CNAPP (cloud native application protection platform)是一个云原生应用保护平台 云安全原型 这需要一个积分, 生命周期方法, 为真正的云原生应用程序开发环境保护主机和工作负载. 这些环境有其独特的需求和挑战, 因此,出现新的安全产品类别来解决这些担忧就不足为奇了.
Gartner在2021年将CNAPP列为官方云安全类别, 当时他说:“云原生应用程序的最佳安全性需要一种从开发开始并扩展到运行时的集成方法.“在像云这样的短暂环境中构建应用程序的DevOps组织需要对流程进行完整和实时的可见性,以便在出现错误配置或漏洞时捕获它们. 许多人将CNAPP安全视为左倾和在开发生命周期中尽可能紧密地集成安全的同义词.
考虑云中的端到端应用程序安全性, 组织可以开始实现更深层的防御和更频繁地访问工作负载等好处. CNAPP还具有重要的自动化功能, 如果校准正确,哪一个可以极大地提高云管理的效率. 以前孤立的应用程序安全方法在CNAPP中得到了统一,并提高了兜售下一代应用程序安全解决方案和工具的供应商的标准.
分解CNAPP解决方案的组件和功能可能是一个移动的目标, 但Gartner确实有解决方案必须满足的最低要求. 下面,让我们看看定义这些需求的一些核心功能:
A CSPM解决方案 是识别和修复企业云环境中的威胁. 它使用自动化来尽可能快地处理安全风险, 与开发人员和IT安全团队协同工作. CSPM的其他关键功能包括安全风险评估, 事件响应, 与DevOps的集成. CSPM解决方案与混合云环境和容器化云环境兼容, 但是在多云环境中使用时最有效. 正是在这里,它们可以提供对组织的云资产及其各自配置的无与伦比的可见性
A CWPP 解决方案必须提供管理当前部署在公司云平台上的任何工作负载的能力. 开发组织能够将cwpp集成到他们的自动化过程中 CI / CD 管道,通常作为构建过程的一部分. 这种方法在遵循DevOps或DevSecOps方法的组织中变得越来越普遍. 任何CWPP都必须与企业SecOps基础设施的其他部分无缝集成, 但它确实增强了安全运营中心(SOC)的能力,, 帮助它更有效地检测和分析复杂的基于云的网络攻击.
A CIEM 解决方案以身份为中心,专注于管理云访问风险. CIEM利用管理时间控制来管理混合云和多云IaaS架构中的权利和数据治理. 这些工具处理动态云环境的身份治理,通常遵循 最小特权原则, 用户和实体只能在正确的时间和正确的理由访问他们需要的内容.
集装箱安全 在平台上实现保护容器化应用程序和工作负载的机制和流程的实践是否如下 Kubernetes. 在当今的云环境中,最大程度地了解容器主机位置等方面是至关重要的, 识别运行或停止的容器, 发现容器主机不符合 独联体基准,并进行脆弱性评估. 容器安全性应该尽可能早地在CI / CD管道中实现,以便更快地暴露应用程序风险, 并尽可能减少开发过程中的摩擦.
基础设施即代码(IaC) 利用代码(以预构建模板的形式)来提供支持基于云的应用程序所必需的基础设施资源的做法是否存在. 开发人员可以利用这种高度可重复的实践来编写, 测试, 并发布将创建应用程序运行的基础结构的代码. 确保这一进程至关重要, 随着应用程序开发过程的后期,安全控制被实现, 就越有可能出现被攻击者利用的错误配置或漏洞.
在最近的 CNAPP市场指南, Gartner列出了一份更详尽的核心产品分类清单, 推荐, 以及可选功能.
CNAPP解决了整个应用程序生命周期的可见性等问题, 云风险管理 挑战,以及检测到的漏洞的优先级. 让我们来看一些具体的用例:
整个开发生命周期的可见性一直是安全团队面临的最关键的挑战. 这就是为什么尽可能多地尝试和转移安全性是如此重要,以便在过程的早期和部署之前捕获错误. 从可见性的角度来看,不应该忘记部署后和运行时, 这就是为什么CNAPP供应商强调整个生命周期很重要的原因. 如果没有CNAPP所能提供的增强可见性,对风险进行量化和优先级排序是很困难的.
神奇的解决方案是在开发过程中捕获所有问题, 借助于总可见性和上下文优先级. 没有任何CNAPP产品能够在100%的时间里完美地做到这一点. 但是一个好的供应商应该能够提供一个能够跟上DevOps快速云增长目标的解决方案, 为开发人员量身定制安全性,而不需要持续破坏流程.
Gartner表示:“通过减少误报和噪音,CNAPPs可以尽可能无缝和透明地集成到其本地开发工具集,从而改善开发者体验, 通过对他们的补救工作进行风险优先级排序,并通过提供特定的补救指导来解决已识别的风险.“这里的想法是对开发过程的补充,而不是对速度的缺点,这是云采用的主要驱动因素之一. 对于SecOps来说,理解开发环境同样重要, 识别关键区域,以便将漏洞扫描更早地移动到流程中.
CNAPP解决方案可以在应用程序开发过程中提供更全面的风险描述. 它的能力是广泛的,但不应该被夸大. 如上所述, 没有什么灵丹妙药, 但一个有能力的CNAPP平台应该能够提供以下好处:
降低复杂性的概念并不局限于网络安全领域. 创新的速度, 然而, 需要不断淘汰过时的和遗留的解决方案,这些解决方案不再具有实际影响,并且可能对公司造成财务损失. 潜在的CNAPP客户越来越希望通过将安全整合到单一供应商的解决方案中来简化操作,从而可以捆绑解决方案, 为客户省钱, 并提供完整的生命周期可见性.
在最好的情况下, CNAPP解决方案应该是一种全面的云安全方法——包括供应商提供的技术和从业者执行的策略——它简化了在大范围内从端到端监控和修复风险的过程, 复杂的云环境. 分散的服务, 在很大程度上, 当我们着眼于能够简化基于微服务架构的安全性的CNAPP解决方案时,是否会成为过去.
我们在上面已经介绍了一些, 但真正与DevOps组织合作,确保确保开发生命周期的有机性,确实是降低该过程中风险的最佳方式. 为此目的, CNAPP可以利用高级分析来获得更大的风险可视性, 这使得安全从业人员能够更好地了解在哪里查看以及如何更快地完成此操作. 这可以帮助创建一个DevSecOps文化,更快地修复和优先级.
CNAPP可以帮助为开发过程提供护栏,也有助于安全的有机集成. 以这种方式, 开发人员可以按照自己的意愿进行开发, 自动化, 建筑, 部署, 只要在安全护栏的限制范围内就可以. 利用这个框架, 创新和速度不需要受到太多的限制——它们可以成为开发者真正的资产.