CNAPP als Multifunktionstool der Cloud-Sicherheit

Eine Cloud Native Application ProtectionPlattform (CNAPP) umfasst eine Suite von Security-Tools, die sowohl Sicherheit als auch Compliance verbessert. Rich Campagna, SVP Cloud Protection bei Zscaler, erläutert das Konzept des Schweizer Taschenmessers für Cloud Security in einem Gastbeitrag.

Multifunktionstools sind ein beliebtes Mittel zum Zweck für all diejenigen, die mit einem Griff unterschiedlichste Werkzeuge zur Hand haben wollen. Auch in der IT gilt, wer alle Tools für eine Aufgabe mit einem Klick oder in einem Dashboard zur Verfügung hat, spart Zeit, Aufwand, Budget – und erhält einen besseren Überblick, welchem Problem man wie begegnen kann.

In die Kategorie der Multifunktionstools fällt auch das neue Konzept namens CNAPP, die Cloud-Native Application Protection-Plattform. Eine solche Plattform dient zuerst einmal dem Schutz von Cloud-basierten Anwendungen, doch ihr Umfang an Funktionen ist weitaus tiefgehender als der Name preisgibt. Hinter CNAPP verbirgt sich eine Suite von Sicherheitsprogrammen, die es Entwicklern und Sicherheitskräften in jedem Unternehmen ermöglicht, Gefahren hinsichtlich der IT-Sicherheit zu begegnen und Lücken auf der rechtlichen Seite sowie auf der Compliance-Ebene anzugehen. Und zwar unabhängig von der IT-Umgebung, also egal, ob es sich um die Cloud, Container, Cluster oder Code handelt. CNAPP erlaubt den zuständigen IT-Fachleuten über den gesamten Entwicklungszyklus hinweg, Schwachstellen zu identifizieren, zu priorisieren und zu beheben – von der Build-Phase hin zum Produktionsbetrieb von digitalen Assets.

Cloud-Sicherheit leidet unter der Entwicklungsgeschwindigkeit

In den heutigen Cloud-nativen Umgebungen werden Innovationen schneller als jemals zuvor vorangetrieben. Bedingt durch die erforderliche Geschwindigkeit für die Marktreife nimmt die Applikationsentwicklung Abstand von dem traditionellen „Wasserfall“-Modell zugunsten des agileren Prozesses der kontinuierlichen Integration und Delivery (CI/CD). Dazu setzen Entwickler auf Microservices-basierende Architekturen und nutzen Container, die in DevOps-Pipelines zusammengefügt werden und in Cloud-Infrastrukturen ausgebracht werden.

Herkömmliche Sicherheitstools haben mit dem schnellen Wandel nicht Schritt halten können, waren aber ursprünglich auch nicht für die Art Skalierbarkeit gedacht, die heute für die API-zentrierten, Infrastruktur-agnostischen und Cloud-nativen Anwendungen erforderlich sind. Eine ganze Reihe an Tools muss bisher die Sicherheit von Cloud-Entwicklungsumgebungen abdecken, darunter Cloud Security Posture Management (CSPM), Cloud Infrastructure Entitlements Management (CIEM), KSPM (Kubernetes Security Posture Management), IaC-Scanning (Infrastructure as Code) und SCA (Open-Source-Schwachstellen), Cloud Workload Protection Platform (CWPP), CNAPP, Data Loss Prevention (DLP), der Scan auf Schwachstellen, um nur einige zu nennen, die zum Standard gehören. Manche dieser Funktionen kommen vom Cloud-Anbieter, andere werden von Drittparteien im Sicherheitsbereich bereitgestellt.

Dadurch entsteht eine schwer überschaubare Vielfalt verschiedenster Tools, die für Einzelteile des Gesamtbilds greifen und dabei helfen sollen, das Risiko zu analysieren und die geschaffenen Umgebungen sicher und konform zu gestalten. Jedes Tool generiert unterschiedliche Alerts, die gesichtet, priorisiert und zugeordnet werden müssen, um letztendlich darauf reagieren zu können. Jedes Tool muss mit dem anderen und in die Unternehmensumgebung integriert werden, unter anderem für die Versionskontrolle, Integrated Development Environments (IDEs), Ticketing-Systeme usw. Das bindet Ressourcen, denn die Verwaltung des Aufwands für den Betrieb der einzelnen Tools bedeutet, dass die Entwickler weniger Zeit haben, um sich auf ihre Kernaufgaben zu konzentrieren. Das verringert wiederum die Geschwindigkeit der Anwendungsentwicklung. In Wirklichkeit stehen die einzelnen Tools damit im Widerspruch zu der dynamischen und hochautomatisierten Entwicklung und addieren Komplexität und Herausforderungen in den Sicherheits-Prozess für digitale Assets.

Ein Plattformansatz gegen die Komplexität: CNAPP

CNAPP kann verschiedenartige Sicherheit- und Compliance-Probleme erkennen, verfolgen, überwachen, korrelieren und beheben, weil mehrere Einzelprodukte in einer einzigen, leistungsstarken Plattform zusammengefasst werden. Das funktioniert bei allen gängigen Cloud-Anbietern (AWS, Google Cloud Platform, Microsoft Azure usw.) und deckt unterschiedlichste Services ab, wie Identity and Access Management (IAM), virtuelle Maschinen (VM), Container und serverlose Funktionen, Container-Orchestratoren wie Kubernetes oder auch Infrastructure-as-Code (IaC) Tools sowie Open-Source-Schwachstellen und Anwendungs-Binärdateien und ihre Lizenzen. Entscheidend kommt hinzu, dass ein Plattform-Ansatz über verschiedene Bereiche hinweg korreliert, um die Kombinationen von Schwachstellen zu finden, die das größte Risiko für jedes Unternehmen darstellen. Zusätzlich wirkt eine hochintegrierte Plattform durch Priorisierung Ermüdungserscheinungen entgegen, wenn zu viele Alerts gleichzeitig zu beobachten sind. Engineering-Teams können sich damit auf ihre Kernaufgabe der Produktentwicklung konzentrieren und werden nicht von Sicherheitswarnungen aufgehalten.

Eine Plattform bietet einen konsolidierten Satz von Lösungen zum Schutz von Cloud-nativen Anwendungen und Assets von der Entwicklungsphase bis zur Laufzeit. Mit anderen Worten: Ein CNAPP-Lösungsansatz aus der Cloud fungiert wie ein Schweizer Taschenmesser der Cloud-Sicherheit. Eine hochintegrierte Benutzeroberfläche über alle Tools hinweg gibt Entwicklern und Sicherheitsteams den Einblick, den sie benötigen, um Entwicklungsgeschwindigkeit und Agilität mit der erforderlichen SIcherheit  in Einklang zu bringen.

Themenseiten: Cloud-Computing, Zscaler

Fanden Sie diesen Artikel nützlich?
Content Loading ...
Whitepaper

Artikel empfehlen:

Neueste Kommentare 

Noch keine Kommentare zu CNAPP als Multifunktionstool der Cloud-Sicherheit

Kommentar hinzufügen

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *