Ressourcen > Sicherheit – Glossar > Was ist eine Cloud Native App Protection Platform (CNAPP)

Was ist eine Cloud Native App Protection Platform (CNAPP)?

Was ist eine Cloud Native App Protection Platform?

Der Begriff der Cloud Native Application Protection Platform (CNAPP) wurde von Gartner geprägt und bezeichnet eine „integrierte Kombination verschiedener Sicherheits- und Compliance-Funktionen zum Absichern und Schützen Cloud-nativer Anwendungen in allen Entwicklungs- und Produktionsumgebungen“. Mit CNAPPs steht Unternehmen eine neue Kategorie von Sicherheitsplattformen zur Verfügung, die Funktionen mehrerer bewährter Tools kombinieren:

Aktuelle Anwendungsszenarien

CNAPP-Lösungen gewinnen zunehmend an Bedeutung, weil sie lückenlose Sicherheit und Transparenz für heutige Entwicklungs- und Produktivumgebungen gewährleisten. Herkömmliche Sicherheitskonzepte und -tools wurden für Rechenzentren und lokal installierte Endgeräte entwickelt. Sie bieten keinen zuverlässigen Schutz für Cloud-native Anwendungen und Services. Die Umstellung auf Cloud-native Technologien und zukunftsfähige Entwicklungsansätze (Infrastructure as Code [IaC], CI/CD-Pipelines, Container-Umgebungen, serverlose Funktionen, Kubernetes usw.) macht eine entsprechende Transformation der IT-Sicherheit erforderlich.

Cloud-Services sollten den aktuellen Best Practices für Sicherheit und Compliance entsprechen, ohne dass User Abstriche an der Geschwindigkeit hinnehmen müssen. Deshalb benötigen Unternehmen eine Lösung zur kontinuierlichen Absicherung von Anwendungen, die Risiken bereits in der Entwicklungsphase erkennt und umgehend behebt. Da Anwendungen in einer Vielzahl unterschiedlicher Cloud-Infrastrukturen entwickelt werden, muss zudem überall ein einheitliches Sicherheitsniveau gewährleistet sein. Mit herkömmlichen Ansätzen lässt sich die zuverlässige Erkennung und Behebung von Sicherheitsrisiken und Schwachstellen in der hochgradig vernetzten Geschäftswelt von heute kaum noch bewältigen.

 

Eine sichere Cloud-Umgebung setzt sichere Cloud-Service-Konfigurationen und eine sichere Produktivumgebung voraus

Dynamische, kurzlebige Umgebungen, kürzere Release-Zyklen sowie Cloud-basierte Anwendungen und Technologien wie Software-as-a-Service (SaaS) und Infrastructure-as-a-Service (IaaS) bringen neue Herausforderungen in puncto Cybersicherheit mit sich. Die Absicherung der Cloud-Service-Konfigurationen und Produktivumgebung ist die Mindestvoraussetzung für eine sichere Cloud-Umgebung. Als zusätzliche Sicherheitsschicht empfiehlt sich auch ein Laufzeitschutz. Durch Optimierung der Sicherheit und Compliance für Cloud-Umgebungen können Sicherheitsexperten das DevOps-Team unterstützen und eine möglichst reibungslose Zusammenarbeit fördern. Dies erfordert jedoch eine Abkehr von der bisherigen Fokussierung auf den Schutz von Infrastrukturen – und einen Mentalitätswandel hin zum neuen Konzept des Schutzes von Anwendungen, die auf Workloads laufen.

 

Herausforderungen beim Einsatz mehrerer unterschiedlicher Tools

Das organische Unternehmenswachstum führt häufig zu einem Flickenteppich aus Einzellösungen und disparaten Sicherheitskontrollen in mehreren Cloud-Umgebungen. Cloud-Infrastrukturen und Produktivumgebungen werden mit einem Arsenal verschiedener Tools abgesichert: CSPM, CIEM, CWPP usw. Im Ergebnis erschwert dies die effektive Erkennung, Priorisierung und Behebung von Risiken. Verantwortlich dafür sind verschiedene Risikofaktoren:

  • Transparenzlücken und tote Winkel
  • Bezug von Daten aus unterschiedlichen Quellen anstelle eines allgemeingültigen Datenbestands („Single Source of Truth“)
  • Informationsüberflutung und hoher Zeitaufwand für die Datenstrukturierung
  • Alarmmüdigkeit ohne zuverlässige Methode zur Priorisierung dringender Probleme
  • Mangel an Ressourcen, technischem Fachwissen und Schulungen für die einzelnen Tools
  • operativer Aufwand und höhere Betriebskosten durch separate Verwaltung der einzelnen Tools

 

Der Versuch, zuverlässige Kontrollmaßnahmen mit einem Arsenal unterschiedlicher Tools in komplexen Umgebungen umzusetzen, ist mit einem hohen Zeit-, Ressourcen- und Arbeitsaufwand verbunden. Zur effektiven Risikoverwaltung benötigt das Sicherheitsteam eine zentrale Management-Konsole, die nicht nur einen transparenten Überblick über die gesamte Cloud-Infrastruktur und Produktivumgebung gewährleistet, sondern auch die Festlegung und Durchsetzung einheitlicher Sicherheitsrichtlinien unterstützt.

Als ganzheitliche Lösung kann eine CNAPP lückenlosen Schutz für sämtliche Umgebungen bereitstellen. Auch kurzlebige, serverlose und Container-Umgebungen werden zuverlässig abgesichert. Zugleich reduzieren Unternehmen damit sowohl die operative Komplexität als auch die Betriebskosten.

 

Handlungsempfehlungen aus Analystensicht

Der Gartner-Report „Innovation Insight for Cloud-Native Application Protection Platforms“ enthält folgende Empfehlung für Unternehmen: „Anstatt Entwicklungs- und Laufzeitumgebungen als separate Problembereiche zu betrachten, die jeweils mit einer Kombination unterschiedlicher Tools abgesichert und gescannt werden, sollten Sicherheit und Compliance als ein Kontinuum begriffen werden, das den gesamtem Lebenszyklus umfasst. Entsprechend ist eine möglichst umfassende Konsolidierung anzustreben.“ 

Daraus ergeben sich mehrere konkrete Handlungsempfehlungen:

  • Implementieren eines integrierten Sicherheitskonzepts für den gesamten Lebenszyklus Cloud-nativer Anwendungen von der Entwicklung bis zum Einsatz in Produktivumgebungen
  • Priorisieren der Risikobehebung durch umfassendes Scannen aller Entwicklungsartefakte und Cloud-Konfigurationen sowie lückenlose Überwachung der Laufzeitumgebung und Konfigurationen
  • Bewertung neuer CNAPP-Angebote als Alternative zu CSPM und CWPP; das Ablaufen einschlägiger Verträge sollte als Chance zur Reduzierung der Komplexität durch Konsolidierung der Anbieter genutzt werden

 

Wie funktioniert eine CNAPP?

CNAPPs reduzieren Komplexität und Betriebskosten, da sie mehrere Sicherheitstools und Sicherheitsfunktionen in einer Plattform vereinen. Im Einzelnen werden folgende Leistungen bereitgestellt:

  • kombinierter Funktionsumfang von CSPM-, CIEM- und CWPP-Tools
  • Korrelation von Schwachstellen, Kontext und Beziehungen im gesamten Entwicklungszyklus
  • datengestützte Erkennung und Priorisierung von Risiken 
  • Schritt-für-Schritt-Anweisungen und automatische Maßnahmen zur Behebung von Schwachstellen und Fehlkonfigurationen
  • Guardrails zur Verhinderung nicht genehmigter Änderungen an der Architektur
  • einfache Integration mit SecOps-Ökosystemen zum Senden von Warnungen nahezu in Echtzeit

 

Abb. 1: Funktionsumfang einer CNAPP (Bild übernommen aus: „How to Protect Your Clouds with CSPM, CWPP, CNAPP, and CASB“, Gartner, 6. Mai 2021)

Viele Anbieter nutzen die Synergien, die sich aus der Kombination der Funktionen von CWPP und CSPM ergeben. Dadurch entsteht eine neue Kategorie der Cloud-Native Application Protection (CNAP), die Workloads und Konfigurationen während der Entwicklung scannen und in Laufzeitumgebungen schützen kann.

Gartner, Market Guide for Cloud Workload Protection Platforms

Kernfunktionen einer CNAPP

CNAPPs vereinen die Funktionen zahlreicher Sicherheits- und Compliance-Tools. Entsprechend profitieren Unternehmen, die auf diese Technologie umsteigen, von einem umfassenden Leistungsspektrum.

 

Absicherung der Multicloud-Infrastruktur

Eine CNAPP gewährleistet komplette Transparenz über alle Anwendungen, APIs, Cloud-Ressourcen, Identitäten und sensiblen Daten in der Infrastruktur. Sie liefert Auskunft darüber, ob Ressourcen in AWS, Azure und Google Cloud datenschutzkonform sind, und unterstützt die Priorisierung von Fehlerbehebungsmaßnahmen auf der Basis zuverlässiger Risikobewertung.

 

Absicherung der Produktivumgebung

Mit einer CNAPP können Sicherheitslösungen bereits in den Anfangsphasen des Entwicklungszyklus eingesetzt („nach links verlagert“) werden. DevOps-Experten werden stärkere Tools zur frühzeitigen Erkennung und schnellen Behebung von Bedrohungen und Sicherheitsrisiken an die Hand gegeben. So lässt sich gewährleisten, dass Anwendungen und Verfahren zur Datenverarbeitung alle geltenden Vorschriften erfüllen.

 

Absicherung von Workloads

Sicherheitsrisiken und Fehlkonfigurationen lassen sich einfacher erkennen und beheben. Außerdem stellt die Plattform Funktionen zur netzwerkbasierten Verhaltensanalyse, Richtlinien-Durchsetzung und identitätsbasierten Segmentierung von Cloud-Workloads bereit.

 

Kontinuierliche Governance und Compliance

Automatische Sicherheitskontrollen überwachen die kontinuierliche Compliance und Governance von Daten, Konfigurationen und Berechtigungen.

 

Verbesserte teamübergreifende Zusammenarbeit

Durch Integration von gängigen Workflows, Datenkorrelation, aussagekräftigen Analyseergebnissen und Maßnahmen zur Fehlerbehebung wird eine reibungslose Zusammenarbeit zwischen den für DevSecOps, DevOps und Cloud-Sicherheit zuständigen Teams gefördert.

Cloud Native Application Protection Platforms gewinnen an Bedeutung

Zum Blog
Cloud Native Application Protection Platforms gewinnen an Bedeutung

CNAPP und SASE: Zwei Plattformen, die sich durchsetzen werden

Zum Blog
CNAPP und SASE: Zwei Plattformen, die sich durchsetzen werden

Zscaler Cloud Protection

Mehr erfahren
Zscaler Cloud Protection

Zscaler Workload Posture

Mehr erfahren
Zscaler Workload Posture

Der wichtigste Vorteil eines CNAPP-Ansatzes liegt in der verbesserten Transparenz und Kontrolle Cloud-nativer Anwendungen und der damit verbundenen Risiken.

Gartner, Innovation Insight for Cloud-Native Application Protection Platforms

CNAPP von Zscaler

Mit einem neuartigen Ansatz zur einfacheren Sicherung von Cloud-Workloads bietet Zscaler Cloud Protection eine überzeugende Antwort auf die steigende Nachfrage nach CNAPP-Plattformen. Unsere innovative Zero-Trust-Architektur reduziert das Geschäftsrisiko durch automatische Behebung von Sicherheitslücken, Minimierung der Angriffsfläche und Verhinderung der lateralen Bewegung von Bedrohungen.

Zur Sicherung von Cloud-Umgebungen behelfen sich viele Unternehmen bislang mit einem Security-Stack aus disparaten Einzellösungen unterschiedlicher Drittanbieter und Cloud Provider. Zscaler Cloud Protection bietet hier eine überzeugende Alternative. Die Zscaler-Lösung vereinfacht nicht nur die Verwaltung der Infrastruktur erheblich, sondern gewährleistet zugleich mehr Sicherheit durch einen Zero-Trust-Ansatz.

Weitere Informationen zum Thema gibt es hier.