuzione su di essa. Aiutano inoltre a identificare i rischi e a rispondervi prima della distribuzione sul cloud, integrandosi negli strumenti DevOps e negli ambienti di sviluppo integrati (IDE).

Le CNAPP forniscono informazioni utili su un'ampia gamma di rischi legati al cloud, e prendono il posto di diverse categorie di prodotti precedentemente separati. Tra i vari rischi ci sono quelli relativi a: errori di configurazione, privilegi e autorizzazioni eccessivi, dati sensibili inattivi, vulnerabilità derivanti dalla mancata applicazione di patch e altro. Queste piattaforme mettono in relazione le varie funzioni per dare la priorità ai problemi effettivi che potrebbero essere sfruttati e fornire un quadro completo di come l'azienda potrebbe essere attaccata.

Una piattaforma CNAPP non solo identifica e assegna priorità ai rischi legati al cloud, ma aiuta anche nella correzione degli stessi, attraverso procedure automatiche o con una correzione manuale guidata. Il processo di identificazione, definizione delle priorità e mitigazione dei rischi del cloud è continuo. Negli ambienti cloud dinamici, il profilo di sicurezza cambia continuamente. 

In un'architettura zero trust, la CNAPP fornisce informazioni fondamentali sul contesto del rischio, che possono essere utilizzate per prendere decisioni più informate sul livello di accesso che un carico di lavoro deve avere all'interno dell'azienda e della relativa infrastruttura cloud. Come per gli utenti, un carico di lavoro cloud rischioso deve avere un livello di accesso limitato, fino a quando i fattori di rischio non vengono adeguatamente mitigati. 

 

SASE e zero trust

Una volta stabilito il contesto del rischio, il passo successivo consiste nel consentire l'accesso solo a ciò che è necessario. È qui che entra in gioco l'architettura SASE. Il modello SASE utilizza l'identità dei carichi di lavoro e il contesto del rischio per verificare i diritti di accesso, applicando policy aziendali in base a questo contesto e alla transazione che si tenta di portare a termine. Man mano che il contesto cambia, i privilegi di accesso vengono continuamente riesaminati. Il SASE veniva tradizionalmente associato alla protezione delle comunicazioni degli utenti e solo recentemente ha iniziato a essere utilizzato anche come piattaforma per la protezione delle comunicazioni dei carichi di lavoro. 

Le piattaforme SASE connettono i carichi di lavoro cloud direttamente agli altri carichi di lavoro, senza connetterli alle reti: si tratta dell'implementazione delle comunicazioni zero trust ai carichi di lavoro. Fornendo questa connettività da app ad app e la segmentazione, il SASE riduce la capacità dei software dannosi o degli utenti malintenzionati di spostarsi lateralmente attraverso la rete. Il SASE consente le comunicazioni dei carichi di lavoro cloud per diversi casi d'uso, tra cui:

  • da cloud a cloud;
  • da cloud a data center;
  • da cloud a Internet;
  • all'interno del cloud.

Le tecnologie perimetrali tradizionali, come i firewall, utilizzano un approccio di sicurezza "passthrough", che compromette la protezione a favore delle prestazioni. Anche qualora venga individuato del traffico dannoso, spesso è troppo tardi per fermarlo. Una soluzione SASE esegue un'ispezione completa di ogni transazione, terminando ogni connessione per bloccare e ispezionare anche il traffico criptato prima di inoltrarlo alla destinazione. L'ispezione spesso include la prevenzione contro la perdita dei dati e le minacce e il controllo degli accessi. 

 

Due acronimi, un unico approccio

Insieme, CNAPP e SASE offrono un approccio completo alla sicurezza dei carichi di lavoro cloud, proteggendo i carichi di lavoro e l'accesso agli stessi e garantendo al contempo prestazioni ottimali delle applicazioni e un'esperienza utente fluida. Nei prossimi anni, le funzionalità che oggi sono offerte come prodotti ad hoc convergeranno sempre di più verso queste due piattaforme. Questo si tradurrà nell'adozione diffusa della sicurezza zero trust per i carichi di lavoro sul cloud pubblico e nella semplificazione derivante dal consolidamento degli strumenti.

Ma perché aspettare? Contatta Zscaler e ti diremo di più su come sfruttare al meglio CNAPP e SASE nei tuoi ambienti da subito. 

Resta aggiornato su novità e suggerimenti nel mondo della trasformazione digitale.

Inviando il modulo, accetti la nostra informativa sulla privacy.