Anterovium - Fotolia
Cloud-native Application Protection Platform im Überblick
Eine Cloud-native Application Protection Platform kombiniert bekannte Technologien zum umfassenden Schutz von Anwendungen. Was verbirgt sich dahinter und wer benötigt es?
Im Zuge der fortlaufenden Veränderungen der Bedrohungslandschaft passen die meisten Unternehmen ihre Sicherheitsmaßnahmen immer wieder an die aktuelle Situation an. Viele prüfen dabei neue Dienste und nehmen zunehmend auch Cloud-basierte Angebote sowie reine Cloud-Plattformen in Betracht. Diese werden mittlerweile auch von bekannten Sicherheitsanbietern in ihr Portfolio aufgenommen.
In den vergangenen Jahren wurden professionelle Anwender daher mit immer neuen Abkürzungen aus dem Bereich Cloud-Security konfrontiert. CASB (Cloud Access Security Broker), CSPM (Cloud Security Posture Management) sowie CWPP (Cloud Workload Protection Platform) sind nur einige wenige von ihnen. Nun ist mit CNAPP ein neues Kürzel hinzugekommen. Es steht für Cloud-native Application Protection Platform.
Was verbirgt sich dahinter? Und wie kann CNAPP Ihnen nutzen? Welche Unternehmen sollten den Einsatz einer solchen Lösung in ihrer Cloud-Infrastruktur überlegen und welche können darauf verzichten? Die Fragen sind berechtigt. Lassen Sie uns daher einen Blick auf die neuen Plattformen werfen.
Was ist ein CNAPP?
Eine Cloud-native Application Protection Platform ist, kurz gesagt, eigentlich eine Kombination aus mehreren bereits bekannten Sicherheitstechnologien. Ein CNAPP besteht zunächst aus Lösungen zur Workload- und Konfigurations-Security, die zur Absicherung der Cloud Control Plane benötigt werden. Diese Segmente werden bereits durch CWPP- und CSPM-Lösungen abgedeckt.
Ein CNAPP kümmert sich aber auch um die Verwaltung von Identitätsansprüchen, um die Automatisierung und Orchestrierung von Sicherheitsmaßnahmen insbesondere für Kubernetes-Umgebungen sowie um das Aufspüren und Schützen von im Unternehmen genutzten APIs (Application Programming Interfaces).
Bei einem CNAPP handelt es sich um Cloud-basierte Lösungen. Es bietet alle erforderlichen Cloud-Techniken und -Kontrollen in einem einzigen Produkt, die zum Schutz des gesamten Deployment-Prozesses der Anwendungen in der Cloud benötigt werden.
In der Regel ist die Leistung einer Lösung einer der wichtigsten Faktoren, wenn es um Cloud-native Produkte im Allgemeinen und CNAPP-Lösungen im Speziellen geht. Die meisten Cloud-Security- und Operations-Teams sind heute komplett aus- beziehungsweise sogar überlastet. Sie haben daher gar nicht die Zeit oder die Ressourcen, um neuartige Kontrollmodelle aufzubauen und zu verwalten, die sowohl die Workloads als auch die Cloud-Dienste, Identitäten sowie die Cloud Control Plane schützen sollen.
Was man vor dem Einsatz einer CNAPP-Lösung bedenken sollte
Einige Security-, DevOps- und Cloud-Engineering-Teams in den Unternehmen werden sich eventuell wundern, warum Sie nun auch noch eine CNAPP-Plattform einsetzen sollen? Ergibt das wirklich Sinn? Gibt es bereits brauchbare Lösungen auf dem Markt? Das sind gute Fragen. Vor allem da wir in den vergangenen Jahren bereits einen deutlichen Anstieg bei den angebotenen Cloud-Security-Tools und -Diensten gesehen haben.
CNAPP-Lösungen sind noch relativ jung und daher noch keine endgültig ausgereiften Angebote. Die bereits weiter oben beschriebenen einzelnen Komponenten einer CNAPP-Plattform werden derzeit in einem hohen Tempo weiterentwickelt.
Ihre Kombination unter einem Dach befindet sich aber noch in einem recht frühen Stadium. Die meisten derzeit verfügbaren kommerziellen CNAPP-Lösungen sind vor allem in einem bestimmten Bereich und manchmal auch in mehreren Segmenten gut, die aber den Kern eines CNAPPs ausmachen.
Bisher hat es praktisch noch kein Anbieter geschafft, in allen Teilen zu überzeugen. Es gibt bereits sehr viele CWPP-Tools auf dem Markt. Selbst CSPM-Dienste sind immer häufiger zu finden. Nur wenige Hersteller decken aber beide Technologien in gleich hohem Maße ab. Das gilt insbesondere, wenn man auch die Bereiche Orchestration sowie Sicherheit von APIs mit in die Überlegungen einbezieht.
Warum CNAPP-Lösungen nützlich sein können
Anders als die bislang verfügbaren Einzellösungen konzentriert sich ein CNAPP auf Sicherheitskontrollen und Assessments, die frühzeitig in den betrieblichen Abläufen stattfinden. So scannen CNAPPs zum Beispiel Infrastructure-as-Code-Templates (IaC) noch vor dem eigentlichen Deployment. Das gilt auch für potenzielle Schwachstellen in Container-Images sowie in der Kubernetes-Cluster-Konfiguration. Diese Bereiche wurden auch bisher schon teilweise abgedeckt. Kein einziger Anbieter und kein einziges bislang verfügbares Produkt haben aber signifikante Stärken in allen erforderlichen Bereichen.
CNAPPs konzentrieren sich zudem stark auf Automatisierungen und die Integration von APIs. Das ist vor allem für DevOps-Teams interessant, die Sicherheitskontrollen in ihre Pipeline-Tools und -Dienste integriert haben wollen. So können sie Unterbrechungen minimieren und ihre CD/CD-Prozesse (Continuous Integration, Continuous Delivery) schlanker gestalten.
Die Zukunft von CNAPP-Plattformen
Der Cloud-basierte Ansatz einer umfassenden Plattform zum Schutz von Anwendungen wird sich vermutlich durchsetzen. Ob dies auch für die Abkürzung CNAPP gilt, bleibt allerdings noch abzuwarten.
Es gibt in den Unternehmen jedoch ganz eindeutig einen hohen Bedarf für vereinheitlichte Security-Plattformen über die gesamte DevOps-Pipeline. Das betrifft besonders die Workloads und die für sie benötigten Images sowie die Bereiche IaC, Orchestrierung und die Abwehr von Schwachstellen. Ebenso von Bedeutung sind erweiterte Konfigurationsmöglichkeiten sowie Kontrollen für die Cloud Control Plane.
Es gibt mehrere Voraussetzungen, die Cloud-native Plattformen zum Schutz von Anwendungen erfüllen müssen: Zum einen die solide Integration von APIs, um Assets, Sicherheitslücken und fehlerhafte Konfigurationen rechtzeitig aufzuspüren. Wichtig sind darüber hinaus eine Integration in die DevOps-Prozesse, um zuverlässig und schnell auf IaC-Templates und Workload-Images zugreifen zu können. Die Workloads selbst müssen geschützt werden, während sie aktiv sind. Das betrifft auch die verwendeten Serverless-Funktionen.