(1) Luciano Moreira es un experto en seguridad cloud native y DevSecOps con una amplia experiencia en auditorías, certificaciones y capacitación. (2) El documento describe los desafíos de seguridad en entornos cloud native como la falta de perímetros definidos y la necesidad de enfoques no tradicionales. (3) También analiza informes de auditorías de seguridad de proyectos CNCF que encontraron principalmente vulnerabilidades de baja gravedad relacionadas con validación de datos y configuración.

1. The Lord of Cloud Native – Part 3
The Return of the K… Oops!...

2. Luciano Moreira
• Chief DevSecOps strategy Officer en Cloud Legion
• Embajador del DevOps Institute
• Master en Ciberseguridad por la Universidad Camilo José Cela.
• Seleccionado como uno de los "50 Influential DevSecOps Professionals“
• MVP - Most Valuable Professional Microsoft Azure y Developer Technologies
• Co-Fundador y Tribe lider de DevSecOps Argentina y Latam,
• Presidente del capítulo argentino de la CSA Cloud Security Alliance
• Primer Auditor CSA STAR certificado en la región SOLA
• Auditor Líder ISO 27001:2013, 27018, 27017, 22301, 20000, 25000 y 9001
• Elegido Cybersecurity Consultant of the Year en los premios Cybersecurity Excellence Awards del 2016 al 2019,
• Instructor acreditado de los cursos (DevSecOps Foudation, DevSecOps Enginier y DevSecOps Master Professional)
Luciano_m_cruz lucianomoreiradacruz

3. Introduccion
Los 4c “anillos” del Cloud
Native Security
Desafíos Cloud Native
CNAPP – Cloud Native
Application Protection
Platform
Contenido
Mitre att&ck
!!! my precious
compliance!!!
CNCF STAG Audits

4. Hechos (Mi tesoro???)
Con demasiada frecuencia los que defendemos la seguridad de una
empresas estamos como Frodo y su desafío de custodiar al anillos
(Mi Tesoro) (en nuestro caso la información critica de nuestras partes
interesadas)
Pasar a la nube es más que una transición técnica a una nueva
plataforma. Es una parte fundamental parte de la estrategia de
crecimiento de una empresa y, aunque es estratégicamente
importante, también puede ser potencialmente perturbadora.
Para que la transformación a la nube tenga éxito, las empresas deben
ser conscientes de sus de sus retos organizativos y tecnológicos, y los
equipos de seguridad deben planificar cuidadosamente su estrategia
y enfoque.
Esta presentación tiene como objetivo proporcionar principios
importantes de Cloud Native Security basados en las tendencias y
conceptos de seguridad en la nube, que guiarán a las organizaciones
hacia una implementación fiable de la arquitectura de nube native.

5. El cambio está llegando, estes listo o no
Cloud Native es sobre cultura y no solo contenedores.
Previamente…
Como vimos en la primer y la segunda parte de esta trilogía
The Lord of Cloud Native - The Concentric Rings of the Cloud-Native
Enterprise y The Two or Four Towers
https://youtu.be/ugPf27soo6M https://youtu.be/Ibvcj_LnEwU

6. Introducción
¿Qué significa ser nativo de la nube? Según The Cloud Native Computing Foundation (CNCF), las tecnologías nativas de
la nube ayudan a las organizaciones a crecer y ejecutar soluciones en entornos de nube y arquitecturas locales.
En el clima de negocios actual, las empresas están adoptando rápidamente estas tecnologías, que incluyen
contenedores e infraestructura como código, especialmente porque la pandemia ha acelerado la transformación digital.
La seguridad de Cloud Native es motivo de especial preocupación porque estos proyectos se utilizan en todo el mundo
en muchas organizaciones diferentes.
Las empresas y los usuarios de estas aplicaciones deben ser conscientes de que una vulnerabilidad en una de estas
dependencias puede afectar a todo el sistema y, en algunos casos, provocar un compromiso completo del clúster.
Además de las vulnerabilidades, existen otros motivos de preocupación. Por ejemplo, la mayoría de los proyectos
nativos de la nube se basan en bibliotecas y dependencias que también son software de código abierto.

7. Introducción
En los últimos años ha habido un
número significativo de brechas de
seguridad a gran escala. Año tras
año, el recuento de incidentes de
seguridad aumenta
exponencialmente.
La gravedad de estas infracciones
también está aumentando, y la
digitalización a gran escala significa
que una gran cantidad de
información confidencial de los
usuarios está en riesgo.
El riesgo de robo de identidad podría
arruinar la reputación de una
empresa y hacerla responsable de
las violaciones del cumplimiento de
la seguridad.
Si bien el tiempo promedio para
identificar una brecha en 2020/2021
fue de 207 días, el ciclo de vida
promedio de una brecha desde la
identificación hasta la contención fue
de 280 días.
Las industrias que manejan
información confidencial, como las
industrias de la salud y las finanzas,
suelen ser el primer objetivo de los
piratas informáticos que buscan
datos personales.
Sin embargo, las industrias más
pequeñas también enfrentan
amenazas de seguridad porque son
más fáciles de violar.
Como Frodo y Sam en la Escalera a Cirith Ungol, el camino Cloud Native esta lleno de amenazas

8. Desafíos Cloud Native
Como le paso a Faramir en osgiliath, Las aplicaciones nativas de
la nube carecen de perímetros fijos presentes en la TI
tradicional (Boromir). Como resultado, los firewalls estáticos rara
vez resuelven su propósito de proteger las aplicaciones que se
ejecutan en instancias de nube de múltiples nubes, locales o
externas.
La naturaleza flexible, escalable y elástica de los entornos de
nube reduce además la velocidad y precisión con la que los
equipos de seguridad pueden diagnosticar incidentes de
seguridad. Combinados con estos, están los ciclos rápidos de
entrega y lanzamiento que hacen que sea complejo administrar y
aprovisionar políticas de seguridad manualmente.
Estos factores colectivamente presentan desafíos que requieren
un enfoque no tradicional para mitigar los eventos de seguridad
de los sistemas nativos de la nube.

9. Desafíos Cloud Native
Las vulnerabilidades
recientes y más destacadas,
como Log4Shell, ProxyShell,
ProxyLogon, ZeroLogon y
Spring4Shell, son solo el
comienzo de la batalla.
Estas estadísticas indican la
creciente necesidad de
inversiones agresivas en
seguridad en la nube.
Es la única forma de lograr
hacer frente a la era del
ORCO
Número de vulnerabilidades conocidas

10. MITRE
ATT&CK
&
Cloud
Native

11. MITRE ATT&CK & Cloud Native
Como hemos visto, el marco MITRE ATT&CK cubre la mayoría de las tácticas, técnicas y procedimientos (TTP) que los actores de
amenazas avanzadas podrían usar en sus ataques.
Sin embargo, a veces, podemos estar limitándonos al pensar que cubre todo tipo de ataque para cada entorno. Cuando hablamos de
seguridad en la nube, la mala configuración debe ser el centro de la conversación. La mala configuración de la infraestructura de la
nube representa la mayor amenaza para la seguridad de la nube empresarial.

12. CNCF (STAG)
Dentro del CNCF se encuentra el equipo (STAG) Security Technical Advisory Group, que
facilita la colaboración para descubrir y producir recursos que permiten el acceso seguro,
el control de políticas y la seguridad para operadores, administradores, desarrolladores y
usuarios finales en todo el ecosistema nativo de la nube.
El CNCF ha estado contratando firmas de seguridad independientes desde 2018 para
ayudar a analizar proyectos: Cure53, Trail of Bits, Atredis Partners y AdaLogics.
https://github.com/cncf/toc/blob/main/docs/projects.md#project-security-audits
Analicemos los informes de estas consultoras externas y sus hallazgos y la gravedad de
las vulnerabilidades.
https://github.com/cncf/tag-security
Una de las tareas del equipo es solicitar y coordinar auditorías
de seguridad independientes en proyectos nativos de la nube.

13. CNCF (STAG) Auditorias
Número de vulnerabilidades por proyecto, según los informes de auditoría de seguridad publicados por CNCF
El primer dato que analizamos es el número de
vulnerabilidades reportadas en cada proyecto.
No es ninguna sorpresa que Kubernetes haya
quedado en primer lugar.
Es el más grande de los proyectos, el más
adoptado, y tiene más código, por lo que hay
más posibilidades de encontrar vulnerabilidades
en él.
Los proyectos etcd y Helm quedaron en
segundo y tercer lugar, respectivamente.

14. CNCF (STAG) Auditorias
Número de vulnerabilidades por categoría de clase, según la clasificación
La validación de datos se destacó y es motivo de
preocupación aquí, ya que tenemos casi 60
vulnerabilidades de este tipo.
Cuando hablamos de validación de datos, tiene que
ver principalmente con la validación de entrada.
También incluye stack-based buffer overflows,
heap overflows, integer overflows y otros
problemas de validación de datos.
Utilizar datos no fiables sin validar es un problema
grave y puede causar todo tipo de vulnerabilidades.

15. En segundo lugar, después del tipo de vulnerabilidad de
validación de datos, está la mala configuración.
Una vez más, éstas suelen estar relacionadas con
problemas que se pueden prevenir si se implementan las
configuraciones de seguridad adecuadas.
Como se vio en el Webinar misCLOUDfiguration, las
configuraciones incorrectas son la causa principal de los
problemas de seguridad en la nube, por lo que no es de
extrañar que haya problemas similares para las
aplicaciones nativas de la nube.
CNCF (STAG) Auditorias
https://youtu.be/8fvOTBr-LH4

16. Misconfiguration - causa la brecha

17. Incidentes de seguridad reales por tipo
Informe del Estado de la seguridad de las aplicaciones nativas de la nube de Snyk

18. Áreas de seguridad de mayor preocupación
desde la adopción de la nube nativa
Informe del Estado de la seguridad de las aplicaciones nativas de la nube de Snyk

19. Clasificación
Número de vulnerabilidades por gravedad, según los informes de auditoría de seguridad publicados por CNCF
¿qué pasa con la gravedad? / ¿Qué tan severas fueron las vulnerabilidades encontradas en esos proyectos? / ¿Son
fiables estos proyectos? / ¿Se puede confiar en ellos?
En su mayor parte, sí, estos son proyectos de código
abierto muy robustos.
Gracias al apoyo de la CNCF, están bien mantenidos y la
seguridad es siempre una prioridad.
De la colección de vulnerabilidades reportadas, la mayor
cantidad de vulnerabilidades son de gravedad baja,
seguidas de media. Eso significa que solo algunos de
estos proyectos tenían vulnerabilidades altas o críticas
que pondrían en peligro al usuario, lo cual es excelente.
En el grafico vemos un desglose de la cantidad de
vulnerabilidades por gravedad.

20. ¿Qué es la seguridad nativa de la nube?
"¡Seguridad nativa de la nube!" es el grito de batalla del día. Todos lo queremos. ¿Pero, qué es esto?
La seguridad nativa de la nube implica incorporar la seguridad en la estrategia general de desarrollo de
aplicaciones nativas de la nube de una organización. Este enfoque aborda los cambios en la infraestructura,
los equipos y los procesos necesarios para crear aplicaciones seguras. Por lo tanto, la seguridad nativa de la
nube hace hincapié en la seguridad de las aplicaciones para garantizar la detección y reparación de
vulnerabilidades en un entorno de nube.
La seguridad nativa de la nube requiere un enfoque holístico que integre la seguridad en el ciclo de vida del
desarrollo de software (SDLC). Una plataforma de seguridad puede ayudar a los desarrolladores a entregar
diseños basados ​​en principios nativos de la nube: el equipo de desarrollo es responsable de proporcionar un
código seguro. Cada decisión de diseño debe tener en cuenta la arquitectura nativa de la nube para garantizar
que la aplicación sea completamente nativa de la nube.

21. Los 4 anillos del Cloud Native Security
Adoptar e implementar patrones y metodologías Cloud
Native es una cosa. La computación nativa en la nube
aprovecha el software de código abierto y no abierto
para implementar aplicaciones como microservicios
que se empaquetan en contenedores.
Otro aspecto importante como cualquier tecnología que
utiliza varias herramientas y plataformas
interconectadas, la seguridad juega un papel vital en la
computación nativa en la nube .
Proteger las aplicaciones nativas de la nube es un
desafío continuo, lento y quizás tedioso. Especialmente
los equipos más pequeños pueden tener dificultades
para proteger todos los aspectos de su aplicación
nativa de la nube.

22. Los 4 anillos del Cloud Native Security
En este apartado veremos las 4C de la seguridad nativa
de la nube. (Anillos del poder de la seguridad)
Esas "C" representan las diferentes capas (Anillos)
donde los desarrolladores y los equipos de DevOps
tienen que garantizar las mejores prácticas de seguridad
para cumplir con los objetivos de seguridad generales y
pasar las puertas correspondientes antes de exponer las
aplicaciones nativas de la nube a sus clientes.
Cada anillo del modelo de seguridad de Cloud Native se
basa en la siguiente capa más externa. El anillo de
código se beneficia de anillos de seguridad con bases
sólidas (Cloud, Cluster, Container, Code).

23. Anillo de Cloud
El anillo de la nube es el más externo y, como tal, es la más
crítica de todas.
La 'nube' es la base para configurar la seguridad de una
aplicación. Cada proveedor de la nube hace recomendaciones y
aplica medidas para ejecutar cargas de trabajo seguras en sus
entornos.
Obviamente, tales medidas cambian ya sea que esté
administrando sus propios clústeres de Kubernetes o esté
ejecutando Kubernetes en un proveedor de nube de terceros
como AWS, Azure o Google, cada uno con su propio conjunto de
recomendaciones y mejores prácticas.
La nube es la interfaz que interactúa con el mundo externo, que
incluye usuarios, complementos de terceros y API externas. Por
lo tanto, las vulnerabilidades en la capa de la nube causarían un
impacto significativo en todos los servicios, procesos y
aplicaciones que se alojan en ella

24. Anillo de Cloud - Seguridad
La seguridad en la nube varía de una nube a otra o de un centro de datos a otro, así que eche un vistazo a esta lista de
centros de seguridad de proveedores de la nube para profundizar más. Algunas cosas genéricas a considerar son,
adoptar un principio de privilegio mínimo , asegurarse de no usar la autenticación de contraseña y mantener sus
kernels parcheados. Algunos elementos en el espacio nativo de la nube a considerar aquí son:
•Intente cifrar todo el almacenamiento
en reposo, ya sea para volúmenes
persistentes para aplicaciones en
nodos trabajadores o Etcd en los nodos
maestros. Utilice el cifrado de nivel de
volumen persistente (PV), así como el
cifrado de grupos de almacenamiento.
Configure la configuración de grupos y
usuarios del sistema de archivos junto
con el modo de acceso correcto para
los volúmenes.
Guarde las copias de seguridad de
forma segura en el almacenamiento de
objetos, las configuraciones como el
bloqueo de objetos pueden ayudar
mucho al producto contra cosas como
los ataques de ransomeware.
Piense en utilizar un sistema operativo
inmutable para sus nodos de
Kubernetes, como Bottlerocket y RHOS
(anteriormente CoreOS).
Supervise activamente su
infraestructura en la nube durante el
tiempo de ejecución, comprenda cómo
se ve el funcionamiento normal para
ayudar a identificar operaciones
anormales que pueden ayudar a
identificar problemas de seguridad
activos.
Acceso de red seguro a la
infraestructura, como sus nodos de
plano de control, nodos etcd y nodos de
aplicación.

25. Anillo de Clúster
El segundo anillo está representada por el nivel de clúster (o, para ser más precisos: Kubernetes).
Kubernetes y su comunidad de código abierto ofrecen una amplia variedad de conceptos y herramientas que
podemos usar para fortalecer tanto el propio clúster de Kubernetes como las cargas de trabajo de nuestras
aplicaciones que se ejecutan en el clúster.
Un clúster es un conjunto de nodos (máquinas) que ejecutan aplicaciones en contenedores.
Esta capa considera los componentes del clúster y los componentes que se ejecutan dentro de un clúster
(también conocido como aplicaciones).
No todas las aplicaciones están orientadas al negocio, por ejemplo, un servicio de registro o métricas aún puede
considerarse una aplicación que se ejecuta en el clúster.

26. Comprendamos cómo proteger los clústeres:
Anillo de Clúster - Seguridad
Implementar
autenticación y
secretos
•Este paso requiere
que el usuario
demuestre que es
quien dice ser.
•El proceso de
autenticación puede
ser diferente de un
servicio a otro, pero
puede requerir
credenciales como
contraseñas,
certificados de
clientes, tokens y
otros.
Implementar
Autorización
•Desde el punto de
vista de un clúster,
debemos garantizar
una autenticación y
autorización
adecuadas
•El control de acceso
basado en roles
(RBAC) establece la
autorización
asignando roles a los
usuarios y
administrando sus
privilegios a nivel de
rol.
Controle con qué
privilegios
•Establezca permisos
mediante el uso de
contextos de
seguridad.
•Estas son
configuraciones que
se pueden aplicar a un
contenedor o un
conjunto de
contenedores dentro
de un clúster que
definen privilegios y
control de acceso.
Aplicar TLS
•Habilitar TLS entre los
componentes del
clúster es fundamental
para mantener la
seguridad del
clúster. Está previsto
que la comunicación
entre las API de un
clúster se cifre de
forma predeterminada
con la ayuda de TLS
Proteger nodos
•Es fundamental dotar
a los nodos de un
entorno seguro. Por
ejemplo, un único
servidor que actúa
como nodo maestro y
trabajador para el
clúster puede probar
Kubernetes en un
entorno de prueba.

27. Anillo del contenedor
El siguiente anillo que debe protegerse es el contenedor.
Una vez que la aplicación está desarrollada y lista para ser transportada en contenedores,
generalmente es hora de que sus equipos de desarrollo de aplicaciones trabajen con su canalización
de compilación.
Esto a menudo significa que, al final de su canalización, una imagen de contenedor probada y
validada está lista para enviarse a entornos de prueba, desarrollo, ensayo o producción.
Este proceso tiene varios aspectos donde las mejores prácticas de seguridad pueden entrar en
juego.
Además, las imágenes de contenedores permiten un control de versiones más estricto y una gestión
de parches más eficaz, ya que los contenedores no se actualizan; simplemente se reemplazan.

28. La seguridad constante de los contenedores implica principalmente tres cosas por las que las organizaciones deben
preocuparse:
Anillo de del contenedor - Seguridad
¿Qué tan seguras son sus
imágenes?
•Esto se reduce a asegurarse de
que sus contenedores estén
actualizados y libres de cualquier
vulnerabilidad importante que
pueda ser explotada por un actor
de amenazas.
•Las organizaciones deben
proteger no solo la imagen base,
sino también asegurarse de que
las aplicaciones que se ejecutan
en sus contenedores hayan sido
escaneadas y verificadas.
¿Se puede confiar en ellos?
•¿Los contenedores que se
ejecutan en su sistema están
construidos a partir de las
imágenes de sus
registros? ¿Cómo puedes
asegurarte de eso? Mediante el
uso de herramientas de firma de
imágenes como TUF o Notary ,
puede firmar sus imágenes y
mantener un sistema de
confianza para el contenido de
sus contenedores.
¿Se están ejecutando con los
privilegios adecuados?
•El principio de privilegio mínimo
se aplica aquí. Solo debe
ejecutar contenedores con
usuarios que tengan los
privilegios mínimos del sistema
operativo necesarios para llevar
a cabo sus tareas
• Es una mala idea ejecutar
contenedores privilegiados en
Docker o contenedores que
tienen todas las capacidades raíz
de una máquina host.

29. Anillo de código
La seguridad es responsabilidad del desarrollador: el nivel más
interno de los anillos “C” está representada por el Código. Si
pensamos en los principios y paradigmas culturales de
Dev(Sec)Ops como “You build it, you own it” y “Shift left on
security.”
En este anillo, es importante que las organizaciones confíen en las
integraciones de los pipelines CI/CD, el análisis de código
estático, el escaneo de seguridad y las pruebas automatizadas en
general.
Es el anillo donde las organizaciones tienen más control. El
código de sus aplicaciones es el corazón de sus sistemas, junto
con sus respectivas bases de datos, y generalmente están
expuestos a Internet; por lo tanto, los atacantes se centrarán en
esto si todos los demás componentes están protegidos
correctamente. (Recuerden Misconfiguration)

30. Anillo de código - Seguridad
¿cómo pueden las organizaciones asegurarse de que sus aplicaciones estén codificadas de manera adecuada y
segura cuando tienen decenas, cientos o tal vez miles de desarrolladores que escriben e implementan código todos
los días en su entorno de producción?
• Pruebas de seguridad de aplicaciones estáticas (SAST)
• Pruebas dinámicas de seguridad de aplicaciones (DAST)
• Pruebas de seguridad de aplicaciones interactivas (IAST)
Producir código seguro debe ser una prioridad para todos los desarrolladores. Esto significa
que no solo debemos usar bibliotecas y marcos adecuados para reducir o eliminar el riesgo
de ataques como inyecciones de SQL, secuencias de comandos entre sitios (XSS) u otros.
Además, debemos diseñar superficies e interfaces de API públicas con cuidado y garantizar
el manejo adecuado de casos extremos o argumentos no válidos que se pasan a esos
puntos de entrada.
Sin embargo, incluso si nosotros, como desarrolladores, seguimos estas reglas, no podemos
estar 100% seguros de que todos los aspectos de nuestra aplicación sean seguros.

31. !!!my precious humor !!!
Cloud Security
Access Brokers
my precious
SASE
my precious
uhhhh
My…
my precious
CASB
Secure Access
Service Edge
Cloud Security
Posture
Managemen
Cloud Native
Application
Protection
Platforms

32. Acrónimos por todas parte
Parece que cada vez que parpadea hay un nuevo
acrónimo brillante para describir los últimos
enfoques de seguridad cibernética:
• Cloud Security Access Brokers (CASB)
• Cloud Workload Protection Platforms (CWPP)
• Cloud Security Posture Management (CSPM)
• Secure Access Service Edge (SASE)
• Security Service Edge (SSE)
• SaaS Security Posture Management (SSPM)
Ahora Gartner acuño el último acrónimo: Cloud
Native Application Protection Platforms (CNAPP).
¿Qué significa todo esto y, lo que es más
importante, qué significa este nuevo término para
los desarrolladores?

33. ¿Qué significa CNAPP?
CNAPP significa plataforma de protección de aplicaciones
nativas de la nube.
El término fue acuñado por Gartner, quien reconoció las
crecientes necesidades relacionadas con la seguridad de
las aplicaciones en la nube. En términos generales, las
soluciones de CNAPP tienen como objetivo abordar la carga
de trabajo y la seguridad de la configuración al escanearlas
durante el desarrollo y protegerlas durante el tiempo de
ejecución.
CNAPP es un paso adelante en la seguridad en la nube. La
razón de esto es que CNAPP sirve como una convergencia
de múltiples tecnologías, combinando las capacidades de
las soluciones de seguridad en la nube existentes,
principalmente CSPM y CWPP, y también incluye elementos
de Cloud Infrastructure Entitlement Management (CIEM),
Kubernetes Security Posture Management (KSPM),
Detección y protección de API, seguridad sin servidor y más.

34. ¿Por qué existe CNAPP?
Hay dos elementos importantes en el término CNPP que ayudan a explicar por qué existe.
Nativo de la nube
• El cambio a la nube ha traído consigo una
amplia gama de nuevas necesidades de
seguridad.
• El surgimiento de entornos dinámicos y
efímeros dentro de la nube ha aumentado la
complejidad y ha creado interacciones únicas
e impredecibles.
• Los enfoques tradicionales de seguridad
basados ​​en agentes no pueden proporcionar
la cobertura necesaria para mantenerse al
día con los entornos efímeros, en
contenedores y sin servidor
Protección de la aplicación
• Anteriormente, la mayoría de las
herramientas de seguridad en la nube se
centraban en ayudar a los equipos a
comprender la seguridad de su
infraestructura.
• Sin embargo, como dice Gartner, “ya ​​no
basta con preguntar: '¿Es segura mi
infraestructura de nube?' Las herramientas
de seguridad ahora deben preguntar: '¿Son
seguras mis aplicaciones en la nube?'”
• Cuando se trata de aplicaciones en la nube,
las organizaciones deben ser holísticas en su
pensamiento de seguridad.

35. Componentes clave de CNAP
CNAPP es una integración de herramientas y capacidades diseñadas para proteger las aplicaciones nativas de la
nube desde el desarrollo hasta la producción. Desglosemos CNPP en sus componentes.
Development artifact
scanning
•Evaluación de debilidades en
los artefactos de desarrollo,
incluidos SAST/DAST, API,
análisis de composición de
software y escaneo de
exposición
IaC scanning
•Evaluación de debilidades en
archivos de configuración
etwork Configuration and
Security Policy
•Administración de políticas de
seguridad para controlar el
acceso
Addition Runtime Protection
Tools
•Tecnologías para aplicaciones
web y protección de API,
monitoreo de aplicaciones,
segmentación de red y
escaneo de exposición
Cloud Security Posture
Management (CSPM)
•Tecnologías para monitorear
automáticamente el riesgo en
configuraciones de servicios
de nube pública y ajustes de
seguridad, y asignarlos a
estándares y políticas de
seguridad
Cloud Workload Protection
Platforms (CWPP)
•Tecnologías para proteger
cargas de trabajo, incluidos
contenedores, sin servidor,
máquinas virtuales y
servidores.
Cloud Identity Entitlement
Management (CIEM)
•Tecnologías para gestionar el
acceso y hacer cumplir los
privilegios mínimos en la nube
mediante la supervisión de las
identidades de la nube y la
recomendación de políticas.
Kubernetes Security Posture
Management (KSPM)
•Tecnologías que solucionan
problemas de seguridad y
cumplimiento para Kubernetes
(es decir, CSPM para
Kubernetes)

36. Capacidades clave de CNAP
Es importante tener en cuenta que CNAPP es más que una unión de todas estas capacidades.
Al combinar los datos de comportamiento de
los usuarios de la nube y de las cargas de
trabajo, CNAPP proporciona información
avanzada que podría mejorar las tasas de
detección y reducir los falsos positivos.
Estos conocimientos pueden generarse, por
ejemplo, correlacionando configuraciones
incorrectas de postura con alertas de carga
de trabajo o derechos excesivos.

37. Beneficios de CNAPP
1.Mejor visibilidad de las
cargas de trabajo y de toda la
infraestructura para
identificar y priorizar el riesgo
1.Mejora de la identificación y
corrección del riesgo a través
de un enfoque de ciclo de vida
que ofrece consistencia de
seguridad y contexto desde la
codificación hasta el tiempo
de ejecución.
1.Menos errores de
configuración y gestión
optimizada de contenedores,
clústeres de Kubernetes y
otros componentes
1.Gastos generales y
complejidad mínimos al
administrar herramientas y
proveedores
1.Perfecta integración de
capacidades de escaneo en
SDLC y herramientas de
desarrollo
1.Cambie a la seguridad a la
izquierda y menos
dependencia de la protección
en tiempo de ejecución
1.Mejor conocimiento y
control del análisis de la ruta
de ataque; esto incluye
permisos y configuraciones
1.Retroalimentación de
seguridad bidireccional entre
desarrollo y operaciones
1.Seguridad nativa de la nube
(y no seguridad local
adaptada a la nube)
1.Seguridad de
infraestructura y aplicaciones

38. ¿Cómo puedo comenzar con CNAP?
A pesar de la exageración y la promesa, CNAPP sigue siendo más una categoría hipotética que una
herramienta real que ofrecen los proveedores.
La categoría está emergiendo y las herramientas aún no brindan todas las capacidades convergentes, a
pesar de lo que algunos proveedores puedan prometer.
Sin embargo, dado que los riesgos de la seguridad en la nube no son hipotéticos, se recomienda tomar
medidas y desarrollar su organización y sus herramientas para que estén listas para CNAPP.
Esto incluye la creación de un plan de seguridad en la nube y la investigación de proveedores con
capacidades que ofrezcan una base sólida para CNAPP mientras se evalúan sus ofertas.
Además, siga escaneando continuamente artefactos, contenedores y Kubernetes para identificar
vulnerabilidades y malware.
Como señala Gartner, concéntrese en soluciones que estén bien integradas, priorice el riesgo para evitar
perder el tiempo e incluya el conocimiento de la configuración de la nube.

39. Elementos clave de una plataforma de
seguridad nativa en la nube
•Inventario de recursos.
•El CNSP mantiene registros
de activos en el SDLC y
realiza un seguimiento de
todos los cambios para la
gestión automática de
recursos.
•La seguridad de la red
• ingiere registros de flujo de
tráfico directamente desde las
plataformas de
implementación y desarrolla
una comprensión profunda de
las reglas de firewall nativas
de la nube para escanear y
monitorear las amenazas de
la red.
•La gestión de
cumplimiento
•admite diferentes marcos de
cumplimiento principales para
monitorear la postura de
seguridad y el cumplimiento
en todo el marco de la nube.
•La seguridad de los datos
•utiliza reglas de clasificación
listas para usar para buscar
malware, monitorear el
cumplimiento normativo y
garantizar el cumplimiento de
los datos en todos los
entornos de implementación.
•La seguridad de la carga de
trabajo
•protege las cargas de trabajo
de las aplicaciones mitigando
proactivamente las amenazas
en tiempo de ejecución de las
instancias de producción.
•La gestión de acceso e
identidad (IAM)
•administra un marco sólido de
autenticación y acceso para
proteger las cuentas de los
usuarios como primera línea
de defensa mediante el
aprovechamiento de múltiples
herramientas de terceros.
•La detección, identificación
y remediación automáticas
•respaldan el modelado sólido
de amenazas mediante el uso
de datos históricos y el
panorama de seguridad
existente en la industria.
•La gestión de
vulnerabilidades
•identifica y protege los puntos
vulnerables de toda la pila
desde un punto de vista
holístico.

40. estrategias de seguridad nativas de la
nube
Responsabilidad compartida
por la seguridad
• aprovecha la participación tanto
de los proveedores de servicios
en la nube como del equipo de
seguridad interno de una
organización para garantizar la
seguridad de las aplicaciones.
Esto se hace asignando y
compartiendo la propiedad de
mantener la seguridad de los
componentes individuales de un
marco nativo de la nube.
• Si bien este modelo
generalmente brinda la ventaja
de planificar el marco de
seguridad de adentro hacia
afuera
Seguridad multicapa
• también conocida como el
enfoque de "profundidad
defensiva", implica monitorear
todas las capas de la red para
identificar y mitigar amenazas
potenciales individualmente. La
estrategia se basa
esencialmente en una serie de
herramientas y enfoques
diferentes para contrarrestar los
ataques junto con la planificación
de contingencia en caso de un
compromiso.
Cloud-Agnostic Security
• se usa comúnmente para
modelos de múltiples nubes
aprovechando un CNSP común
para múltiples proveedores de
servicios en la
nube. Básicamente, la estrategia
proporciona un panel único de
mejores prácticas de seguridad
para ser seguido por múltiples
partes y equipos distribuidos
para agilizar el monitoreo, el
cumplimiento y la recuperación
ante desastres.

41. estrategias de seguridad nativas de la
nube
Shifting Left
• Cambiar la seguridad a la
izquierda es otro cambio cultural
importante, que a menudo
requiere nuevas herramientas de
seguridad que puedan manejar
la escala y la velocidad del
entorno de desarrollo de
aplicaciones nativas de la nube.
• Este enfoque se centra en la
aplicación de medidas de
seguridad en las primeras etapas
del proceso de desarrollo de
software, como los análisis de
vulnerabilidades.
Securing Dependencies
• El código de la aplicación a
menudo contiene dependencias
de código abierto que se
encuentran en repositorios como
Python Package Index (PyPI).
• Puede proteger las
dependencias de las
aplicaciones mediante
herramientas automatizadas que
aprovechan las bases de datos
de vulnerabilidades integrales.
• Una herramienta de orquestación
nativa de la nube puede ayudarlo
a mantener la seguridad durante
el desarrollo activando acciones
de seguridad de la aplicación.
Defensive Depth
• Este enfoque, también conocido
como seguridad multicapa, utiliza
el monitoreo de la red para
detectar y remediar amenazas
individuales.
• El equipo de seguridad debe
monitorear cada capa de la red.
• Puede utilizar varias
herramientas y técnicas para
prevenir y responder a los
ataques y establecer planes de
contingencia para infracciones
exitosas.

42. lecturas sugeridas

43. Conclusión
“xxxx
“xxxx
“Desarrolle nuevas capacidades de operaciones con cuidado y en consulta con
los usuarios afectados. Una de las claves es nuestra capacidad de escuchar, una
vez escuché una frase, tenemos 2 orejas y 1 boca - utilízala proporcionalmente”
FIN ¿o talvez no?

44. CREDITS: This presentation template was created by
Slidesgo, including icons by Flaticon, infographics &
images by Freepik & Eddie Sharam
Based
Gracias