Le applicazioni cloud-native sono spesso un facile bersaglio per gli attacchi informatici, a causa di vulnerabilità che passano inosservate ai team di DevOps, ma anche a causa di permessi di accesso troppo “generosi” e di configurazioni errate dei servizi cloud. Per questo si adotta, sempre più spesso, l’approccio cosiddetto shift-left, in cui si cerca di correggere tutti i punti deboli già nelle prime fasi fasi del ciclo di vita dello sviluppo. Ora Zscaler ha presentato una nuova soluzione che mette insieme questo approccio e i controlli sulle configurazioni delle risorse cloud: Posture Control, questo il nome, racchiude funzionalità unificate Cnapp (Cloud-Native Application Protection Platform) per trovare e neutralizzare vulnerabilità senza patch nei container e nelle macchine virtuali, le autorizzazioni e i permessi eccessivi e le configurazioni errate dei servizi cloud.
Integrata in Zscaler Zero Trust Exchange, si tratta di un soluzione priva di agent che trova e correla tra loro le vulnerabilità, aiutando i team IT e DevOps ad assegnare priorità ai rischi, a contestualizzarli e a correggerli. Queste diverse funzionalità oggi sono già disponibili sul mercato, ma frammentate su soluzioni diverse. Dunque le aziende si trovano a dover gestire troppi strumenti, che operano in silos e senza integrazione reciproca: da qui problemi di visibilità, lacune nella sicurezza e disaccordi tra i team interfunzionali, senza contare i rallentamenti nel ciclo di sviluppo e lancio delle nuove applicazioni o degli aggiornamenti. Posture Control propone, al contrario, un approccio unificato che comprende l'intero ciclo CI/CD (Continuous Integration/Continuous Delivery) e si integra con i flussi di lavoro di sviluppatori e DevOps.
"Il panorama della cybersecurity continua a evolversi, con un numero sempre maggiore di applicazioni che risiedono in ambienti multicloud, rendendo più difficile che mai per i team di sicurezza, IT e DevOps tenere il passo con i nuovi tipi di attacchi e stabilire in modo efficiente le priorità e mitigare i rischi del cloud", ha dichiarato Amit Sinha, Presidente di Zscaler. “A differenza degli strumenti di sicurezza cloud puntuali, che mancano di contesto e sovraccaricano gli operatori di avvisi senza avere un quadro completo, la nuova soluzione Posture Control di Zscaler mette in relazione i segnali di diverse aree di sicurezza cloud per identificare e dare priorità ai fattori di rischio reali e agli incidenti di sicurezza ad alta priorità. Inoltre, estendendo la sicurezza direttamente ai flussi di lavoro degli sviluppatori, i team di infosecurity possono collaborare più efficacemente con i team DevOps per proteggere in modo proattivo le applicazioni già nelle prime fasi del ciclo di vita dello sviluppo".
Tra le funzionalità incluse nella soluzione c’è, innanzitutto, la correlazione avanzata di minacce e rischi: alcuni problemi di sicurezza se presi singolarmente potrebbero non rappresentare un vero pericolo, ma in combinazione tra loro diventano una fonte di guai. La soluzione permette anche la scansione senza agent (basata su Api) dei carichi di lavoro. Le macchine virtuali e i container vengono scansionati sia nei registri sia negli ambienti di produzione, correlando le vulnerabilità con altre debolezze del cloud, e in questo modo è possibile dare priorità alle azioni correttive in base al rischio concreto anziché solo in base al punteggio CVSS.
Zscaler adotta l’approccio shif-left con il monitoraggio fin dall’inizio della fase di sviluppo, e proseguendo con i processi di distribuzione automatizzati; in caso di problemi di sicurezza critici rilevati, viene inviato un avviso. Altro esempio dell’approccio shift-left è l’integrazione con HashiCorp (specializzato in automazione di infrastrutture multicloud), che permette a Posture Control di analizzare facilmente i modelli infrastructure-as-a-code scritti in Terraform nell'ambiente di sviluppo. Inoltre Posture Control si occupa anche della sicurezza di container, macchine virtuale e carichi di lavoro serverless, anche grazie all'integrazione con piattaforme di sviluppo (come VS Code), strumenti DevOps (come GitHub e Jenkins) e con i principali fornitori cloud.