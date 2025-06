Pregunta a calquera enxeñeiro de nube cantas aplicacións están executando no seu ambiente, e obterás un número de baloncesto. Pregunta de novo cinco minutos máis tarde, e poden duplicalo.





É difícil de crer, pero entre as redistribucións da pipeline CI / CD, as cargas de traballo de zombies, as aplicacións herdadas en recunchos obscuros da infraestrutura e demasiados provedores de identidade (IdPs) para contar, é fácil perder o rastro.





Cando non sabes o que está funcionando, non podes xestionalo e aseguralo.O que isto non é: un problema de gobernanza reservado para Teño cumprimento Aplicacións orfas sen MFA, aplicacións que aínda dependen da autenticación de legado, ou cargas de traballo redistribuídas por un script desactualizado son unha presa fácil para os actores malos.





Mentres todo o demais se volve continuo, desde a integración ata a implantación, o descubrimento tamén debería ser.

A cuestión da fragmentación

Nunha empresa típica de hoxe, as aplicacións están implantadas en AWS, Azure, GCP e quizais unha nube privada ou dúas.





Usando Google Cloud Platform (GCP) como exemplo, unha aplicación pode ser implantada de varias maneiras. Ten opcións que inclúen App Engine, Cloud Run, Compute Engine, Google Kubernetes Engine e Apigee Gateway. Outras plataformas de nube como Azure e Amazon Web Services tamén teñen moitas opcións de implementación para cargas de traballo de aplicacións. Algunhas son similares, como o soporte de Kubernetes, pero outras tecnoloxías poderían ser únicas a esa plataforma de nube.





Mesmo a infraestrutura como código (IaC), como Terraform, non sempre capta a imaxe enteira, especialmente cando os desenvolvedores ocupan os modelos para implementacións manuais ou esquecen actualizar as etiquetas.





Por suposto, hai unha difusión similar para os sistemas de identidade que controlan o acceso a estes ambientes de aplicación.As empresas poden ter unha mestura de Okta, Microsoft Entra ID e Amazon Cognito, así como produtos de xestión de acceso web de Active Directory ou legacy, instancias de SiteMinder e Active Directory on-prem, a miúdo coexistentes.

Identidade fragmentada

As aplicacións poden autenticarse contra diferentes IdPs dependendo de cando ou onde se implementaron. Por exemplo, un equipo pode escoller Okta para aplicacións internas, mentres que os sistemas orientados ao cliente dependen de Microsoft Introdución ao ID ou coñecemento.





O resultado é unha rede estendida de credenciais, políticas e patróns de acceso que fan case imposible auditar de forma consistente.





Este nivel de Fragmentación da identidade é certamente incómodo, pero peor, é perigoso. Os atacantes non necesitan comprometer as túas xoias da coroa; só necesitan atopar esa porta desprotexida.

Por que as revisións tradicionais non o cortan

Un exemplo de modelo de auditoría implica introducir unha consultoría Big Four, executar unha auditoría, xerar un informe e chamalo un día.





Os pipelines CI/CD poderían redistribuír aplicacións desactivadas.Un equipo de desenvolvedores podería crear algo novo sen informar a seguridade.Ou, o que é peor, unha aplicación dormente cunha política de SiteMinder solta aínda podería permitir que calquera que teña un correo electrónico @company.com pase directamente.





O que é máis preocupante, estas auditorías son inherentemente estreitas en alcance. Capturan unha imaxe instantánea dun sistema que está cambiando constantemente. Calquera descubrimento significativo é siloado para as persoas implicadas no proceso de auditoría e moitas veces almacenado en documentos estáticos que ninguén revisita ata a próxima rolda.





Non hai continuidade, non hai automatización, e non hai garantía de que os datos permanezan exactos máis aló do día en que foron recollidos.

Dólar e sentido de seguridade

Non esquezamos o custo.Estas avaliacións adoitan levar semanas de esforzo e centos de miles de dólares.O resultado é unha presentación fermosa, con gráficos e puntos de bala que parecen grandes nunha sala de goberno.Pero que valor lle traen a un enxeñeiro que intenta rastrexar que IdP regula o acceso a unha aplicación containerizada que se executa nun clúster GCP esquecido?





Mentres tanto, os atacantes non están esperando o seu próximo ciclo de auditoría. Están a escanear a súa superficie de ataque, buscando puntos finais que a súa folla de cálculo non capturou.

Como é o descubrimento continuo?

Moitos equipos de seguridade atópanse atrapados xogando blindfolded whack-a-mole con visibilidade de aplicación. Descubren unha aplicación de sombra só para atopar outros tres escondidos nas fendas. O problema non é debido á preguiza ou falta de ferramentas, é que os ambientes están constantemente cambiando. Entre os equipos de desenvolvemento xirando novos servizos, CI / CD pipelines redistribuíndo os antigos, e a infraestrutura evolucionando á semana, mantendo un inventario estático é imposible.





É por iso que as escalas de descubrimento continuas cambian a visibilidade de algo que fas unha vez por cuarto a algo que constrúes no tecido das túas operacións.





** Escaneo nativo de nube: **Call en APIs entre plataformas de nube (GCP, Azure, AWS) para listar implementacións entre servizos: App Engine, ECS, Lambda, Cloud Run, etc.



Identity correlationMapar cada aplicación ao seu IdP, verificar a aplicación do MFA e os patróns de autenticación do catálogo (SAML, OIDC, LDAP, baseado en cabeciñas, etc.).



CI/CD monitoringCatch apps que reaparecen despois de ser desactivado porque un pipeline non recibiu o memorando.



Tagging and classificationAplicar metadatos para organizar por alcance de cumprimento (por exemplo, aplicacións PCI), departamento ou sensibilidade de datos.

O descubrimento continuo proporciona o tecido de conexión entre a súa infraestrutura e a súa arquitectura de identidade.





Establece o escenario para a xestión da postura de seguridade en tempo real, o cumprimento proactivo e a resposta eficiente a incidentes. Sen ela, a próxima violación relacionada coa aplicación pode non vir dun exploit sofisticado, pero en vez diso, algo que o seu equipo nin sequera sabía que estaba a executar.

No canto de exercicios de incendios periódicos, o descubrimento continuo trata a visibilidade da aplicación como un proceso vivo.

Caso de uso do mundo real: A adiviñación de aplicacións 2,500 vs. 4,500

Nunha empresa Fortune 500, un CTO recentemente nomeado foi preguntado unha pregunta aparentemente sinxela: "Cantas aplicacións hai no seu ambiente?"





"2500", respondeu ela con confianza.Entón parou. "Espere, acabamos de adquirir outra empresa do mesmo tamaño.





Esa resposta non veu dun sistema de rexistro. Foi unha suposición, baseada na conta de capitais de adquisicións e unha suposición bruta de paridade. Non había inventario de aplicacións para consultar, non había taboleiro para confirmar o total - só matemáticas de volta ao envelope.





Sen un, as empresas están obrigadas a confiar na memoria, as follas de cálculo manuais e o coñecemento tribal, todo o que falla en ambientes dinámicos baseados na nube.





Se o equipo de liderado non pode cuantificar o número de aplicacións en xogo, como poden estar seguros de que esas aplicacións son seguras, conformes e gobernadas correctamente?

Por que os enxeñeiros e os equipos de IAM deben preocuparse?

Se está a xestionar IAM, e unha aplicación aínda está a usar a autenticación básica sen MFA, iso depende de ti, se sabías sobre a aplicación ou non. E se es responsable de manter as cousas en conformidade, esa folla de cálculo de seis meses non o protexerá cando un auditor solicita os detalles actuais de acceso e autenticación.

Sabes o que hai alí

Sabes quen ten acceso

Xa sabes que é seguro





E ti podes demostralo.

O camiño a seguir cun mundo de cambios

O descubrimento vai moito máis aló da compilación dunha lista.Xoga un papel crítico no descubrimento de riscos ocultos.

Os recunchos escuros da túa propiedade na nube, onde as aplicacións herdadas, os servizos mal configurados ou as implementacións non autorizadas aínda poden funcionar silenciosamente e desapercibidas.





Os sistemas ignorados poden converterse en vectores de ataque, responsabilidades de cumprimento ou fontes de custos inesperados.O descubrimento continuo pecha o loop, dando aos equipos de seguridade e identidade un mapa en tempo real do seu paisaxe de aplicacións -o que se executa, como se protexe e quen ten acceso- para que poidan tomar accións decisivas antes de que os problemas escalen.





(Como se mencionou, Gerry Gebel está profesionalmente afiliado a unha empresa que opera no espazo de xestión de identidades e seguridade.