已定义 CNAPP
CNAPP 是 Gartner 于 2021 年首次提出的一个术语,用于描述一个一体化平台,该平台将安全性和合规性功能统一起来,用于防止、检测和响应云安全威胁。CNAPP 将传统上独立存在的多个云安全解决方案集成到一个用户界面中,使组织更容易保护其整个云应用程序范围。
CNAPP 的主要目标之一是将安全性嵌入应用程序开发过程的最早阶段。云允许组织创新和缩放应用程序,但其庞大规模也增加了网络犯罪分子进行攻击的途径。因此,开发人员和安全专业人员需要在应用程序的开发过程中尽早发现并修复安全漏洞,这种趋势被称为 "左移",以防止出现更大的安全漏洞。
使 CNAPP 与众不同的功能
通过将多个云应用程序安全工具置于专门构建的保护程序下,CNAPP 使将安全性嵌入应用程序生命周期更加轻松,同时为云工作负荷和数据提供卓越的保护。CNAPP 具有几项关键功能,可帮助你实现此目的,包括:
- 多云支持。跨多个公有和私有云基础结构环境无缝统一安全性和符合性,让你完全了解多云数据资产。
- 网络智能集成。首先专注于最关键的漏洞,通过集成、优先级排序的威胁视图来降低风险,并利用自动推荐和修复工具减少风险。
- 集中合规性和权限管理。持续监视数据管理和合规性,并自动强制实施跨云占用的最低权限访问原则。
- “左移” DevOps 安全管理。使安全团队能够在具有常见工作流、数据和见解的平台上与开发人员进行协作,以便他们可以在创建应用程序代码后立即将安全性嵌入应用程序代码中。
- 全面云工作负载保护。提高对所有工作负荷的可见性,以便更轻松地检测漏洞和错误配置。
- 易用性。通过 CNAPP 整合供应商可降低工具堆栈的复杂性,从而减少挫败感和效率低下。
- 深度和广度见解。端到端解决方案,尤其是来自超大规模云提供商的解决方案,有助于消除明显的差距和盲点。
使 CNAPP 无缝工作的组件
尽管当前市场上的 CNAPP 存在一些差异,但 CNAPP 必须具备一些核心功能,才能为云应用程序和基础结构提供全面保护。选择集成的解决方案:
云安全态势管理 (CSPM)
CSPM 解决方案旨在为安全团队提供一个连接的、优先级排序的视图,以便跨多云和混合环境中识别潜在漏洞和配置错误。CSPM 会持续评估总体安全状况,并为安全团队提供自动警报和有关可能导致组织面临数据泄露的关键问题的建议。它具有自动化的合规性和修正工具,用于发现差距并使它们保持关闭状态。
多管道 DevOps 安全性
DevOps 安全管理 为发人员和安全团队提供了一个中心控制台,用于跨所有管道管理 DevOps 安全性。这增强了它们最大程度地减少云配置错误并扫描新代码的能力,以防止漏洞进入生产环境。基础结构即代码扫描工具从开发的最早阶段开始,就对配置文件进行扫描,以确认新的配置文件符合安全策略。
云服务网络安全 (CSNS)
CSNS 解决方案通过实时保护云基础结构来补充 CWPP。CSNS 解决方案可以包括各种安全工具,例如分布式拒绝服务保护、Web 应用程序防火墙、传输层安全检查和负载均衡。
为什么 CNAPP 很重要?
越来越多的组织都在投资 CNAPP,以使其能够:
- 更好地防范网络威胁。解决快速变化的威胁向量的最佳方法是将安全性与云集成。这样做可以提供每个组织目前所需的广泛而深入的安全性和合规性见解。
- 以多种方式削减成本。实现 CNAPP 的直接成本优势是使用综合解决方案代替多个零碎工具来节省开销。然而,从长远来看,节省的费用可能会更多。使用一组零散的安全工具可能会导致关键风险在其空隙中悄然出现。通过简化安全团队使用的工具,使其能够在更少的空隙下运作,以防止不断上升的违规和隐私侵犯成本,并避免商业声誉损失所带来的业务成本。
- 启用更高效的安全运营。不断演变的威胁形势和不断扩大的攻击面使安全专业人员在威胁警报中感到不堪重负。与此同时,全球安全人才短缺,你的团队的时间非常宝贵。拥有统一的工具集,可以增加可见性和优先警报,从而使安全团队更容易保护不断增长的混合云和多云环境。
- 向左移动安全性。创新云应用的最敏捷和经济高效方式是确保它们从始至终安全。为安全和开发团队提供将安全性嵌入应用程序代码本身所需的协作平台。越早识别代码和基础结构中的漏洞,解决这些漏洞所需的时间、资金和精力就越少。
- 使用自动化管理权利并检测风险。CNAPP 可帮助安全管理员使用自动策略强制执行来防止通过对基础结构的过度权限访问来暴露。CNAPP 还可自动执行风险检测和合规性,使组织能够扩展其云基础结构,同时保持强大的安全态势。
CNAPP 实现清单
如果正在考虑部署 CNAPP,请创建一个策略,用于选择供应商并将 CNAPP 与组织的系统集成。将这些基础内容纳入计划:
- 选择成熟的解决方案。 选择一个提供程序,该提供程序将保留在多云安全的前边缘。与网络威胁一样,CNAPP 需要在复杂性方面不断改进。另外,请务必让供应商通过实现过程为你提供支持。
- 优先考虑全面性。 从长远来看,现在找到最全面的解决方案将有助于从向 CNAPP 的转变中获得最大价值。
- 解决警报疲劳问题。具有最优化的威胁和警报优先级的综合解决方案,例如,来自同样是云提供商的供应商将减轻安全团队的负担。
- 涵盖所有环境和项目类型。请确保选择的 CNAPP 能够在使用的本地、私有云和公共云资源上集成安全功能,并且能够保护需要保护的所有不同类型的工件,否则它将无法像 CNAPP 所预期的那样减少复杂性。
- 转向开发、安全和运营 (DevSecOps) 区域性。将应用程序开发生命周期从 DevOps 模型移动到 DevSecOps 模型,在该模型中,其中加强安全性是过程的持续部分,而不是事后的考虑。对部署 CNAPP 后可能发生的职责和工作流程的必要转变进行规划。
- 更改管理中的因素。合并的解决方案需要一些时间才能部署,安全团队和开发人员都需要熟悉 CNAPP 的功能。提前规划,以便最大程度地减少对操作的中断。
CNAPP 解决方案
CNAPP 仍在不断发展中。在寻找将云原生应用保护工具集成到单一平台的产品时,可能会发现有少数几种完全全面的选择,和许多其他组合了部分安全组件的选项。
Microsoft Defender for Cloud 是少数几个全面的 CNAPP 之一。它为跨 Amazon Web Services、Google Cloud Platform 和 Azure 云服务的完整堆栈工作负载提供端到端云安全性。Microsoft 是唯一一个既是 CNAPP 又是公共云提供商的供应商。Defender for Cloud 从 Microsoft Azure 中获得丰富的见解,并使用行业领先的 Microsoft AI 每天分析 65 万亿个全球信号,以识别新出现的威胁。
详细了解 Microsoft 安全
常见问题解答
-
CNAPP 将安全性和合规性功能统一在一个平台上,以更好地预防、检测和应对云安全威胁。使用单个用户界面可让组织跨多个云环境和工作负荷全面了解威胁。它还允许开发人员和安全团队在开发生命周期的早期将安全性嵌入应用程序中。
-
云原生应用程序是一个旨在利用云计算体系结构而构建的程序。它的设计和交付方式不同于传统的整体式应用程序,并且开发速度更快。云原生应用程序比传统交付的应用程序更具可伸缩性和可移植性。
-
CNAPP(如 Microsoft Defender for Cloud)是保护云原生应用程序的最佳方式。它可帮助开发人员和安全团队在整个开发生命周期内增强安全性。它还提供跨多云环境的集中式威胁可见性、合规性和权限管理。
-
下面是两个 CNAPP 用例。
采用新式 DevSecOps 应用程序开发方法但一直使用多个孤立工具保护应用程序免受代码到云影响的组织可能会部署 CNAPP。CNAPP 可显著简化和加快 DevSecOps。
一个在私有云和公共云上广泛分布应用程序和工作负载的组织,以及一个安全团队难以优先处理警报的情况下,实现 CNAPP 也会带来一些好处。CNAPP 会将威胁可见性集中到安全团队的单个控制台,并自动执行合规性和权限管理功能,从而使整个云占用更易于保护。
-
关注 Microsoft 安全