云原生應(yīng)用保護平臺 (CNAPP) 是一種云原生安全模型，將云安全態(tài)勢管理 (CSPM)、云服務(wù)網(wǎng)絡(luò)安全 (CSNS) 和云工作負載保護平臺 (CWPP) 包含在一個整體平臺中。CNAPP 最初由 Gartner 定義，強調(diào)企業(yè)需要關(guān)注云原生安全解決方案，這些解決方案為應(yīng)用程序安全提供完整的生命周期方法，而不是拼湊的工具。

云原生應(yīng)用程序保護平臺 (CNAPP) 模型的目的

Gartner 發(fā)布了云原生應(yīng)用程序保護平臺創(chuàng)新洞察報告，使 CNAPP 成為流行的安全流行語。然而，CNAPP 不僅僅是一種炒作的新安全工具。CNAPP 是一個平臺，旨在為具有云原生工作負載的現(xiàn)代企業(yè)用單一的整體安全解決方案取代多個獨立工具。

具體來說，云原生應(yīng)用程序保護平臺模型的存在是因為 Gartner 發(fā)現(xiàn)企業(yè)需要整合工具和安全平臺，并將安全性和合規(guī)性視為跨運營和安全團隊的連續(xù)統(tǒng)一體。從這個角度來看，CNAPP 是 DevSecOps 和“左移”安全的合乎邏輯的演變。

為什么擁有 CNAPP 很重要？

多個脫節(jié)的解決方案本質(zhì)上在可見性和集成復(fù)雜性方面存在差距。這意味著DevSecOps 團隊需要做更多的工作，并降低跨企業(yè)工作負載的可觀察性。通過使用 CNAPP，企業(yè)可以解決這些問題并改善其整體安全態(tài)勢。

具體而言，CNAPP 方法具有以下優(yōu)勢：

• “云原生”安全性：為具有明確參數(shù)的“城堡和護城河”網(wǎng)絡(luò)設(shè)計的傳統(tǒng)安全解決方案對于具有云原生工作負載的現(xiàn)代企業(yè)來說并不理想。通過與 CI\CD 管道集成并跨公有云和私有云以及本地提供保護，CNAPP 在構(gòu)建時考慮了現(xiàn)代“云原生”基礎(chǔ)設(shè)施——包括容器和無服務(wù)器安全性。
• 提高可見性：有許多用于云原生工作負載的安全掃描、監(jiān)控和可觀察性工具。然而，讓 CNAPP 與眾不同的是能夠?qū)⑿畔⑸舷挛幕⒕哂锌缙髽I(yè)應(yīng)用程序基礎(chǔ)架構(gòu)的端到端可見性。例如，通過端到端的可見性和關(guān)于配置、技術(shù)堆棧和身份的詳細信息，CNAPP 解決方案可以確定對企業(yè)構(gòu)成最大風(fēng)險的警報的優(yōu)先級。
• 更嚴格的控制：機密、云工作負載、容器或Kubernetes (K8s) 集群的錯誤配置是企業(yè)應(yīng)用程序面臨的一些最常見風(fēng)險。CNAPP 平臺使企業(yè)能夠主動掃描、檢測并快速修復(fù)由于錯誤配置導(dǎo)致的安全和合規(guī)風(fēng)險。

CNAPP的關(guān)鍵組件

總體而言，CNAPP 有 3 個關(guān)鍵組成部分：

• 云安全態(tài)勢管理 (CSPM)
• 云服務(wù)網(wǎng)絡(luò)安全 (CSNS)
• 云工作負載保護平臺 (CWPP)

讓我們仔細看看每一個以及 CNAPP 如何將它們結(jié)合在一起。

CSPM：可視化和安全評估

云安全態(tài)勢管理 (CSPM)使企業(yè)能夠使用安全評估和自動合規(guī)性監(jiān)控來自動檢測和修復(fù)安全風(fēng)險。CSPM 還能夠檢測可能導(dǎo)致數(shù)據(jù)泄露的錯誤配置。此外，CSPM 通過幫助企業(yè)跨 IaaS、SaaS 和 PaaS 平臺對資產(chǎn)進行分類和清點，提供深度云可見性。

CSNS：云原生網(wǎng)絡(luò)的安全性

云服務(wù)網(wǎng)絡(luò)安全 (CSNS)——雖然并不總是被引用為 CNAPP 的一部分——但它是整體云原生安全和真正的 CNAPP 解決方案的重要方面。CSNS 提供專為云原生工作負載常見的動態(tài)網(wǎng)絡(luò)邊界設(shè)計的云網(wǎng)絡(luò)安全功能。CSNS 提供精細的分段并保護南北和東西流量。CSNS 函數(shù)的常見示例包括：

• 下一代防火墻 (NGFW)
• 負載均衡器
• 拒絕服務(wù) (DoS) 保護
• Web 應(yīng)用程序和 API 保護 (WAAP)
• SSL/TLS 檢查

CWPP：針對工作負載的現(xiàn)代威脅防護

云工作負載保護平臺 (CWPP)解決方案負責(zé)保護部署在公有云、私有云和混合云中的工作負載。CWPP 使企業(yè)能夠在應(yīng)用程序開發(fā)生命周期的早期——并在整個過程中——將安全性轉(zhuǎn)移到左側(cè)并集成安全解決方案。此類解決方案首先發(fā)現(xiàn)企業(yè)云和本地基礎(chǔ)架構(gòu)中的工作負載。然后，他們掃描它們以檢測安全問題并提供解決漏洞的選項。此外，CWPP 還為工作負載提供運行時保護、網(wǎng)絡(luò)分段和惡意軟件檢測等安全功能。

集成使 CNAPP 與眾不同

雖然存在許多云原生安全工具，但 CNAPP 的獨特之處在于它集成了跨所有企業(yè)工作負載的端到端云原生安全性。例如，這里只是 CNAPP 平臺可能提供的一些不同的安全功能，從“代碼”到跨 CI\CD 管道的“部署”：

• 代碼和提交：基礎(chǔ)架構(gòu)即代碼掃描（CSPM 功能）和第三方庫掃描（CWPP 功能）
• 構(gòu)建：容器鏡像保證（CWPP）
• 部署及其他：Kubernetes 運行時保證和虛擬機保護 (CWPP)、狀態(tài)管理和實體行為分析 (CSPM)，以及 API 保護和自動微分段(CSNS)

在一個整體平臺中執(zhí)行所有這些功能可以消除 DevSecOps 流程中的摩擦，實現(xiàn)對上下文的洞察，并改善整體企業(yè)安全態(tài)勢。