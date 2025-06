Pregunta a qualsevol enginyer de núvol quantes aplicacions s'executen en el seu entorn, i obtindràs un número de boleta. Pregunta de nou cinc minuts més tard, i podrien duplicar-lo.





És difícil de creure, però entre les redistribucions de la canonada CI / CD, les càrregues de treball zombis, les aplicacions llegades en racons obscurs de la infraestructura i massa proveïdors d'identitat (IdPs) per comptar, és fàcil perdre la pista.





Quan no saps el que està funcionant, no pots gestionar-lo i protegir-lo. El compliment Les aplicacions orfes sense MFA, les aplicacions que encara es basen en l'autenticació llegida, o les càrregues de treball redistribuïdes per un script obsolet són una presa fàcil per als actors dolents.





Amb tot el que queda esdevenint continu, des de la integració fins al desplegament, el descobriment també hauria de ser així.

El tema de la fragmentació

En una empresa típica avui dia, les aplicacions es desplegaran a través d'AWS, Azure, GCP, i potser un núvol privat o dos.





Utilitzant Google Cloud Platform (GCP) com a exemple, una aplicació es pot desplegar de moltes maneres. Teniu opcions que inclouen App Engine, Cloud Run, Compute Engine, Google Kubernetes Engine i Apigee Gateway. Altres plataformes de núvol com Azure i Amazon Web Services també tenen moltes opcions de desplegament per a les càrregues de treball de l'aplicació. Algunes són similars, com el suport de Kubernetes, però altres tecnologies podrien ser úniques a aquesta plataforma de núvol.





Fins i tot la infraestructura com a codi (IaC), com Terraform, no sempre captura tota la imatge, especialment quan els desenvolupadors obeeixen les plantilles per a les implementacions manuals o obliden actualitzar les etiquetes.





Per descomptat, hi ha una difusió similar per als sistemes d'identitat que controlen l'accés a aquests entorns d'aplicacions.Les empreses poden tenir una barreja d'Okta, Microsoft Entra ID i Amazon Cognito, així com productes de gestió d'accés a la web on-premises Active Directory o heretats, instàncies de SiteMinder heretades i Active Directory on-prem, sovint coexistents.

Identitat fragmentada

Per exemple, un equip podria triar Okta per a aplicacions internes, mentre que els sistemes orientats al client depenen de Microsoft Entra el teu ID O el cognitiu.





El resultat és una àmplia xarxa de credencials, polítiques i patrons d'accés que fan que sigui gairebé impossible auditar de manera coherent.





Aquest nivell de Fragmentació identitària És certament incòmode, però pitjor, és perillós. Els atacants no han de comprometre les seves joies de la corona; només han de trobar aquesta porta sense protecció.

Per què les auditories tradicionals no ho redueixen

Un exemple de model d'auditoria implica portar a terme una consultoria de Big Four, dur a terme una auditoria, generar un informe i anomenar-lo un dia.





Els pipelines CI/CD podrien redistribuir aplicacions desactivades. Un equip de desenvolupadors podria crear alguna cosa nova sense informar de seguretat.O pitjor, una aplicació dorment amb una política de SiteMinder lliure encara podria permetre que qualsevol persona amb un correu electrònic @company.com entri directament.





El que és més preocupant, aquestes auditories són intrínsecament estretes en l'abast. Capturen un instant de punt en el temps d'un sistema que està canviant constantment. Qualsevol descoberta significativa és siloada a les persones involucrades en el procés d'auditoria i sovint emmagatzemada en documents estàtics que ningú revisa fins a la propera ronda.





No hi ha continuïtat, no hi ha automatització, i no hi ha garantia que les dades es mantinguin exactes més enllà del dia en què es van recollir.

El dòlar i el sentit de la seguretat

No oblidem el cost. Aquestes avaluacions sovint requereixen setmanes d'esforç i centenars de milers de dòlars. El resultat és una presentació bonica, amb gràfics i punts de bala que semblen excel·lents en una sala de consell. Però quin valor aporten a un enginyer que intenta rastrejar quin IdP governa l'accés a una aplicació containeritzada que funciona en un clúster GCP oblidat?





Mentrestant, els atacants no estan esperant el teu pròxim cicle d'auditoria. Estan escanejant la teva superfície d'atac, buscant punts finals que el teu full de càlcul no va captar.

Com és el descobriment continu?

Molts equips de seguretat estan atrapats jugant a un trencaclosques amb visibilitat d'aplicacions. Descobreixen una aplicació d'ombra només per trobar tres més amagats a les esquerdes. El problema no és degut a la mandra o a la manca d'eines, és que els entorns estan canviant constantment. Entre els equips de desenvolupament giren nous serveis, les canonades CI / CD redistribueixen les velles, i la infraestructura evoluciona per la setmana, mantenint un inventari estàtic és impossible.





És per això que les escales de descoberta contínues canvien la visibilitat d'una cosa que fas una vegada al trimestre a una cosa que construeixes en el teixit de les teves operacions.





** Escaneig natiu en el núvol: ** Crida a APIs a través de plataformes en el núvol (GCP, Azure, AWS) per a una llista de desplegaments a través de serveis: App Engine, ECS, Lambda, Cloud Run, etc.



Identity correlationMapar cada aplicació al seu IdP, verificar l'execució de l'MFA i patrons d'autenticació de catàleg (SAML, OIDC, LDAP, basat en encapçalament, etc.).



CI/CD monitoringCapturar aplicacions que tornen a aparèixer després d'haver estat desactivades perquè una canonada no va rebre el memoràndum.



Tagging and classificationAplicar metadades per organitzar per àmbit de compliment (per exemple, aplicacions PCI), departament o sensibilitat de dades.

El descobriment continu proporciona el teixit de connexió entre la seva infraestructura i la seva arquitectura d'identitat.





Estableix l'escenari per a la gestió de la postura de seguretat en temps real, el compliment proactiu i la resposta eficient als incidents. Sense això, la propera violació relacionada amb l'aplicació pot no provenir d'un exploit sofisticat, sinó que, en canvi, alguna cosa que el vostre equip ni tan sols sabia que estava executant.

En lloc d'exercicis de foc periòdics, el descobriment continu tracta la visibilitat de l'aplicació com un procés en viu.

Cas d'ús en el món real: la suposició de les aplicacions 2.500 versus 4.500

En una empresa de Fortune 500, un CTO nou nomenat va ser preguntat una pregunta aparentment senzilla: "Quantes aplicacions hi ha en el vostre entorn?"





"2500", va respondre amb confiança. "Ara, esperem, acabem d'adquirir una altra empresa de la mateixa mida.





Aquesta resposta no prové d'un sistema de registres. Era una suposició, basada en el nombre d'adquisicions i una suposició bruta de paritat. No hi havia inventari d'aplicacions per consultar, no hi havia tauler per confirmar el total - només matemàtiques de back-of-the-envelope.





Escenaris com aquest estan explicant perquè destaquen l'absència d'un registre d'aplicacions fiable, actualitzat contínuament. Sense un, les empreses es veuen obligades a confiar en la memòria, els fulls de càlcul manuals i el coneixement tribal - tot el que fracassa en entorns dinàmics i basats en el núvol.





Si l'equip de lideratge no pot quantificar el nombre d'aplicacions en joc, com pot estar segur que aquestes aplicacions són segures, conformes i correctament governades?

Per què els enginyers i els equips IAM han de preocupar-se?

Les aplicacions no rastrejades són fruites de baix rang per als atacants. Si gestiones IAM i una aplicació encara utilitza l'autenticació bàsica sense MFA, depèn de tu, ja sabessis sobre l'aplicació o no. I si ets responsable de mantenir les coses d'acord, aquest full de càlcul de sis mesos no et protegirà quan un auditor demana detalls actuals d'accés i d'autenticació.

Saps el que hi ha allà fora

Saps qui té accés

Saps si és segur





I ho pots demostrar.

La manera de mantenir-se al dia amb un món de canvis

El descobriment va molt més enllà de la compilació d'una llista i té un paper crític en la revelació dels riscos ocults.

Els racons foscos del vostre patrimoni en el núvol, on les aplicacions llegades, els serveis mal configurats o les implementacions no autoritzades poden seguir funcionant silenciosament i sense ser notats.





El descobriment continu tanca el bucle, donant als equips de seguretat i identitat un mapa en temps real del seu paisatge d'aplicacions: què està funcionant, com està protegit i qui té accés, de manera que poden prendre accions decisives abans que els problemes s'escalfi.





(Com s'ha assenyalat, Gerry Gebel està afiliat professionalment a una empresa que opera en l'espai de gestió d'identitats i seguretat.