Resumo rápido
Quatro camadas complementares que juntas formam o CNAPP (Cloud-Native Application Protection Platform). CSPM olha a configuração das contas cloud. CWPP protege workloads em runtime (VM, container, serverless). CIEM trata da explosão de permissões granulares (least privilege em IAM cloud). DSPM descobre e classifica dados sensíveis onde eles estão. Plataformas modernas (Wiz, Prisma Cloud, Defender for Cloud, Lacework) entregam as quatro em um único console.
CSPM
Configuration posture. Detecta misconfigs (S3 público, SG aberto, conta sem MFA), drift contra IaC e desvios de compliance.
CWPP
Workload protection. Vulnerability scanning de imagens, hardening, runtime threat detection (eBPF), CI/CD security.
CIEM
Identity entitlements. Mapeia permissões efetivas vs. usadas no IAM cloud e sugere down-scoping para least privilege.
DSPM
Data posture. Descobre, classifica e monitora exposição de dados sensíveis em repouso (buckets, bancos, data lakes).
| Critério | CSPM | CWPP | CIEM | DSPM |
|---|---|---|---|---|
| Foco | Configuração | Workloads (runtime) | Identidade e permissões | Dados em repouso |
| Onde olha | Plano de controle cloud | VMs, containers, serverless | IAM (AWS IAM, Azure RBAC, GCP IAM) | Storage, bancos, data lakes |
| Cobertura IaC | Sim (drift, scanning Terraform) | Sim (Dockerfile, K8s manifests) | Parcial | Não |
| Runtime detection | Não | Sim (Falco, Tetragon, eBPF) | Não | Parcial (acesso anômalo) |
| Compliance contínua | Sim (CIS, PCI, HIPAA, LGPD) | Parcial | Parcial (SoD) | Sim (regulação de dados) |
| Multi-cloud | Sim | Sim | Sim | Sim |
| Cobertura Kubernetes | KSPM (subset) | Profunda | RBAC do cluster | Não |
| Cobertura SaaS | Não (é SSPM) | Não | Parcial | Parcial (M365, GDrive) |
| Vulnerability scanning | Não | Sim (OS, lib, container) | Não | Não |
| Detecta data exposure | Storage misconfig | Não | Quem pode acessar | Sim (o que está exposto) |
| Lateral movement risk graph | Limitado | Em container | Sim | Parcial |
| Detecta privilégio excessivo | Não | Não | Sim | Não |
| Classificação automática de dados | Não | Não | Não | Sim (regex + ML) |
| Substitui IAM/IGA tradicional | Não | Não | Não (complementa) | Não |
| Substitui DLP | Não | Não | Não | Não (complementa) |
| Fonte de dados típica | API cloud, CloudTrail | Agent no host/K8s | IAM logs + policies | API + scan de buckets/bancos |
| Maturidade típica de adoção | 1º (entrada natural) | 2º | 3º | 3º-4º |
| Onde brilha | Quick wins de misconfig e compliance | Ambientes containerizados, K8s | Empresas com IAM cloud explodido (>500 roles) | Empresas com dados sensíveis em data lakes |
Como decidir e ordenar a adoção
- Recém-migrou para cloud, sem visibilidade: comece por CSPM. Quick wins de misconfig em horas, regulação coberta.
- Workloads em containers/K8s já significativos: CWPP+KSPM como próximo passo (geralmente já vem com CSPM no mesmo CNAPP).
- Catálogo IAM cresceu sem governança (>500 roles, papéis com permissões wildcard): CIEM resolve um problema que CSPM não vê.
- Dados sensíveis migrando para data lakes (Snowflake, BigQuery, Databricks): DSPM passa a ser necessário para mapear exposição.
- Compra de CNAPP unificado: verifique se cada módulo é nativo ou OEM/parceiro — muitos vendors anunciam DSPM/CIEM como integração, não nativo. Importa para depth de detecção.
- Compliance específica (PCI, HIPAA, LGPD, SOX): peça evidência de regras pré-configuradas para sua norma — capabilities variam fortemente entre vendors.
Aprofunde nos conceitos
- CSPM, DSPM e SSPM — Posture Management
- Segurança em Cloud — AWS, Azure, GCP
- Segurança em Kubernetes e Containers
- eBPF para Segurança (Falco, Cilium, Tetragon)
- Zero Trust Architecture
Perguntas frequentes
O que é CNAPP e como essas quatro se relacionam?
CNAPP é o termo guarda-chuva que combina CSPM (configuração), CWPP (workloads), CIEM (identidade) e DSPM (dados). Plataformas modernas como Wiz, Prisma Cloud, Defender for Cloud, Lacework entregam as quatro num único conector. As siglas individuais ainda fazem sentido para entender o que cada componente cobre.
CSPM serve só para descobrir misconfigs?
O foco original é misconfig (bucket S3 público, SG 0.0.0.0/0 em SSH, conta sem MFA). Versões maduras incluem compliance contínua (CIS, PCI, HIPAA, LGPD), inventário multi-cloud, drift detection contra IaC e priorização por blast radius. O que CSPM não vê: o que está rodando dentro dos workloads.
CWPP é o EDR da nuvem?
É uma analogia útil. CWPP protege workloads em runtime — VMs, containers, serverless. Inclui vulnerability scanning de imagens, hardening, runtime threat detection (eBPF, syscall monitoring tipo Falco/Tetragon), CI/CD security. Em K8s, CWPP costuma incorporar KSPM.
O que CIEM resolve que IAM tradicional não resolve?
IAM tradicional cuida do ciclo de vida (provisionamento, MFA, federação). CIEM ataca o problema específico de cloud: explosão de permissões granulares e excessivas. Analisa permissões efetivas vs. usadas, identifica privilégios não-utilizados, sugere down-scoping e simula impacto. Resolve risco de identidade super-privilegiada que IAM não enxerga.
DSPM vale a pena se já tenho DLP?
DLP tradicional foca em prevenção em movimento (endpoint, e-mail, gateway). DSPM descobre, classifica e mapeia exposição de dados em repouso na nuvem — buckets, bancos, data lakes, BigQuery, Snowflake. Responde "que dados sensíveis temos, onde estão e quem tem acesso?". É complementar a DLP, não substituto.
Posso começar só com CSPM?
Sim — CSPM dá visibilidade imediata de misconfigs críticas e quick wins regulatórios. A maioria das organizações começa por CSPM, evolui para CWPP+KSPM quando containers ganham peso, adiciona CIEM quando o IAM fica ingerenciável (>500 papéis) e fecha com DSPM quando dados sensíveis migram para data lakes.
Avaliação de postura cloud
Mapeamos sua exposição em CSPM/CWPP/CIEM/DSPM e desenhamos o stack CNAPP proporcional ao seu apetite a risco e maturidade.
Falar com Especialista