preloader
blog-post

Cloud Security Terminologie: Cloud-Native Application Protection Platform (CNAPP)

30 August, 2021 | 3 Min Read

Die Cloud-Security Community nutzt eine Vielzahl verschiedener Begriffe und Akronyme, sodass es schwierig sein kann jeden einzelnen Begriff zu kennen und zu verstehen. Eine relativ neue Ergänzung ist der Begriff Cloud-Native Application Protection Platform (CNAPP).

Was ist CNAPP?

Vor kurzem hat Gartner den Begriff Cloud-Native Application Protection Platform (CNAPP) geprägt für eine neue Art von Cloud-Security Tools, die das traditionelle Cloud Security Posture Management (CSPM) mit einer Cloud Workload Protection Platform (CWPP) verbinden. Auf den Punkt gebracht, analysieren CNAPP-Tools Cloud-Konfigurationen und Runtime-Workloads während der Entwicklung und des Betriebs auf Sicherheitsprobleme. Im Gegensatz zu CSPM oder CWPP-Tools, erlauben es CNAPP, durch die Verbindung beider Technologien, gefundenen Sicherheitsprobleme mit Kontext anzureichern, z. B. welche Cloud-Ressourcen betroffen sind, und ermöglichen so Sicherheitsprobleme und deren Auswirkungen transparent zu machen.

Welche Probleme kann CNAPP lösen?

Mit dem Aufkommen von cloud-nativen Technologien wie Infrastructure-as-Code, Containern, Serverless Functions, usw. sind herkömmliche Security-Tools nicht mehr ausreichend um die komplette Cloud-Umgebungen zu analysieren, da sie lediglich auf einzelne Aspekte oder Technologien fokussieren. Um diesen Problem zu begegnen wurden CNAPP-Tools entwickelt, die sich auf den ganzheitlichen Schutz von cloud-native applications und Technologien fokussieren. Anstatt nur Schwachstellen zu erkennen und eine lange Liste von Sicherheitswarnungen zu produzieren, wie es bei der Verwendung separater Tools der Fall ist, erkennen CNAPP-Tools Angriffspfade und Sicherheitsprobleme mit hohem Risiko, indem sie mehrere Sicherheitsprobleme und deren verbundene Risiken miteinander korrelieren.

CNAPP helfen dabei die folgenden Probleme bei der Absicherung der Cloud-Umgebung zu lösen:

  • Erkennung von Cloud-Sicherheitsfehlkonfigurationen, z.B. offenen S3-Buckets, Datenbanken und offenen Netzwerkports, wie CSPM-Tools.
  • Überwachung von Runtime-Workloads und Erkennung von Anomalien zur Laufzeit, ähnlich CWPP-Tools.
  • Inventarisierung der Cloud-Assets und Workloads sowie automatisierte Erkennung von Schwachstellen in Containern, VMs oder Serverless Functions.
  • Neu an CNAPP-Tools ist deren Fähigkeit gefundenen Schwachstellen zu korrelieren, um so Sicherheitsprobleme, die ein hohes Risiko bergen zu identifizieren und so den Aufwand für die manuelle Bewertung und Risikoanalyse erheblich reduzieren.

Best Practices

Automatisierung

Ähnlich CSPM-Tools, müssen auch CNAPP-Tools direkt in CI/CD-Pipelines integriert oder direkt mit der Cloud-Umgebung verbunden sein, um die Cloud-Umgebungen kontinuierlich auf Sicherheitsprobleme zu analysieren.

Erhöhte Transparenz

Ein Problem bei der Nutzung von CSPM- oder CWPP-Tools ist, dass sie Sicherheitswarnungen isoliert und ohne Betrachtung des Kontextes erzeugen. Als Konsequenz daraus müssen die erzeugten Sicherheitswarnungen wiederum manuel durch IT-Security Experten gefiltert, bewertet und auf ihr Risiko hin untersucht werden. CNAPP-Tools hingegen unterstützen Sicherheitsteams, indem sie für jede Warnung eine automatisierte Risikoanalyse durchführen.

Fazit

CNAPP-Tools helfen Cloud-Security Teams, die in Sicherheitswarnungen ertrinken Sicherheitsprobleme mit hohem Risiko effektiv zu erkennen und zu beheben, indem automatisiert unter Beachtung des Cloud-Kontextes und betroffener Assets (z.B. Kundendatenbanken) eine Risikoanalyse durchführen.

Verwandte Posts

Steigern Sie die Sicherheit Ihrer Cloud

Lassen Sie sich von unseren Experten beraten und finden Sie heraus, wie CodeShield Ihre Cloud sicherer machen kann.

Demo anfragen
cta Image