A felhőalapú technológiák térnyerése jelentős változásokat hozott az üzleti környezetben, ezzel együtt új kihívásokat is felvetett a biztonság terén. A vállalatok számára ma már nélkülözhetetlen a hatékony felhőbiztonsági megoldások alkalmazása, mivel az üzleti adatok és alkalmazások egyre nagyobb része kerül a felhőbe. Írásunkban részletesen áttekintjük és összehasonlítjuk a Palo Alto Networks Prisma Cloud és a Rapid7 InsightCloudSec piacvezető felhőbiztonsági megoldásait, kiemelve jellemzőiket és funkcionalitásaikat.
Prisma Cloud, a piacvezető megoldás
A Gartner szerint a Prisma Cloud jelenleg a piacvezető felhőbiztonsági megoldás. A Palo Alto Networks az elmúlt évek felvásárlásaival elérte, hogy gyakorlatilag „faltól-falig” felhőbiztonsági platformot képes kínálni az ügyfelek számára.
A Prisma Cloud fő elve az egyedülálló shift-left megközelítés. Tegyük fel, hogy felhőbe fejlesztünk, amihez egy DevOps eszközt, egy úgynevezett automatizációs toolt használunk. A Prisma Cloud agentje gyakorlatilag már a kód írásakor, még azelőtt, hogy azt futtatjuk, szkenneli a kódot. Nem kell kutakodni sérülékenységek, kódban felejtett kulcsok, félrekonfigurációk után egy produktív környezetben, a Prisma Cloud megteszi helyettünk – még a futtatás előtt. A fejlesztő pedig ebből semmit nem vesz észre, mivel egyáltalán nem lassítja a CI/CD folyamatot.
Védett konténerkörnyezet: Twistlock
A Palo Alto Networks hírnevéhez hű marad, ugyanis teljes átláthatóságot nyújt a felhőben lévő hálózatainkról is. A konténerkörnyezetek védelméért a Twistlock felel, amelyet egyébként on-prem is hostolhatunk. Biztosítja a munkafolyamatokat, félrekonfigurációk esetén értesít, és javítási ajánlásokat kínál. Ha egy multicloud környezetet szeretnénk biztonságossá tenni, a Prisma Cloud lehet az ideális megoldás. Kiváló átláthatóságot nyújt a hozzáférésekről, legyen szó gépi vagy emberi jogosultságokról. Megakadályozza a túlzott hozzáféréseket beépített CIEM-megoldásának köszönhetően.
Egy teljes CNAPP (cloud native application protection platform)
A Prisma Cloud alkotóelemei:
- Twistlock,
- Redlock,
- Evident.io,
- Aporeto, PureSec,
- Dig Security.
Felhőben futtatott eszköztárunk állapotáról is teljes képet ad – egyszerre nagyjából 4 milliárd eszközről. Több mint 1500 beépített iránymutatásának köszönhetően kiváló képet kapunk felhőkörnyezetünk konfigurációjának állapotáról, miközben az eszköz a kritikusság szempontjából osztályozza a sérülékenységeket, félrekonfigurációkat.
Megújult lekérdezési nyelv
A legújabb frissítés, az úgynevezett Darwin-release óta a lekérdezési nyelv is megváltozott, a korábbi RQL helyett most már teljesen egyszerű parancsokkal kezelhető a platform. Mindezek a funkciók, a CSPM (Cloud Security Posture Management), a CIEM (Cloud Infrastructure Entitlement Management), a CWP (Cloud Workload Protection), a DSPM (Data Security Posture Management) egy platformban integrálva megtalálhatók. A megoldás képes úgynevezett compliance check-eket kikényszeríteni, olyan erőforrásokra, mint hostok, image-ek, clusterek vagy akár teljes felhőkörnyezetek. Ezt az előre beépített szabályoknak köszönhetően tehetjük meg. Ha olyan erőforrás található felhőkörnyezetünkben, amelyre egyik szabály sem megfelelő, értesítést kapunk.
Cloud Risk Complete – a felhőbiztonság
A Rapid7 felhőbiztonsági megoldása a Cloud Risk Complete csomag. Tartalmazza az InsightVM-et, az InsightCloudSec-et és az InsightAppSec-et. Átfogó és erős megoldás ez is, talán a felülete nem annyira kiforrott, felhasználóbarát.
Ennél is fontosabb, hogy az InsightCloudSec teljesen agentless, így az integrációja a különböző funkciói között harmonikusabb. A Prisma Cloudnál előfordulhatnak olyan esetek, amikor a mikroszegmentáció és a munkafolyamatok védelmének beállítása egy kicsit több konfigurációt igényel. A Rapid7 különös figyelmet fordít arra, hogy ne csak enterprise méretű környezetekre biztosítson megoldást, így felhőkörnyezetünk növekedésének ütemében skálázható, ami egy feltörekvő szervezet számára óriási előny. Az InsightCloudSec hasonlóan kínál CSPM, CIEM, CWP megoldást, tehát elmondhatjuk róla, hogy minden felhős erőforrást képesek vagyunk biztosítani vele.
Ennek a megoldásnak talán az a legjobb része, hogy a kockázatokat, fenyegetéseket valós időben, gyakorlatilag késleltetés nélkül felismeri. Ez teljesen egyedülálló a CNAPP megoldások körében. De ugyanúgy, ugyanazzal a hatékonysággal kezeljük a hozzáféréseinket multicloud vagy hibrid környezetben.
CWP – biztonságos fejlesztési folyamatok
A CWP megoldás gondoskodik a fejlesztési folyamatok biztonságossá tételéről rengeteg integrációt biztosítva automatizációs eszközökhöz, legyen itt szó Terraformról, Ansibleről vagy bármilyen más, a devopsos kollégák által kedvelt eszközről. A Kubernetes környezetekhez pedig az InsightCloudSec 175 előre beépített kontrollt kínál, ezek custom policykkel bővíthetőek, módosíthatóak.
Mindkét megoldás ténylegesen biztonságossá teszi a felhőkörnyezetet, és gondoskodik a megfelelőségi és szabályozási irányelvek betartásáról is. Legyen az a NIS2, DORA, vagy GDPR, ha Prisma Cloudot vagy InsightCloudSecet használunk, egy auditálható, biztonságos felhőkörnyezet tulajdonosai vagyunk. Mindkét megoldás mellett és ellen is szólnak érvek, de a nagy képet nézve mindig az adott környezet méretéhez, komplexitásához és az üzleti igényekhez igazítva választunk megoldást. Jelen állapotában a Rapid7 megoldása talán alkalmasabb lehet egy kisebb, de mégis multicloud környezetre, míg a Prisma Cloud igazi Enterprise környezetekre specializált platform
Az ITB május 27-i cikkének szerkesztett változata