云原生应用保护平台 (CNAPP) 是一种云原生安全模型,将云安全态势管理 (CSPM)、云服务网络安全 (CSNS) 和云工作负载保护平台 (CWPP) 包含在一个整体平台中。CNAPP 最初由 Gartner 定义,强调企业需要关注云原生安全解决方案,这些解决方案为应用程序安全提供完整的生命周期方法,而不是拼凑的工具。
云原生应用程序保护平台 (CNAPP) 模型的目的
Gartner 发布了云原生应用程序保护平台创新洞察报告,使 CNAPP 成为流行的安全流行语。然而,CNAPP 不仅仅是一种炒作的新安全工具。CNAPP 是一个平台,旨在为具有云原生工作负载的现代企业用单一的整体安全解决方案取代多个独立工具。
具体来说,云原生应用程序保护平台模型的存在是因为 Gartner 发现企业需要整合工具和安全平台,并将安全性和合规性视为跨运营和安全团队的连续统一体。从这个角度来看,CNAPP 是 DevSecOps 和“左移”安全的合乎逻辑的演变。
为什么拥有 CNAPP 很重要?
多个脱节的解决方案本质上在可见性和集成复杂性方面存在差距。这意味着DevSecOps 团队需要做更多的工作,并降低跨企业工作负载的可观察性。通过使用 CNAPP,企业可以解决这些问题并改善其整体安全态势。
具体而言,CNAPP 方法具有以下优势:
- “云原生”安全性:为具有明确参数的“城堡和护城河”网络设计的传统安全解决方案对于具有云原生工作负载的现代企业来说并不理想。通过与 CI\CD 管道集成并跨公有云和私有云以及本地提供保护,CNAPP 在构建时考虑了现代“云原生”基础设施——包括容器和无服务器安全性。
- 提高可见性:有许多用于云原生工作负载的安全扫描、监控和可观察性工具。然而,让 CNAPP 与众不同的是能够将信息上下文化并具有跨企业应用程序基础架构的端到端可见性。例如,通过端到端的可见性和关于配置、技术堆栈和身份的详细信息,CNAPP 解决方案可以确定对企业构成最大风险的警报的优先级。
- 更严格的控制:机密、云工作负载、容器或Kubernetes (K8s) 集群的错误配置是企业应用程序面临的一些最常见风险。CNAPP 平台使企业能够主动扫描、检测并快速修复由于错误配置导致的安全和合规风险。
CNAPP的关键组件
总体而言,CNAPP 有 3 个关键组成部分:
- 云安全态势管理 (CSPM)
- 云服务网络安全 (CSNS)
- 云工作负载保护平台 (CWPP)
让我们仔细看看每一个以及 CNAPP 如何将它们结合在一起。
CSPM:可视化和安全评估
云安全态势管理 (CSPM)使企业能够使用安全评估和自动合规性监控来自动检测和修复安全风险。CSPM 还能够检测可能导致数据泄露的错误配置。此外,CSPM 通过帮助企业跨 IaaS、SaaS 和 PaaS 平台对资产进行分类和清点,提供深度云可见性。
CSNS:云原生网络的安全性
云服务网络安全 (CSNS)——虽然并不总是被引用为 CNAPP 的一部分——但它是整体云原生安全和真正的 CNAPP 解决方案的重要方面。CSNS 提供专为云原生工作负载常见的动态网络边界设计的云网络安全功能。CSNS 提供精细的分段并保护南北和东西流量。CSNS 函数的常见示例包括:
- 下一代防火墙 (NGFW)
- 负载均衡器
- 拒绝服务 (DoS) 保护
- Web 应用程序和 API 保护 (WAAP)
- SSL/TLS 检查
CWPP:针对工作负载的现代威胁防护
云工作负载保护平台 (CWPP)解决方案负责保护部署在公有云、私有云和混合云中的工作负载。CWPP 使企业能够在应用程序开发生命周期的早期——并在整个过程中——将安全性转移到左侧并集成安全解决方案。此类解决方案首先发现企业云和本地基础架构中的工作负载。然后,他们扫描它们以检测安全问题并提供解决漏洞的选项。此外,CWPP 还为工作负载提供运行时保护、网络分段和恶意软件检测等安全功能。
集成使 CNAPP 与众不同
虽然存在许多云原生安全工具,但 CNAPP 的独特之处在于它集成了跨所有企业工作负载的端到端云原生安全性。例如,这里只是 CNAPP 平台可能提供的一些不同的安全功能,从“代码”到跨 CI\CD 管道的“部署”:
- 代码和提交:基础架构即代码扫描(CSPM 功能)和第三方库扫描(CWPP 功能)
- 构建:容器镜像保证(CWPP)
- 部署及其他:Kubernetes 运行时保证和虚拟机保护 (CWPP)、状态管理和实体行为分析 (CSPM),以及 API 保护和自动微分段(CSNS)
在一个整体平台中执行所有这些功能可以消除 DevSecOps 流程中的摩擦,实现对上下文的洞察,并改善整体企业安全态势。