Qualys aggiunge la funzionalità di scansione IaC alla propria app CloudView per individuare e correggere gli errori di configurazione nelle prime fasi di sviluppo. Come evidenziato nel 2021 Cloud Security Report di (ISC)2, la principale minaccia che i responsabili della sicurezza che si occupano di cloud pubblici devono contrastare, è l’errata configurazione delle risorse. Poiché spesso tali errori emergono solo successivamente all’implementazione, le aziende si ritrovano con una superficie di attacco ampliata.
Scansione IaC – Nuova funzionalità per App CloudView di Qualys
Sempre più spesso, le aziende scelgono l’approccio IaC per il deployment delle applicazioni cloud e il provisioning dell’infrastruttura cloud. Perché permette di anticipare i controlli di sicurezza alla fase di sviluppo e di individuare e correggere gli errori di configurazione applicando il modello IaC. Rilevare i problemi di sicurezza in una fase precoce del ciclo di sviluppo significa accelerare e rendere più sicura la fornitura delle applicazioni e promuovere la collaborazione tra i team DevOps e della sicurezza. Ma ancora di più, significa applicare policy di sicurezza più efficaci nell’ambiente di produzione.
I vantaggi offerti da App CloudView di Qualys
Qualys CloudView assicura completa visibilità e totale controllo sui workload dei cloud pubblici, e ora analizza anche i modelli IaC per rilevare eventuali errori di configurazione. Le valutazioni IaC integrate nel ciclo di sviluppo del software permettono di distribuire solo il codice conforme agli standard di sicurezza dell’azienda. La Qualys Cloud Platform assicura completa visibilità mettendo a confronto le configurazioni runtime e build-time ed evidenziando eventuali differenze o modifiche in un unico dashboard.
Scansione IaC – Cosa consentono di fare alle aziende le nuove funzionalità
Valutare la postura di sicurezza lungo l’intera pipeline CI/CD. Le aziende possono valutare lo stato di sicurezza in una fase precoce del ciclo di sviluppo, riducendo drasticamente le vulnerabilità post-implementazione. Tramite l’interfaccia della command line di CloudView IaC Security è possibile valutare la sicurezza a livello locale. Sono disponibili anche funzionalità di controllo della distribuzione tramite gate nel caso in cui vengano rilevati errori di configurazione, plug-in per i repository utilizzati per il check-in del codice sorgente e piattaforme CI/CD.
Rispettare le best practice per la sicurezza. Con CloudView IaC Security le aziende riescono ad adottare più facilmente le best practice per la sicurezza promosse dai provider di piattaforme cloud. CloudView IaC Security supporta i linguaggi IaC più diffusi quali Terraform, CloudFormation (CF) e Azure Resource Manager (ARM) e controlla le configurazioni prendendo come riferimento migliaia di best practice per la sicurezza suggerite da Amazon Web Services, Azure, Google Cloud Platform e organismi normativi come il Center for Internet Security.