על CNAPP וכאלה
כמה ספקי ענן יש בסביבה ממוצעת? אפשר לומר שבמקרים רבים המספר עומד על ממוצע של שלוש סביבות. אם ישנם שלושה ספקי ענן אז כמה כלי אבטחה יש בטוטאל? תריסרי כלים. האם אפשר להבין לעומק מה קורה בסביבה של מספר עננים? ויחד עם זאת להבין לעומק כלי אבטחה קיימים? האם אפשר לדעת מה קורה עם סריקות קוד ותהליכי פיתוח מול או בענן? אתגר רציני ובעייתי.
אבטחה בענן ואבטחה לתהליכי פיתוח מול הענן הבטיחה פשטות ונראות, אך בפועל המצב אחרת והמצב של עבודה עם עשרות כלים אינה מייעלת את העבודה של צוותי האבטחה. העומס עם כמות הפרוייקטים וההתראות גורמים לעייפות ושחיקה ולחוסר תשומת לב של האירועים האמיתיים. לצד זה, הצורך לשלוט על כלל המערכות והכלים אינה מאפשרת לצוותי אבטחה להתמחות בכל כלי וכלי, ולכן נוצרים פערי ידע. עד כאן ידוע, ובגלל זה ידם של התוקפים על העליונה, אבל האם משהו עומד לשנות את המשחק?
מרחב האבטחה בענן גדוש בראשי תיבות וזה יכול להיות ממש קשה לעקוב אחר ראשי תיבות, באזז וכן קטגוריה שיוצאת עם הקפה בוקר. עם זאת, יש ראשי תיבות מעניינים עם טכנולוגיה מעניינת, ולעיתים כדאי לצלול לתוכם, כמו זה של פלטפורמת הגנה על יישומים בענן – CNAPP. קטגוריה של כלי אבטחה, הכוללת את הפונקציונליות שמאגדת בתוכה כלים כמו, ניהול מצב אבטחה בענן (CSPM) ופלטפורמת הגנה על עומסי עבודה בענן (CWPP) וכן יכולות וכלים נוספים.
מה המשמעות של CNAPP?
CNAPP מייצג את פלטפורמת הגנת יישומים בענן. המונח נטבע על ידי גרטנר, שהכירה בצרכים המתרחבים הכרוכים באבטחת יישומים בענן. באופן כללי, פתרונות CNAPP שואפים לטפל בעומסי עבודה ובאבטחת תצורה על ידי סריקתם בפיתוח והגנה עליהם בזמן ריצה.
המטרה של CNAPP היא לאגד טכנולוגיות מרובות, קיימות וחדשות, המשלבות את היכולות של פתרונות אבטחה קיימים בענן, בעיקר CSPM וכן CWPP, וכוללות גם אלמנטים של ניהול זכאות לתשתית ענן (CIEM), ניהול מצב אבטחה של קוברנטיס (KSPM), גילוי והגנה על API ועוד. נוסיף על כל ששחקני CNAPP למינהם משלבים יכולות CDR לטובת תחקור ותגובה בענן, וכן אפשרויות של ניתוח תקיפה גרפי.
מדוע CNAPP קיים?
ישנם מספר אלמנטים חשובים בהגנה עם CNAPP המסייעים להסביר מדוע הוא קיים, שניים מהבולטים. הראשון הוא "נולד בענן". המעבר לענן הביא איתו מגוון רחב של צרכי אבטחה חדשים. עלייתן של סביבות דינמיות בתוך הענן הגדילה את המורכבות ויצרה אינטראקציות ייחודיות, חדשניות ובלתי צפויות. גישות אבטחה מסורתיות המבוססות על סוכנים אינן יכולות לספק את הכיסוי הדרוש כדי לעמוד בקצב של סביבות דינמיות, ארעיות ונטולות שרתים.
האלמנט השני הוא "הגנה על יישומים". בעבר, רוב כלי האבטחה בענן התמקדו באבטחת התשתית. עם זאת, כבר לא מספיק לשאול, 'האם תשתית הענן שלי מאובטחת?' כלי אבטחה חייבים כעת לשאול, 'האם יישומי הענן שלי מאובטחים?', 'והאם תהליכי הפיתוח מול היישומים מאובטחים?'
כשמדובר ביישומי ענן, סביבות צריכות להיות הוליסטיות בחשיבת האבטחה שלהם. ישנן דרכים רבות לחשוף אפליקציות לסיכון בענן, החל מחשיפה לא מכוונת לאינטרנט, וכלה בזכויות גישה מתירניות ועוד. ארגונים צריכים להתמקד בזיהוי וצמצום הסיכונים בעדיפות הגבוהה ביותר שיישומי הענן שלהם חשופים אליהם, ולא רק באיסוף רשימה ארוכה של בעיות הקשורות לאבטחה שבבידוד מהוות סיכון מועט. במצבים בהם יש פתרונות נקודתיים בודדים, לעתים קרובות קורה שהם מתמקדים בראייה צרה ובקבוצה מוגבלת של פערי ובעיות אבטחה ואינם משתלבים היטב יחד בכל הנוגע לסיגנלים והקורלציה של הנכסים, מה שמוביל לאתגרים סביב תעדוף התראות רבות בעדיפות נמוכה.
רכיבים עיקריים של CNAPP
אם כך מהם הרכיבים והיכולות שכלי CNAPP מציעים לנו בשביל להתגבר על פערי ובעיות אבטחה מול יישומים בענן ומול תהליכי פיתוח? מכיוון שכלי CNAPP מייצג התאגדות של כלי אבטחה בקטגוריות קיימות, אנו צריכים להעיף מבט אילו יכולות נמצאות במעטפת של CNAPP. הכלי של CNAPP מאחדים היבטים של פתרונות נקודתיים כדי לספק ניראות מלאה בכל סביבות הענן, ולהעביר את המיקוד מבעיות אבטחה בודדות לשילובים רחבים יותר ומקושרים של בעיות המהוות סיכון קריטי.
CSPM מתמקדים בזיהוי תצורות שגויות במשאבי ענן ומעקב אחר תאימות לבקרות ומסגרות שונות. הם מתמקדים ב Control Plane המוכר, ובוחנים את תשתיות הענן ברמת הספק. CNAPP מבצע ניתוח מעמיק יותר של תצורות ומשלבים אותן עם תשומות אחרות כדי לזהות ולתעדף סיכונים בפועל.
CWPP עוסק באבטחת עומסי עבודה (Workloads) בענן, כגון מכונות וירטואליות, קונטיינרים ופונקציות (FaaS), ללא קשר למיקומם. יכולות CWPP נכנסות לתוך עומסי העבודה, סורקות אחר פגיעויות, תצורת מערכת, סיקרט ועוד. CNAPP ממנף את יכולות CWPP כדי לזהות בעיות ב Control Data בתוך עומסי העבודה עצמם.
בעוד שיכולות CSPM וכן CWPP הן הרכיבים העיקריים של CNAPP, פתרון CNAPP מלא יכניס אלמנטים של כלי אבטחה אחרים בענן. למשל:
CIEM מספק יכולות ניהול זכאות לתשתית ואכיפת בקרות פיקוח קשורות, ולכן, פיקוח על זהויות וגישה מייצגים תחום סיכון חשוב ש CNAPP צריכים להיות מסוגלים לטפל בו.
ניהול זכאות לתשתית ענן (CIEM) הוא התהליך של ניהול זהויות והרשאות בסביבות ענן. מטרת CIEM היא להבין אילו זכאויות לגישה קיימות בסביבות ענן וסביבות מרובות עננים, ולאחר מכן לזהות ולצמצם סיכונים הנובעים מזכאויות המעניקות רמת גישה גבוהה יותר ממה שהן צריכות. באמצעות CIEM, צוותי אבטחה יכולים לנהל זהויות וזכאויות בענן ולאכוף את העיקרון של גישה בעלת הרשאות מינימליות לתשתית ולמשאבים בענן. במצב כזה, אנו יכולים לצמצם את שטח התקיפה בענן ולצמצם את סיכוני הגישה הנובעים מהרשאות מוגזמות.
KSPM מתמקד בתצורות שגויות הקשורות לקוברנטיס ובצרכי אבטחה. עבור CNAPP, התמקדות ייעודית בקוברנטיס ובאבטחת קונטיינרים חשובה לסביבות מקומיות בענן. לדוגמה, KSPM יכול לזהות תצורות שגויות בהגדרת תפקידי RBAC של קוברנטיס אשר מעניק למשתמש שאינו מנהל מערכת הרשאות שלא אמורות להיות לו, כגון היכולת ליצור פודים חדשים. לחלופין, כלי KSPM יכול להתריע על תצורת רשת קוברנטיס שאינה מוקשחת ומאפשרת תקשורת בין פודים במרחבי שמות שונים.
סריקת IaC – מנתח את התשתית כקוד לניתוח סטטי כדי לזהות תצורות שגויות בענן ולהתאים אותן לסיכוני היישום. מכאן, מאפשר למפתחים לכתוב תשתיות כקוד בצורה בטוחה יותר. המטרה היא להטמיע סריקת קוד מקור ותשתית כקוד והגנה על עומסי עבודה הפועלים במכונות וירטואליות, קונטיינרים ופלטפורמות Serverless. ההגנה מפני עומסי עבודה מאפשרת תאימות ונראות עבור יישומים מודרניים בכל מקום שבו הם פועלים.
ישנם תחומים אחרים הרלוונטיים לפתרונות CNAPP שכוללים גילוי והגנה של API ועוד. פלטפורמות CNAPP משלבת כלים ופונקציות אבטחה כדי להפחית את המורכבות והתקורה, ומספקות:
- יכולות משולבות של כלי CSPM/CIEM/CWPP
- קורלציה של נתונים ובפרט פגיעויות וקשרי גומלין לאורך תהליך הפיתוח
- זיהוי סיכונים בעדיפות גבוהה עם הקשר, יחסים ותלויות
- תיקון מונחה ואוטומטי לתיקון פגיעויות ותצורות שגויות
- שימוש ביכולות 'Guardrails' למניעת שינויים לא מורשים בארכיטקטורה
- שילוב עם מערכות אקולוגיות של SecOps
CNAPP ותהליכי פיתוח
כאן מגיע חלק מעניין של כלי CNAPP שנולדו מתוך CSCP ומתוך CWPP ונוגעים בעולם של פיתוח, תהליכים וקוד.
החלק של סריקת תשתית כקוד ונגיעה בתהליכי פיתוח ע"י CNAPP היא חלק מעניין כי זה נכנס לתחומים של כלים אחרים. יישומים בענן נבנים באמצעות מתודולוגיות פיתוח זריזות ותהליכי DevOps שמשנים ללא הרף את העיצוב ופורסים קוד באופן אוטומטי לתשתית הענן. אבטחת יישומים מסורתית, החל מ- SAST או SCA מדור קודם וכלה בסורקי תשתית כקוד (IaC) "רגילים" אינה מספיקה עוד לאבטחת יישומים בענן. יש צורך במסגרת חדשה המבוססת על סיכונים עסקיים כדי להאיץ את תהליכי הפיתוח במקום להוסיף מחסומי אבטחה. כלים חדשים/מודרנים/יעודיים מתנהגים בסריקת תשתית כקוד עם יכולות של סריקות סטטיות, API, סיקרט, OSS, נתונים רגישים, מיסונקפיגורציה בקוד ועוד.
אם כך מה עדיף? ואיפה האימוץ נכון יותר? לעבוד עם כלי CNAPP שהתחיל את דרכו עם יכולות CWPP + CSPM, או כלים שממוקדים בפיתוח, למשל, כלים המאפשרים להאיץ את תהליכי פיתוח בארגון ולהפחית הסיכון הכרוך בכך בצורה אוטומטית ע"י שילוב של טכנולוגיות: בניית מלאי (inventory) של כל האפליקציות ורכיבי הקוד בארגון, הבנת תהליכי הפיתוח, הבנת הידע של המפתחים, זיהוי השינויים המהותיים בקוד והסיכון העסקי שלהם.
יתרונות לצוותי אבטחה
כלים יש למכביר ולכן כל כלי שנבחר צריך להיות בקפידה וכזה שיצריך התאמה פרקטית ולא תיאוריה. במקרים כאלה אנו צריכים ש CNAPP יספק לנו:
- נראות טובה יותר של עומסי עבודה ותשתיות מגוונות כדי לזהות ולתעדף סיכונים
- זיהוי ותיקון משופרים של סיכונים באמצעות גישת מחזור חיים המציעה עקביות אבטחה
- הקטנת תצורות שגויות וניהול יעיל של קונטיינרים, קוברנטיס ורכיבים אחרים
- תקורה מינימלית ומורכבות בעת ניהול התראות וכלים
- שילוב של יכולות סריקה בתהליכי SDLC ובכלי הפיתוח
- להסיט את האבטחה שמאלה ככל האפשר, ופחות הסתמכות על הגנה מפני זמן ריצה
- תובנות ופיקוח על ניתוח נתיבי התקפה
- אבטחה בענן עם משמעויות של Cloud-Native Security (ולא אבטחת on-prem המותאמת לענן)
- אבטחת תשתיות, תהליכים ויישומים
אתגרים של דור קודם
ויש גם את הדור הקודם של הכלים שלא נמצא שם. ככל שארגונים גדלים, הם ננמצאים במצב שבו יש תערובת של טכנולוגיות, עם בקרות אבטחה שונות בסביבות ענן שונות. צוותי אבטחה פורסים CSPM, CIEM, CWPP וכלים אחרים כדי לאבטח תשתיות ענן וסביבות ייצור. גישה זו מותירה אותם ללא יכולת להתמקד, לתעדף ולתקן סיכונים באופן יעיל. הסיבות לכך הם:
- פערי נראות ושטחים מתים באבטחה (מלא Blindspot)
- מקורות מרובים של נקודות נתונים, ללא מקור אמת אחד
- זיהוי חלקי של פערים ובעיות אבטחה
- עומס בנתונים שאין להם הלימה למציאות בשטח
- הצפת מידע ותהליכי נתונים הגוזלים זמן רב
- מצבים של Alert Fatigue ללא אינדיקציה לבעיות קריטיות הדורשות תשומת לב
- משאבים מוגבלים, מומחיות טכנית והדרכה בכל כלי (ישנם עשרות כלי אבטחה בכל ארגון)
- מורכבות תפעולית גבוהה ותקורה של ניהול כלים בנפרד
- להרכיב פאזל של טכנולוגיות שאין להם אינטגרציה טבעית
הניסיון לשמור על בקרות באמצעות כלי אבטחה שונים בסביבות מורכבות דורש הרבה זמן, משאבים ומאמץ ידני – ולעתים קרובות, זה פשוט לא מספיק כדי לעמוד בקצב, בדינמיות של הענן ובזריזות של תהליכי הפיתוח.
לסיכום
למרות ההייפ וההבטחה, CNAPP היא עדיין קטגוריה היפותטית בכלים רבים, ומעט רחוקה ממה שהכלים בפועל מציעים. הקטגוריה מתפתחת במהירות, ורוב הכלים עדיין לא מספקים את כל היכולות המתכנסות – למרות מה שחלק מהספקים עשויים לומר.
עם זאת, מכיוון שהסיכונים של אבטחת ענן אינם היפותטיים, מומלץ לנקוט פעולה ולבנות את הארגון ואת הכלים כך שיהיו מוכנים ל CNAPP. זה כולל יצירת תוכנית אבטחה בענן, מחקר עם יכולות המציעות בסיס חזק של CNAPP תוך הערכת אפשרויות ויכולות בפועל ולא בתיאוריה. בנוסף, היכולת לסרוק ארטיפקטים באופן רציף, קונטיינרים וקוברנטיס כדי לזהות פגיעויות ותוכנות זדוניות.
מצד אחד אפשר לומר נכון שמדובר עדיין על קטגוריה מתפתחת, אך מצד שני, אפשר לראות התכנסות של כלים בודדים שנותנים את היכולות אל מול כלים שנשארו מאחור.
בסופו של דבר, העניין של CNAPP הוא למעשה הכרה בכך שאבטחת ענן היא מורכבת, ודורשת גישות חדשות כדי לתמוך ולאבטח את מה שצוותי DevOps עושים בענן. סביבות דינמיות וארעיות יותר ויותר, תהליכי הפצה מהירים יותר ומספר גדל והולך של טכנולוגיות הפרוסות בענן מובילים כולם לאתגרים חדשים לאבטחת ענן. יחד עם CNAPP, המטרה היא לא רק לזהות את כל התצורות השגויות ובעיות האבטחה בסביבה שלך, אלא לחשוף את הסיכונים האמיתיים.
על מנת להגשים את ההבטחה של CNAPP, פתרון צריך להבין לעומק קוד עם הקשר ברחבי SDLC. וכמו בכלי אבטחה אחרים, סיכון הוא מושג שחייב לכלול הן את הסבירות של יכולת הניצול של רכיב שטח תקיפה, והן את ההשפעה העסקית אם היא מתרחשת.
