Sie sind hier: Startseite » Markt » Tipps und Hinweise

Was bedeutet eigentlich CNAPP?


Sicherheit von Cloud-Native-Infrastrukturen
Das Ziel von CNAPP ist es, eine vollständige End-to-End-Sicherheit für Cloud-Native-Umgebungen zu bieten


Von Arne Jacobsen, Regional Director EMEA bei Aqua Security

An Abkürzungen mangelt es in der IT-Industrie im Allgemeinen nicht. Ständig werden neue Technologien entwickelt, die dann einen passenden Namen brauchen. Nur selten gelingt das Branding einer neuen Technologie so passend, wie etwa bei der "Cloud". Und selbst wenn man weiß, was sich hinter den Buchstaben der immer länger werdenden Akronyme verbirgt, weiß man noch lange nicht, welches Problem mit der Technologie eigentlich gelöst wird. In der IT-Security mussten wir uns in letzter Zeit beispielsweise an CSPM (Cloud Security Posture Management) und CWPPs (Cloud Workload Protection Platforms) gewöhnen, die die Sicherheit von Cloud-Workloads verbessern sollen.

Doch wie es mit Technologien dieser Art in der schnelllebigen Cloud-Ära oft ist, stehen die neuesten Technologien bereits in den Startlöchern, um die alten abzulösen. Im Bereich IT-Security und Absicherung von Cloud-Workloads ist dies nicht anders – die aktuelle Technologie heißt hier CNAPP. CNAPP steht für Cloud Native Application Protection Platform. Dies ist unkompliziert und beschreibt im Prinzip auch schon direkt, was die Lösung bieten soll. Was einfach klingt, ist "unter der Haube" allerdings deutlich komplexer – und es macht deswegen Sinn, sich einmal genau anzusehen, was es mit der Technologie auf sich hat.

Warum ist CNAPP überhaupt notwendig?
Viele Organisationen bauen heute auf moderne Cloud-Native-Implementierungen. Dies zwingt Unternehmen jedoch dazu, DevSecOps, intelligente Automatisierung, CSPM und CWPPs zu kombinieren, um die Security ihrer Cloud-Native-Umgebungen effizient und schnell zu machen. In der Praxis ist dies jedoch alles andere als einfach. Anstatt die Entwicklung und die Laufzeit als getrennte Probleme zu behandeln – die mit einer Sammlung von separaten Tools gesichert und überprüft werden –, sollten Unternehmen Sicherheit und Compliance als ein Kontinuum über Entwicklung und Betrieb hinweg betrachten und versuchen, Tools zu konsolidieren, wo immer dies möglich ist.

Die Vorteile von CNAPP
Das Ziel von CNAPP ist es, eine vollständige End-to-End-Sicherheit für Cloud-Native-Umgebungen zu bieten. Anstatt verschiedene Einzellösungen zu verwenden, die nur bestimmte Sicherheitsprobleme lösen und manuell zusammengefügt werden müssen, können Unternehmen einen integrierten Plattformansatz verwenden. Daraus ergeben sich mehrere wichtige Vorteile: Durch die gemeinsame Nutzung des Kontexts zwischen Entwicklung und Produktion ist CNAPP in der Lage, einen vollständigen Überblick über das Anwendungsrisiko zu gewinnen, um Anwendungen über ihren gesamten Lebenszyklus hinweg konsistent zu sichern. CNAPP ist eine einheitliche Plattform, die die Fähigkeiten mehrerer bestehender Cloud-Sicherheitskategorien kombiniert, vor allem "Shift Left"-Artefakt-Scanning, Cloud Security Posture Management (CSPM) und Kubernetes Security Posture Management (KSPM), IaC-Scanning, Cloud Infrastructure Entitlements Management (CIEM) und Runtime Cloud Workload Protection Platform (CWPP).

Die Merkmale einer CNAPP-Lösung

"CN" steht für Cloud Native
Es mag offensichtlich klingen, aber Lösungen, die nicht für Cloud Native entwickelt wurden, können nicht als CNAPPs betrachtet werden. Die Realität ist, dass man sich in einer Cloud-Native-Umgebung nicht auf irgendeine alte EDR-, Host-basierte oder Firewall-Lösung verlassen kann. Aufgrund des verteilten Charakters nativer Cloud-Anwendungen werden ephemere Workloads dynamisch orchestriert, wodurch herkömmliche netzwerkbasierte Sicherheitstools schlichtweg irrelevant werden. Cloud-Native zu sein bedeutet, dass die Lösung verschiedene Arten von Cloud-Native-Workloads – wie Container, serverlose Funktionen und VMs – kennt und analysieren, verfolgen, überwachen und kontrollieren kann. Außerdem muss sie mit dem gesamten Stack der Cloud-Native-Infrastruktur zusammenarbeiten und eine Schnittstelle zu dieser bilden – Kubernetes, Infrastructure-as-Code(IaC)-Tools, mehrere öffentliche Cloud-Anbieter und mehr. Per Definition muss eine CNAPP selbst Cloud-Native sein.

"A" steht für Application
CNAPPs schützen Anwendungen. Zu diesem Zweck müssen CNAPPs den Anwendungskontext identifizieren und verstehen. Das bedeutet, dass das Artefakt während des gesamten Lebenszyklus der Anwendung verfolgt und Sicherheitskontrollen angewendet werden müssen, die das kontextbezogene Risiko berücksichtigen. In der Praxis reicht es nicht aus, nur festzustellen, dass "Container 4c01db0b339c ps ausgeführt hat". Man muss wissen, zu welcher Anwendung dieser Container gehört, aus welchem Image er stammt, ob die Ausführung von ps für diesen Container in der spezifischen Anwendung normal ist oder nicht und ob die Ausführung von ps in diesem Kontext legitim oder ein IoC (Indicator of Compromise) ist. Um diese Dinge zu wissen, muss eine Lösung in die CI/CD-Pipeline eingebettet sein und mit einer breiten Palette moderner DevOps-Tools integriert werden. Das Scannen von Artefakten in der Build-Phase und die Aufrechterhaltung ihrer Integrität vom Build bis zum Deployment sind entscheidend für den Anwendungskontext, was wiederum hilft, granulare Entscheidungen über ihre Bereitstellung zu treffen (z. B. zu verhindern, dass ungeprüfte Images in der Produktion laufen).

Das eine "P" steht für Protection
Es gibt einen Grund, warum hier "Protection" verwendet wird. CNAPPs sind nicht einfach Lösungen zur Sichtbarkeit, Überwachung oder Beobachtbarkeit. Einfach ausgedrückt bedeutet Protection, dass eine CNAPP in der Lage sein sollte, Angriffe zu stoppen, sobald sie geschehen. Selbst der solideste "Shift Left"-Schutz und die Härtung der Umgebung schützen nicht vor Zero-Day-Exploits oder Laufzeitangriffen mit ausgefeilten Umgehungstechniken. Prävention allein reicht nicht aus, und eine CNAPP sollte in der Lage sein, laufende Angriffe in Echtzeit zu erkennen und darauf zu reagieren. Die hohe Geschwindigkeit von DevOps und Code, der die CI/CD-Pipeline durchläuft, ist der Grund, warum herkömmliche, ältere Sicherheitstools nicht in der Lage sind, mit Cloud-Native-Anwendungen umzugehen. Leider bewegen sich Cloud-Native-Angriffe mit der gleichen Geschwindigkeit wie die Cloud-Native-Anwendungen selbst. Es reicht nicht aus, heute zu wissen, dass man gestern angegriffen wurde. Die Laufzeitkomponente ist der Bereich, in dem die meisten CNAPPs heute versagen und in dem sich die besten Lösungen durch granulare Laufzeitkontrollen auszeichnen, wie z. B. Drift Prevention.

Und das andere "P" steht für Plattform
Ja, es gibt zwei P in CNAPP. Aufgrund des Umfangs der von einer CNAPP geforderten Funktionen – sowohl über den gesamten Anwendungslebenszyklus hinweg als auch bei der Unterstützung verschiedener Arten von Workloads, Stacks und Cloud-Umgebungen – muss es sich um eine Plattform mit mehreren Integrationen handeln, die in mehrere Teams und Prozesse innerhalb des Unternehmens eingebunden ist. Eine Plattform muss ein einheitliches, konsistentes Erlebnis bieten. Viele bestehende Lösungen auf dem Markt sind entweder unvollständig und decken nur ein Teil des Puzzles ab (nur Laufzeit, nur Scannen, nur Infrastruktur) oder bestehen aus mehreren erworbenen Produkten, die nicht integriert sind und keine wirklich nahtlose Erfahrung bieten können. Darüber hinaus muss eine Plattform als SaaS oder "on-prem" verfügbar sein, um den Anforderungen stark regulierter Branchen wie des Finanz- und Gesundheitswesens gerecht zu werden.

Fazit: CNAPP - integrierte Plattform anstatt Einzellösungen
Eine Cloud Native Application Protection Platform (CNAPP) ist eine neue Kategorie von Sicherheitslösungen, die im Idealfall vollständige End-to-End-Sicherheit für Cloud-Native-Umgebungen bieten kann. Eine solche Plattform unterstützt bei Identifizierung, Bewertung, Priorisierung und Anpassung von Risiken in Cloud-Native-Applications, Infrastruktur und Konfigurationen. Organisationen können so eine integrierte Plattform anstatt verschiedener Einzellösungen verwenden, die nur bestimmte Sicherheitsprobleme lösen und manuell zusammengefügt werden müssen. Es gibt bereits zahlreiche Angebote mit einem breiten Leistungsspektrum auf dem Markt. Unternehmen sind gut beraten, die Lösungen verschiedener Anbieter darauf zu prüfen, ob sie alle Attribute einer echten CNAPP beinhalten, um ihre Cloud-Native-Umgebungen so gut wie möglich abzusichern.

Über Arne Jacobsen
Arne Jacobsen ist Regional Director EMEA bei Aqua Security. Der Diplom-Kaufmann verfügt über 20 Jahre Erfahrung in der IT- und Sicherheitsbranche und hatte im Verlauf seiner Karriere verschiedene Positionen im führenden Management bei von Security-Anbietern sprechen inne. Sein Schwerpunkt ist Cybersecurity und Vulnerability Management. Bevor er zu Aqua kam, war Jacobsen Sales Director EMEA bei IBM Resilient.
(Aqua Security: ra)

eingetragen: 11.07.22
Newsletterlauf: 10.08.22

Aqua Security: Kontakt und Steckbrief

Der Informationsanbieter hat seinen Kontakt leider noch nicht freigeschaltet.


Meldungen: Tipps und Hinweise

  • Wie sich Teamarbeit im KI-Zeitalter verändert

    Liefertermine wackeln, Teams arbeiten unter Dauerlast, Know-how verschwindet in der Rente: In vielen Industrieunternehmen gehört der Ausnahmezustand zum Betriebsalltag. Gleichzeitig soll die Zusammenarbeit in Produktion, Qualitätskontrolle und Wartung immer schneller, präziser und vernetzter werden. Wie das KI-gestützt gelingen kann, zeigt der Softwarehersteller Augmentir an sechs konkreten Praxisbeispielen.

  • Vom Workaround zum Schatten-Account

    Um Aufgaben im Arbeitsalltag schneller und effektiver zu erfüllen, ist die Suche nach Abkürzungen Gang und Gebe. In Kombination mit dem technologischen Fortschritt erreicht die Effizienz menschlicher Arbeit so immer neue Höhen und das bringt Unternehmen unwissentlich in eine Zwickmühle: Die zwischen Sicherheit und Produktivität. Wenn ein Mitarbeiter einen Weg findet, seine Arbeit schneller oder besser zu erledigen, die Bearbeitung von Zugriffsanfragen durch die IT-Abteilung aber zu lange dauert oder zu kompliziert ist, dann finden Mitarbeiter oftmals "kreative" Lösungen, um trotzdem weiterarbeiten zu können. Diese "Workarounds" entstehen selten aus böser Absicht. Allerdings stellen sie gravierende Sicherheitslücken dar, denen sich viele Beschäftigte und Führungskräfte nicht bewusst sind.

  • KI in der Cloud sicher nutzen

    Keine Technologie hat die menschliche Arbeit so schnell und weitreichend verändert wie Künstliche Intelligenz. Dabei gibt es bei der Integration in Unternehmensprozesse derzeit keine Tür, die man KI-basierter Technologie nicht aufhält. Mit einer wachsenden Anzahl von KI-Agenten, LLMs und KI-basierter Software gibt es für jedes Problem einen Anwendungsfall. Die Cloud ist mit ihrer immensen Rechenleistung und Skalierbarkeit ein Motor dieser Veränderung und Grundlage für die KI-Bereitstellung.

  • Clever skalieren auf Basis bestehender Strukturen

    Da Generative AI zunehmend Teil unseres Alltags wird, befinden wir uns in einer KI-Phase, die sich durch außerordentliche Fähigkeiten und enormen Konsum auszeichnet. Was anfangs auf einer theoretischen Ebene stattgefunden hat, ist inzwischen messbar - und zwar bis zur kleinsten Einheit. Aktuelle Untersuchungen von Mistral AI und Google deuten darauf hin, dass die Folgen einer einzigen Interaktion vernachlässigbar sind: Bruchteile eines Watts, einige Tropfen Wasser und ein Kohlenstoffausstoß, der etwa dem entspricht, was beim Streamen eines Videos unter einer Minute verbraucht wird.

  • Von Cloud-First zu Cloud-Smart

    Die zunehmende Vernetzung von IT- und OT-Systemen bedeutet für die Fertigungsindustrie neue Sicherheitsrisiken. Ein moderner Cloud-Smart-Ansatz verbindet Innovation mit effektiven Sicherheitslösungen, um diesen Herausforderungen gerecht zu werden. Die industrielle Digitalisierung stellt die Fertigungsindustrie heute vor neue Herausforderungen - insbesondere in puncto Sicherheit.

  • Technik statt Vertrauen

    Die andauernden Turbulenzen in den USA seit Amtsantritt von Donald Trump, die konsequente Kürzung von Mitteln für Datenschutz und die Kontrolle staatlicher Überwachungsprogramme verdeutlichen: Wer als Behörde oder Institution höchste Datensicherheit garantieren muss, kann nicht auf US-amerikanische Unternehmen oder deren europäische Töchter setzen.

  • Risiko von SaaS-zu-SaaS-Integrationen

    Ein SaaS-Sicherheitsalbtraum für IT-Manager in aller Welt wurde kürzlich wahr: Hacker nutzten legitime OAuth-Tokens aus der Drift-Chatbot-Integration von Salesloft mit Salesforce, um unbemerkt Kundendaten von der beliebten CRM-Plattform zu exfiltrieren. Der ausgeklügelte Angriff deckt einen kritischen toten Winkel auf, von dem die meisten Sicherheits-Teams nicht einmal wissen, dass sie von ihm betroffen sind.

  • Kostenfallen erkennen und vermeiden

    Remote Work, Cloud Computing und mobile Endgeräte haben die Arbeitswelt grundlegend verändert. Mitarbeiter erwarten heute, von überall aus auf ihre Anwendungen und Daten zugreifen zu können. Virtuelle Desktop-Lösungen machen diese Flexibilität möglich, indem sie Desktop-Umgebungen und Anwendungen über das Netzwerk eines Unternehmens bereitstellen. Doch der Markt für solche Lösungen ist komplex und vielfältig. IT-Entscheider stehen vor der Herausforderung, aus dem Angebot die passende Lösung zu identifizieren, die sowohl technische Anforderungen als auch wirtschaftliche Ziele erfüllt.

  • Übergang in die neue Systemlandschaft

    Der Umstieg auf SAP S/4HANA ist bei vielen Unternehmen bereits in vollem Gange oder steht unmittelbar bevor. Wer in diesem Zusammenhang seine Archivierungsstrategie überdenkt, kann wertvolle Zeit, Kosten und Aufwand sparen. Die Archivierungsexperten von kgs haben zehn zentrale Aspekte zusammengestellt, die dabei helfen, den Übergang in die neue Systemlandschaft effizient und zukunftssicher zu gestalten.

  • Die Zukunft braucht offene KI-Infrastrukturen

    KI ist mehr als ein ominöses Hinterzimmer-Experiment. Die Technologie ist eine treibende Kraft, wenn es um Produkte, Entscheidungen und Nutzererfahrungen über jegliche Wirtschaftsbereiche hinaus geht. Mittlerweile stellen Unternehmen jedoch die Inferenz in den Mittelpunkt ihrer KI-Implementierungen. Hier können die Modelle ihren eigentlichen Mehrwert unter Beweis stellen - unter anderem in Form von Antworten auf drängende Fragen, Vorhersagen und Content-Generierung. Der Anstieg des Inferenz-Bedarfs bringt jedoch eine entscheidende Herausforderung mit sich. Bei Inferenzen handelt es sich nämlich nicht um einzelne Workloads.

Zuverlässiger Schutz kritischer Daten Warum sich eine Cloud-Migration lohnt

Wir verwenden Cookies um unsere Website zu optimieren und Ihnen das bestmögliche Online-Erlebnis zu bieten. Mit dem Klick auf "Alle akzeptieren" erklären Sie sich damit einverstanden. Erweiterte Einstellungen