A plataforma Lacework FortiCNAPP, adquirida pela Fortinet em 2024 por aproximadamente US$ 150 milhões, oferece proteção integrada para ambientes em nuvem combinando análise de postura de segurança (CSPM), proteção de cargas de trabalho (CWPP) e proteção de clusters Kubernetes (KSPM). A solução, projetada desde a origem para arquiteturas cloud-native, identifica configurações incorretas, vulnerabilidades e comportamentos anômalos em infraestruturas AWS, Google Cloud e Microsoft Azure sem exigir agentes obrigatórios em cada instância.

  • O quê: Plataforma Cloud-Native Application Protection Platform (CNAPP) com CSPM, CWPP e KSPM integrados.
  • Quem: Desenvolvida pela Lacework, adquirida pela Fortinet em maio de 2024.
  • Quando: Lacework fundada em 2015; aquisição pela Fortinet concluída em 2024.
  • Onde: Plataforma SaaS compatível com AWS, Google Cloud Platform e Microsoft Azure.
  • Por quê: Detectar configurações incorretas e ameaças em ambientes de nuvem com mínima fricção operacional.

O que é a plataforma

A FortiCNAPP opera como um agregador de telemetria que coleta dados das contas de nuvem, clusters Kubernetes, registros de containers e tráfego de cargas de trabalho. Ao invés de depender de regras estáticas pré-configuradas — que geram excesso de alertas e exigem manutenção constante — a plataforma aplica uma tecnologia chamada polygraph, que constrói um modelo comportamental de cada recurso em nuvem e sinaliza desvios significativos.

O polygraph mapeia relações entre serviços, contas de IAM, buckets de armazenamento, instâncias de computação e tráfego de rede. Quando uma instância que nunca se comunicou com um endereço IP externo específico inicia uma conexão de saída suspeita, o sistema correlaciona esse evento com configurações de IAM, vulnerabilidades conhecidas e alterações recentes no ambiente. A análise contextual reduz drasticamente o número de falsos positivos em comparação a ferramentas tradicionais. Mais detalhes sobre plataformas de segurança estão disponíveis no portal.

Funcionalidades principais

A FortiCNAPP consolida em um único console funcionalidades que antes exigiam três ou quatro produtos separados:

  • CSPM (Cloud Security Posture Management): verifica configurações em contas de nuvem contra frameworks como CIS Benchmarks, ISO 27001, SOC 2 e PCI-DSS, sinalizando desvios e sugerindo correções.
  • CWPP (Cloud Workload Protection): monitora instâncias, containers e funções serverless em busca de vulnerabilidades, malware e atividade anômala de processos.
  • KSPM (Kubernetes Security Posture Management): audita clusters Kubernetes em busca de RBAC excessivamente permissivo, imagens vulneráveis e exposição indevida de serviços.
  • Deteção de IAM: analisa políticas de acesso para identificar contas privilegiadas em risco, chaves expostas e caminhos de escalonamento de privilégios.
  • Integração com IaC: avalia arquivos Terraform, CloudFormation e Helm antes do deploy, bloqueando configurações inseguras na pipeline de CI/CD.

A coleta de dados dispensa agentes na maioria das funcionalidades de postura: a leitura das configurações de nuvem ocorre via APIs nativas dos provedores. Para proteção avançada de cargas de trabalho, um agente leve opcional é instalado em instâncias e nodes de Kubernetes. Essa arquitetura reduz o overhead operacional, especialmente em ambientes com milhares de instâncias efêmeras.

Casos de uso corporativos

Equipes de DevSecOps adotam a FortiCNAPP para incorporar verificação de segurança nas pipelines de deployment contínuo. Quando um desenvolvedor submete um pull request com uma configuração de bucket S3 pública, a plataforma bloqueia o merge ou emite um alerta no Slack antes que o recurso chegue à produção. Essa abordagem “shift-left” reduz o custo de correção — um problema corrigido na fase de código custa uma fração do que custaria após o deploy.

Times de resposta a incidentes usam a telemetria do polygraph para acelerar investigações. Durante um incidente de ransomware que comprometeu um cluster Kubernetes, os analistas reconstruíram a cronologia do ataque visualizando o grafo de comunicações: qual pod foi comprometido primeiro, quais credenciais IAM foram usadas e quais buckets de dados foram acessados. A visualização em grafo permite identificação do vetor inicial em horas, não dias. O portal da Lacework traz estudos de caso de empresas como Carvana, Snowflake e Vimeo que adotaram a plataforma.

Mercado de CNAPP

O segmento de CNAPP é um dos que mais cresce em cibersegurança. A Gartner projeta que 70% das empresas usarão uma plataforma CNAPP integrada até 2027, contra menos de 30% em 2023. A consolidação do mercado é evidente: Palo Alto Networks adquiriu a Prisma Cloud (anteriormente RedLock), Wiz ultrapassou US$ 350 milhões em receita anual recorrente em 2024, e a própria Fortinet comprou a Lacework para competir nesse espaço.

A Fortinet posiciona a FortiCNAPP como parte de seu portfólio de Security Fabric, integrando-se com firewalls FortiGate, FortiAnalyzer e FortiSOAR. Para clientes existentes do ecossistema Fortinet, a plataforma oferece valor adicional por meio da correlação de eventos entre a borda da rede (on-premise) e as camadas de nuvem. Concorrentes diretos incluem Wiz, Prisma Cloud, Check Point CloudGuard e Microsoft Defender for Cloud.

Considerações de adoção

A implementação da FortiCNAPP exige planejamento de custos. O modelo de precificação é baseado em volume de instâncias monitoradas e recursos de nuvem analisados, o que pode surpreender organizações com grande rotatividade de infraestrutura efêmera. Equipes que gerenciam milhares de funções serverless ou jobs efêmeros em Kubernetes devem modelar o consumo com cuidado antes de assinar contratos plurianuais.

A cobertura por provedor de nuvem também merece atenção: embora AWS, GCP e Azure recebam suporte completo, nuvens privadas baseadas em OpenStack ou VMware podem exigir complementos. A transição pós-aquisição pela Fortinet gerou mudanças nos planos comerciais e nos canais de suporte, e clientes devem verificar o roadmap de integração com o ecossistema Fortinet. Para organizações que migraram massivamente para a nuvem e sofrem com excesso de alertas de ferramentas fragmentadas, uma CNAPP bem implementada representa um salto significativo em maturidade de segurança.