CNAPP 的定義
CNAPP 是 Gartner 在 2021 年第一次建立的字詞,用來描述一個統一安全性與合規性功能的平台,以防止、偵測及回應雲端安全性威脅。CNAPP 整合了多個過去在單一使用者介面中孤立的雲端安全性解決方案,讓組織能更輕鬆地保護其整個雲端應用程式的磁碟使用量。
CNAPP 的其中一個主要目標是將安全性內嵌到應用程式開發流程的最早期階段。雲端可讓組織創新並縮放應用程式,但其規模之大使網路犯罪者可以利用的攻擊途徑倍增。因此,開發人員和安全性專業人員必須儘早發現並修正應用程式開發中的安全性問題 (這是趨勢稱為「左移」),以避免之後發生更大的安全性缺口。
CNAPP 獨特的功能
CNAPP 將多個雲端應用程式安全性工具放在專為某個用途打造的傘下,讓將安全性內嵌到應用程式生命週期中變得更簡單,同時為雲端工作負載和資料提供出色的保護。CNAPP 有幾個可協助您達成目標的重要功能,包括:
- 多雲端支援。跨多個公用和私人雲端基礎結構環境完美整合安全性與合規性,讓您全面了解多雲端資料資產。
- 威脅情報整合。透過整合式、優先處理威脅的觀點,將焦點集中在最重要的弱點上,並使用自動建議和修復工具降低風險。
- 集中式合規性和權限管理。持續監視 資料控管和合規性 並自動在所有雲端磁碟使用量上強制執行最低權限存取原則。
- 「左移」DevOps 安全性管理。讓安全性小組在具有常見工作流程、資料和深入解析的平台上與開發人員共同合作,這樣一來,他們就可以在應用程式程式碼建立時,將安全性內嵌到應用程式程式碼中。
- 全方位雲端工作負載保護。改善所有工作負載的可見度,以便更輕鬆地偵測弱點和錯誤設定。
- 易於使用。使用 CNAPP 合併廠商可降低工具堆疊的複雜性,這可以是挫折感和無效率的源頭。
- 深入見解的深度和廣度。端對端解決方案 (尤其是來自超大規模雲端提供者的解決方案) 可協助消除重大差距和盲點。
讓 CNAPP 順暢工作的元件
雖然目前市場上的 CNAP 有一些差異,但是 CNAPP 必須要有一些核心功能,以便為雲端應用程式和基礎結構提供整體保護。選擇整合以下專案的解決方案:
雲端安全性態勢管理 (CSPM)
CSPM 其他資訊CSPM 解決方案的設計目的是讓安全性小組在跨多雲端和混合式環境中連接並優先檢視潛在弱點和錯誤設定。CSPM 會持續評估您的整體安全性態勢,並針對可能導致貴組織暴露於資料缺口的大問題,為安全性小組提供自動化警示和建議。它擁有自動化的合規性管理和修復工具,可找出並消除差距。
多管道 DevOps 安全性
DevOps 安全性管理為開發人員和安全性小組提供一個集中的主控台,以跨所有管道管理 DevOps 安全性。這可強化其能力,將雲端錯誤設定降至最低,並掃描新的程式碼,以避免弱點進入實際執行環境。基礎結構即程式碼掃描工具會從最早開發階段開始,對設定檔進行掃描,以確認新的設定檔案符合您的安全性原則。
雲端服務網路安全性 (CSNS)
CSNS 解決方案可即時保護雲端基礎結構,以補充 CWPP。CSNS 解決方案可以包含各種不同的安全性工具,例如分散式拒絕服務保護、Web 應用程式防火牆、傳輸層安全性檢查,以及負載平衡。
為什麼 CNAPP 很重要?
越來越多的組織正在投資 CNAP,讓他們能夠:
- 取得更好的網路威脅防護。解決快速變化的威脅媒介最好的方式,就是將安全性與雲端整合。這樣做可提供每個組織現今所需之廣泛且深度的安全性與合規性深入解析。
- 裁剪成本的方式不只一種。實施 CNAPP 的立即成本效益是透過使用全面的解決方案來取代多個分散的工具來節省開銷。不過,長期節省的成本可能會更高。使用一組零散的安全性工具可能會導致重大風險被淹沒在縫隙之間而被忽視。簡化安全性小組使用的工具讓其在較少的差距下運作,能防範外泄和隱私權違規的升級成本,以及信譽損失的商務成本。
- 啟用更有效率的安全性作業。不斷演變的威脅環境以及持續擴大的攻擊面,讓安全性專業人員對威脅警示感到不知所措。同時,由於全球安全性人才不足,小組的時間非常寶貴。擁有一組統一的工具以及提高可見度及優先警示,讓安全性小組更容易保護不斷成長的混合式和多雲端資產。
- 將安全性左移。使用雲端應用程式進行創新最靈活且符合成本效益的方式,就是確保它們一開始就安全且持續保持安全。為安全性和開發小組提供他們所需的共同作業平台,將安全性內嵌至應用程式程式碼當中。程式碼和基礎結構中的弱點越早被識別,解決這些弱點所花的時間、金錢和精力就會越少。
- 使用自動化來管理權利並偵測風險。CNAPP 可協助安全性系統管理員使用自動化原則強制執行,來防止因過度權限存取基礎結構而受到揭露。CNAPP 也會自動化風險偵測和合規性,讓貴組織擴充其雲端基礎結構,同時維持強大的安全性態勢。
CNAPP 實作檢查清單
如果您考慮部署 CNAPP,請建立策略來選擇廠商,並整合 CNAPP 與貴組織的系統。將這些基礎納入您的計畫:
- 選擇成熟的解決方案。 選擇致力於維護多雲端安全性領先地位的供應商。您的 CNAPP 將需要隨著網路威脅而進化。擁有可透過實作流程支援您的廠商也非常重要。
- 優先考慮全面性。 從長遠來看,現在找到最全面的解決方案可協助您在轉換至 CNAPP 時獲得最大價值。
- 解決令人疲憊的警示。擁有一個具有最佳化的威脅和警示優先順序 (例如,來自也是雲端提供者的廠商) 的全方位解決方案,可減輕您安全性小組的負擔。
- 涵蓋您所有的環境和成品類型。請確定您選取的 CNAPP 可以整合您使用之內部部署、私人雲端和公用雲端資源的安全性功能,以及您需要保護的所有不同類型的成品,否則,它不會按照 CNAPP 的預期方式降低複雜性。
- 移至開發、安全性和作業 (DevSecOps) 文化。將您的應用程式開發生命週期從 DevOps 模型移至 DevSecOps 模型,其中加強安全性是流程連續的一部分,而不是事後的想法。規劃在部署 CNAPP 後,可能會進行之職責和工作流程的任何必要移動。
- 變更管理中的因素。匯總解決方案需要一些時間部署,而安全性小組和開發人員都需要熟悉 CNAPP 的功能。請提前規劃,這樣您才能將作業中斷的情況降至最低。
CNAPP 解決方案
CNAPP 仍在演進。當您在單一平台上搜尋結合雲端原生應用程式保護工具的產品時,您可能會發現有一些完整選項,以及許多其他結合特定安全性元件的產品。
適用於雲端的 Microsoft Defender 是幾個全方位的 CNAPP 之一。它提供跨 Amazon Web Services、Google Cloud Platform 和 Azure 雲端服務之完整堆疊工作負載的端對端雲端安全性。Microsoft 是唯一同時是 CNAPP 和公用雲端提供者的廠商。適用於雲端的 Defender 會從 Microsoft Azure 中繪製豐富的深入解析,並使用領先業界的 Microsoft AI 每天分析 65 兆的全球訊號,以識別新興威脅。
深入了解 Microsoft 安全性
常見問題集
-
CNAPP 在單一平台上統一安全性與合規性功能,以進一步預防、偵測及回應雲端安全性威脅。使用單一使用者介面,讓組織在多個雲端環境和工作負載中全面瞭解威脅。它也可讓開發人員和安全小組在開發生命週期初期將安全性內嵌在應用程式中。
-
雲端原生應用程式是專為利用雲端運算架構所組建的程式。其設計與傳遞方式與傳統單一應用程式不同,而且開發速度較快。雲端原生應用程式比傳統提供的應用程式更具可縮放性與可攜性。
-
CNAPP (例如適用於雲端的 Microsoft Defender) 是保護雲端原生應用程式的最佳方式。它可協助開發人員和安全小組增強整個開發生命週期的安全性。它也提供跨多雲端環境的集中式威脅可見度、合規性和權限管理。
-
以下是兩個 CNAPP 的使用案例。
採用新式 DevSecOps 應用程式開發方法,但已使用多個孤立工具來保護應用程式從程式碼到雲端的組織,可能會部署 CNAPP。CNAPP 會大幅簡化並加速 DevSecOps。
具有廣泛分散在私人和公用雲端之應用程式和工作負載的組織,以及對於排定警示優先順序很頭疼的安全小組,都會發現實作 CNAPP 的優點。CNAPP 會集中處理安全性小組的單一主控台中的威脅可見度,並自動化合規性和權限管理功能,讓整個雲端的佔用空間更容易保護。
-
關注 Microsoft