CNAPP 滿足雲端原生應用程式和基礎設施從開發到生產的全生命週期保護要求。負責雲端安全策略的資安及風險管理領導者可利用 Gartner 所提供的這項研究來分析、評估新興的 CNAPP 解決方案。
關鍵發現
1.
雲端原生應用程式和基礎設施的攻擊面正在擴大,攻擊者鎖定運行環境(Runtime Environment),包括網路、運算、儲存、身份和權限,以及雲端管理和控制功能的錯誤配置。此外,API 和軟體供應鏈本身也已成為潛在攻擊目標。
2.
雲端原生應用程式保護平台(CNAPP)市場成長迅速,同時伴隨著收購及整合的趨勢。儘管供應商眾多,但只有少數品牌提供的平台具備完整功能所需的深度及廣度,特別是在開發和維運流程中的無縫整合。
3.
隨著維運責任轉向開發人員和雲端架構師,對於先進工具的需求也隨之增長,以因應不斷擴大的漏洞、IaC 部署(Infrastructure as Code, 基礎設施即程式碼)和生產建置管理等問題。
由於「安全」往往被開發人員視為絆腳石,因此在開發過程中主動識別風險並確認其優先排序,同時提供充足的背景資訊十分重要。
什麼是 CNAPP?
雲端原生應用程式保護平台(CNAPP)是一套統一且高度整合的安全與合規解決方案,專為保護雲端基礎設施與應用程式所設計。
CNAPP 結合了主動和被動的安全能力,包含構件掃描(Artifact Scanning)、安全護欄、配置、合規管理、風險檢測、優先排序和行為分析等功能,提供從程式碼開發到生產運行時所需的可視性、治理和控制。CNAPP 解決方案透過 API 和主要公有雲供應商整合,並結合 CI/CD 管道以及有代理(Agent)和無代理(Agentless)工作負載整合,提供開發和運行時的全方位安全覆蓋。
CNAPP 提供 DevOps 框架下的現代雲端原生應用程式更強大的可視性、配置、合規控管和修復能力。這些解決方案將許多分散的功能整合到單一平台中,無論底層的雲端平台為何,CNAPP 都能在雲端架構部署、應用程式開發及雲端安全營運中,識別、優先排序並修復各種動態、複雜流程所產生的風險。
CNAPP 主要以雲端服務模式進行銷售和交付,專為保護 IaaS、PaaS 公有雲環境、相關運作工作負載和應用程式而設計。
CNAPP 的整合功能為開發團隊、雲端架構團隊、基礎設施安全及資安營運團隊提供協作平台,幫助他們識別並優先處理重大雲端風險,並確保溝通順暢,進而促進強大、成熟且安全的雲端原生應用程式開發,同時將程式碼和現代應用程式部署相關的業務風險降至最低。
重要預測數據
%
到了 2029 年,60% 未在雲端架構中部署 CNAPP 解決方案的企業將因缺乏對雲端攻擊面的可見性而無法實現預期的零信任目標。
%
到了 2029 年,超過 80% 的企業將採用集中式平台來促進 DevOps 的自助服務和擴展。目前(2023 年)這個比例還不到 30%。
%
到了 2029 年,所有企業將有 35% 的應用程式在容器中運行。目前(2023 年)這個比例還不到 15%
方案建置建議
對於負責雲端安全策略的資安管理者,Gartner 對於 CNAPP 的採用提供以下建議:
- 採用 CNAPP 來保護雲端原生應用程式並應對不斷增長的攻擊面,藉此防範執行環境中的威脅,減少雲端基礎架構中的錯誤配置,並簡化整個開發體驗中的安全整合及協作。
- 利用 CNAPP 加強對網路、運算、儲存、身分、權限、API 和軟體供應鏈的攻擊防禦,進而降低潛在風險並保護關鍵資產。
- 優先考慮全面且統一的 CNAPP,這些 CNAPP 提供廣泛多元的功能和所需的深度及廣度,以無縫整合整個開發生態系統和雲端平台環境。
- 選擇靈活的合約以適應不斷變化的市場動態,確保組織持續採用最符合其需求的 CNAPP 解決方案。
- 籌組一個集結資安營運、雲端安全架構、應用安全和開發營運專家所組成的跨部門團隊來評估、選擇適合的 CNAPP 解決方案。
- 優先考慮滿足開發人員和雲端架構師營運責任的解決方案,透過先進的工具有效解決雲端和應用程式安全風險、管理生產實施流程,並提供開發人員足夠的背景資訊克服資安問題,同時促進安全開發應用程式的協作方法。
若進一步細分到不同建置階段,則可參考以下重點進行 CNAPP 方案的佈建。
| 策略與規劃 |
- 不論是否採用 CNAPP,都應建立以開發人員體驗為首要目標的 DevSecOps 願景,透過安全協作的改善,減少開發人員的摩擦、提升風險識別力並降低誤報率。不必強迫開發團隊放棄他們的原生工具,而應提供修復所需的上下文資訊及相關建議。
- 建立一個統一的 CNAPP 策略和評估團隊,包含雲端安全、容器安全、應用安全、雲端架構和安全營運。雲端安全已成為共同責任,但開發人員畢竟是最終負責修復風險的人,因此 SecOps 團隊應包含 DevSecOps/開發部門的代表。同時也應盤點組織的 CI/CD 流程工具,以作為評估程序中的關鍵參考。
- 採用 CNAPP 解決方案來整合供應商,以降低複雜性、簡化資安策略執行、並提供更好的上下文資訊和優先排序,改善開發人員體驗。此外,CNAPP 還可降低 CWP(雲端工作負載防護)、CSPM(雲端安全態勢管理)、SCA(軟體組成分析)、CIEM(雲端基礎設施權限管理)和容器安全等個別解決方案的重複成本。
| 評估 |
- 讓開發/資安團隊共同將企業的功能需求劃分為必要、優先與可選等級別,再進行資訊/採購流程,因為目前還沒有供應商能在所有 CNAPP 功能上都達到最佳水準。
- 優先考慮具備深度關係分析圖的專業 CNAPP 解決方案。識別雲端風險並根據風險優先排序進行緩解的能力,取決於對雲端原生應用程式不同元件間關係的理解,以及對每個元件風險的認識。這需要對雲端控制面風險和構件風險有深入了解,並將這些風險相互串聯,以便理解、排序並修復整個系統的風險。
- 評估組織從開發到運行 SecOps 階段的 DevSecOps 工具。建立一個矩陣,列出各團隊的必要工具,並找出在 CNAPP 中重疊的部分。在不造成重大營運缺口或安全漏洞的情況下,團隊一同確認是否可將工具整合至 CNAPP。
- 在選擇單一供應商的 CNAPP 解決方案前,應由開發人員進行應用程式功能實測,以確保其功能和開發者體驗符合您的需求。
| 部署 |
- 將 CNAPP 的部署重點放在雲端原生開發的應用程式上,而非那些直接遷移到雲端的應用程式。因為對前者而言,開發速度最為重要,風險識別也同樣不可或缺。即使無法完整部署 CNAPP,至少也應部署 CSPM 和 CIEM 功能,因為大多數雲端原生應用程式風險都是因配置錯誤、管理不善或權限過大所造成。
- 將軟體組成分析和容器掃描、OSS 函式庫和依賴項中的已知風險(如常見漏洞與暴露 [CVEs]、Hard-coded Secrets、密碼、API 金鑰等)列為高度優先事項,因為這是雲端原生應用程式中另一個常見的風險來源。
- 在部署 CNAPP 時應以務實取代理論。Agent 代理程式雖能提供最佳的可見性,但並非總是可行。在可部署 Agent 的情況下,獲得由內而外的工作負載運作可見性;無法使用 Agent 時,則可採用無代理快照 (Agentless Snapshot),畢竟風險可見性仍是方案部署的首要目標之一。
CNAPP 代表性品牌
※以下為亞利安科技代理品牌,完整清單請見 Gartner 市場指南