什么是 CNAPP（云原生应用保护平台）？

CNAPP 帮助确保云和多云环境中的应用程序安全、网络安全和合规性。它们使组织能够保护敏感数据免受各种安全威胁，包括数据泄露、恶意软件攻击和其他安全问题，无论是在公共云、私有云，还是本地部署基础设施中。

CNAPP 集成了多种云安全解决方案，因此不同产品的功能可能有所差异。通常，它们包含若干主动和被动的安全功能，包括以下内容：

• 工件扫描：自动将代码与已知漏洞数据库进行比对，主动在部署前识别潜在的安全问题。

• 安全护栏：建立自定义和标准安全协议，并提供工具在适用的地方自动应用预定义的安全措施（或标记安全不足的区域）。

• 配置和合规性管理工具：在较高级别上识别和防止任何配置错误或不合规安全实践，帮助确保数据安全并避免监管处罚。

• 风险检测与优先级排序：风险检测与优先级排序帮助发现潜在漏洞并识别最紧迫的问题。

• 用户行为分析 (UBA)：UBA 工具使用数据分析、人工智能 (AI) 和 机器学习 (ML) 来建立典型网络用户行为模型，并检测可能表明安全威胁的任何偏差。

CNAPP 提供跨云环境的实时可见性，以便在整个开发生命周期中识别和应对安全风险和漏洞。CNAPP 解决方案通过提供与 IBM Cloud、Amazon Web Services (AWS) 和 Microsoft Azure 等领先云服务商的 API 集成，可融入 CI/CD 管道，为工作负载提供基于智能体和无智能体的双重保护，实现从代码创建到运行时执行的全周期安全。

CNAPP 安全平台最初由研究和咨询公司 Gartner 提出概念，它将传统上单独部署的各种云原生安全应用整合到一个平台中。

不同于传统的孤立安全方法，CNAPP 平台将多种云安全工具结合并简化，为监督云平台的安全团队提供全面的可视性、威胁检测和修复能力。

根据组织的要求，不同的 CNAPP 框架可能更适合不同的用例。大多数 CNAPP 在功能上略有差异，但通常都提供一套最低限度的安全功能，旨在从代码开发到最终部署全程保护云应用。

CNAPP 旨在保护云资源并提供应用程序安全 (AppSec)，最好的 CNAPP 通过满足组织的独特需求来发挥作用。有效的 CNAPP 至少应可以监控并减少组织的潜在攻击面，消除潜在的安全不确定性，并提高其总体安全状况。因此，最好的 CNAPP 是最适合组织特定需求的 CNAPP。

为了满足不同用例的不同需求，供应商可能会提供不同级别的服务，但是，一个足够强大的 CNAPP 可以提供其中的大部分关键组件。

CSPM 使组织能够持续监控云基础设施、基础设施即代码 (IaC) 及其他云资源，并根据预定义的安全策略自动实施安全控制。

CSPM 对于发现任何漏洞或错误配置非常有用，使组织能够轻松评估其云安全状态并解决可能存在的任何威胁或合规风险。

云工作负载保护平台 (CWPP) 专为保护云工作负载而设计，包括容器、虚拟机 (VM)、Kubernetes、数据库、API 及无服务器函数（同时涵盖在云环境中完成任务所需的相关数据与进程）。

一些 CWPP 会将虚拟代理附加到每个工作负载上，但现代无代理 CWPP 提供全面覆盖。两种类型的 CWPP 都为部署在云环境中的所有工作负载提供运行时保护。

CIEM 工具用于管理单云和多云环境中的身份，包括访问权限、特权和许可。通过集成 CIEM，CNAPP 可以获得关键的访问管理能力，以执行最小权限原则，限制用户和服务仅访问其角色所必需的资源。

CIEM 工具能够识别并阻止任何意外或过度的权限，并防止任何相关的威胁或数据泄露。它们被认为是组织更大范围的身份和访问管理 (IAM) 计划中的关键组成部分，并且对于实现更安全的零信任安全策略具有重要价值。

CDR 系统会主动监控云环境中的可疑活动。当发现此类活动时，CDR 将触发自动事件响应，以实时修复威胁。

CSNS 解决方案旨在应对网络漏洞，包括用于强化 Web 应用防火墙、保护 Web 网关并提供对 DDoS（分布式拒绝服务）攻击防护的工具。

Kubernetes 是一个容器编排平台，用于调度和自动化容器化应用程序。KSPM 工具专为监控、评估和保护 Kubernetes 环境而设计，通过配置验证、簇渗透测试和基准测试来确保数据受到保护并遵守合规性。

ASPM 专门用于在部署前保护应用程序，它在开发阶段将必要的上下文信息应用于应用程序，以便识别和解决应用程序部署后可能出现的任何潜在漏洞。

DSPM 监控数据在云环境中的存储、传输和安全情况，通过执行安全管理规范并保持合规性，帮助组织跟踪、管理和保护其敏感数据。

IaC 工具通过使用配置文件而非使用（或结合）实际代码，帮助企业定义其云架构。IaC 工具扫描配置文件中的漏洞和错误配置，最大限度地减少意外的网络暴露、权限问题和合规违规。IaC 扫描可以自动进行，也可以手动启动。

随着云服务和基础设施即服务 (IaaS) 的普及，运营团队在维护数据安全和避免高昂的合规违规成本方面面临着广泛的安全挑战。云服务为软件开发和应用程序开发提供了理想的生产环境，无需承担与物理硬件或供应链相关的高昂成本，即可加快产品上市速度。

然而，对于依赖云服务提供商 (CSP) 的组织来说，安全性成为他们的共同责任。CNAPP 使组织能够在整个应用程序生命周期中保护其云资源。CNAPP 提供关键的网络安全功能，例如端点管理与工作负载保护，所有这些功能都集成在统一的界面中。这种精简的方法降低了由多个管理人员分别监督整体云安全状况各个环节所带来的开销。

复杂的云环境带来了各种各样的安全挑战，并且需要不断推出新的动态组件进行验证、保护、测试和部署。虽然云提供了无与伦比的灵活性和便利性，但也引入了许多新的攻击途径和潜在漏洞，给安全团队带来了诸多挑战。以下是 CNAPP 帮助解决的一些关键安全挑战：

• 孤立的安全运营：组织历来对云安全采取零散方法，将 CNAPP 的各个部分（例如数据安全状况管理或 Kubernetes 安全状况管理）作为独立工具组装使用。这种不够高效的方法需要更多资源、增加管理开销，并导致整体安全实施不够优化。通过将这些分散的工具整合到一个平台中，CNAPP 改善并规范整个云基础设施和开发管道的安全实践。将这些单独功能统一到一个集中工具中，则需要更少的资源并降低整体开销。

• 安全不确定性：CNAPP 有助于组织获得对整个云基础设施的更好可视性。它们提供混合的代理和无代理安全功能，以密切监控最关键的工作负载，并在资源限制导致无法使用代理监控的情况下提供强有力的全面保护。

• 警报疲劳：虽然孤立的安全工具可以识别某些类型的漏洞，但它们通常无法将这些漏洞可能演变为严重威胁的程度进行情境化分析。在缺乏全局视图的情况下，独立的安全工具难以充分确定潜在问题的优先级，导致大量低优先级的警报。当安全管理人员需要在这些“噪声”中识别最相关的警报时，警报疲劳可能引发人为错误。

• 运营摩擦：DevOps 团队经常面临开发和部署新云资源和应用程序的巨大压力。在时间紧迫的情况下，开发人员与负责维护运营安全的 DevSecOps 团队之间的协作常常成为摩擦的根源，从而缩短产品上市时间。CNAPP 帮助 DevOps 和 DevSecOps 团队协同工作，在开发管道早期自动嵌入云安全最佳实践。

作为一种一体化云安全解决方案，CNAPP 将与 CSPM、CWPP 和 CIEM 工具相关的优点打包到简化的单个应用程序中。通过紧密集成这些传统上独立的平台，CNAPP 可以优化单项和整体安全措施，以更好地预防、检测和应对威胁和漏洞。

CNAPP 还支持一种“左移（shift-left）”的网络安全方法，旨在在开发流程中更早地集成安全测试。此外，它们还有助于改进 DevOps 团队和 DevSecOps 团队之间的工作流程。

CNAPP 的一些主要优点包括：

• 提高网络安全性：在云中集成安全功能，让组织更好地防范网络威胁。随着云环境变得越来越普遍和复杂，云原生安全对于保护庞大的混合云和多云系统变得越来越重要。

• 集中式管理：使组织能够一次性评估并管理其整个云资源体系。

• 提高可见性：更好地提供云的洞察分析，减少不确定性，并突出显示任何安全漏洞或不合规的监管问题。

• 高级威胁检测：标记从开发到部署的生产管道中的潜在缺陷、漏洞或错误配置。

• 自动化：自动执行各种类型的安全扫描和威胁响应，并在适用的情况下广泛应用内部安全标准。

• 左移安全：提倡左移安全方法，尽可能在开发流程的早期增加严格的安全测试和控制。因此，减少云内部漏洞的最佳方法就是在漏洞出现之前就加以捕捉和预防。

• 简化安全性：简化安全运营，以减轻安全团队的压力，并减少管理单个安全解决方案所需的开销。