Sicherheit von Cloud-Native-Infrastrukturen: Was bedeutet eigentlich CNAPP?

Illustration: Absmeier, Bessi

An Abkürzungen mangelt es in der IT-Industrie im Allgemeinen nicht. Ständig werden neue Technologien entwickelt, die dann einen passenden Namen brauchen. Nur selten gelingt das Branding einer neuen Technologie so passend, wie etwa bei der »Cloud«. Und selbst wenn man weiß, was sich hinter den Buchstaben der immer länger werdenden Akronyme verbirgt, weiß man noch lange nicht, welches Problem mit der Technologie eigentlich gelöst wird. In der IT-Security mussten wir uns in letzter Zeit beispielsweise an CSPM (Cloud Security Posture Management) und CWPPs (Cloud Workload Protection Platforms) gewöhnen, die die Sicherheit von Cloud-Workloads verbessern sollen. Doch wie es mit Technologien dieser Art in der schnelllebigen Cloud-Ära oft ist, stehen die neuesten Technologien bereits in den Startlöchern, um die alten abzulösen. Im Bereich IT-Security und Absicherung von Cloud-Workloads ist dies nicht anders – die aktuelle Technologie heißt hier CNAPP. CNAPP steht für Cloud Native Application Protection Platform. Dies ist unkompliziert und beschreibt im Prinzip auch schon direkt, was die Lösung bieten soll. Was einfach klingt, ist »unter der Haube« allerdings deutlich komplexer – und es macht deswegen Sinn, sich einmal genau anzusehen, was es mit der Technologie auf sich hat.

 

Anzeige

 

Warum ist CNAPP überhaupt notwendig?

Viele Organisationen bauen heute auf moderne Cloud-Native-Implementierungen. Dies zwingt Unternehmen jedoch dazu, DevSecOps, intelligente Automatisierung, CSPM und CWPPs zu kombinieren, um die Security ihrer Cloud-Native-Umgebungen effizient und schnell zu machen. In der Praxis ist dies jedoch alles andere als einfach. Anstatt die Entwicklung und die Laufzeit als getrennte Probleme zu behandeln – die mit einer Sammlung von separaten Tools gesichert und überprüft werden –, sollten Unternehmen Sicherheit und Compliance als ein Kontinuum über Entwicklung und Betrieb hinweg betrachten und versuchen, Tools zu konsolidieren, wo immer dies möglich ist.

 

Quelle: Aqua Security

Abbildung 1: Eine CNAPP ist eine integrierte Plattform anstatt verschiedener Einzellösungen, die nur bestimmte Sicherheitsprobleme lösen und manuell zusammengefügt werden müssen.

 

Die Vorteile von CNAPP

Das Ziel von CNAPP ist es, eine vollständige End-to-End-Sicherheit für Cloud-Native-Umgebungen zu bieten. Anstatt verschiedene Einzellösungen zu verwenden, die nur bestimmte Sicherheitsprobleme lösen und manuell zusammengefügt werden müssen, können Unternehmen einen integrierten Plattformansatz verwenden. Daraus ergeben sich mehrere wichtige Vorteile: Durch die gemeinsame Nutzung des Kontexts zwischen Entwicklung und Produktion ist CNAPP in der Lage, einen vollständigen Überblick über das Anwendungsrisiko zu gewinnen, um Anwendungen über ihren gesamten Lebenszyklus hinweg konsistent zu sichern. CNAPP ist eine einheitliche Plattform, die die Fähigkeiten mehrerer bestehender Cloud-Sicherheitskategorien kombiniert, vor allem »Shift Left«-Artefakt-Scanning, Cloud Security Posture Management (CSPM) und Kubernetes Security Posture Management (KSPM), IaC-Scanning, Cloud Infrastructure Entitlements Management (CIEM) und Runtime Cloud Workload Protection Platform (CWPP).

 

Die Merkmale einer CNAPP-Lösung

 

»CN« steht für Cloud Native

Es mag offensichtlich klingen, aber Lösungen, die nicht für Cloud Native entwickelt wurden, können nicht als CNAPPs betrachtet werden. Die Realität ist, dass man sich in einer Cloud-Native-Umgebung nicht auf irgendeine alte EDR-, Host-basierte oder Firewall-Lösung verlassen kann. Aufgrund des verteilten Charakters nativer Cloud-Anwendungen werden ephemere Workloads dynamisch orchestriert, wodurch herkömmliche netzwerkbasierte Sicherheitstools schlichtweg irrelevant werden. Cloud-Native zu sein bedeutet, dass die Lösung verschiedene Arten von Cloud-Native-Workloads – wie Container, serverlose Funktionen und VMs – kennt und analysieren, verfolgen, überwachen und kontrollieren kann. Außerdem muss sie mit dem gesamten Stack der Cloud-Native-Infrastruktur zusammenarbeiten und eine Schnittstelle zu dieser bilden – Kubernetes, Infrastructure-as-Code-Tools (IaC), mehrere öffentliche Cloud-Anbieter und mehr. Per Definition muss eine CNAPP selbst Cloud-Native sein.

 

»A« steht für Application

CNAPPs schützen Anwendungen. Zu diesem Zweck müssen CNAPPs den Anwendungskontext identifizieren und verstehen. Das bedeutet, dass das Artefakt während des gesamten Lebenszyklus der Anwendung verfolgt und Sicherheitskontrollen angewendet werden müssen, die das kontextbezogene Risiko berücksichtigen. In der Praxis reicht es nicht aus, nur festzustellen, dass »Container 4c01db0b339c ps ausgeführt hat«. Man muss wissen, zu welcher Anwendung dieser Container gehört, aus welchem Image er stammt, ob die Ausführung von ps für diesen Container in der spezifischen Anwendung normal ist oder nicht und ob die Ausführung von ps in diesem Kontext legitim oder ein IoC (Indicator of Compromise) ist. Um diese Dinge zu wissen, muss eine Lösung in die CI/CD-Pipeline eingebettet sein und mit einer breiten Palette moderner DevOps-Tools integriert werden. Das Scannen von Artefakten in der Build-Phase und die Aufrechterhaltung ihrer Integrität vom Build bis zum Deployment sind entscheidend für den Anwendungskontext, was wiederum hilft, granulare Entscheidungen über ihre Bereitstellung zu treffen (z. B. zu verhindern, dass ungeprüfte Images in der Produktion laufen).

 

Das eine »P« steht für Protection

Es gibt einen Grund, warum hier »Protection« verwendet wird. CNAPPs sind nicht einfach Lösungen zur Sichtbarkeit, Überwachung oder Beobachtbarkeit. Einfach ausgedrückt bedeutet Protection, dass eine CNAPP in der Lage sein sollte, Angriffe zu stoppen, sobald sie geschehen. Selbst der solideste »Shift Left«-Schutz und die Härtung der Umgebung schützen nicht vor Zero-Day-Exploits oder Laufzeitangriffen mit ausgefeilten Umgehungstechniken. Prävention allein reicht nicht aus, und eine CNAPP sollte in der Lage sein, laufende Angriffe in Echtzeit zu erkennen und darauf zu reagieren. Die hohe Geschwindigkeit von DevOps und Code, der die CI/CD-Pipeline durchläuft, ist der Grund, warum herkömmliche, ältere Sicherheitstools nicht in der Lage sind, mit Cloud-Native-Anwendungen umzugehen. Leider bewegen sich Cloud-Native-Angriffe mit der gleichen Geschwindigkeit wie die Cloud-Native-Anwendungen selbst. Es reicht nicht aus, heute zu wissen, dass man gestern angegriffen wurde. Die Laufzeitkomponente ist der Bereich, in dem die meisten CNAPPs heute versagen und in dem sich die besten Lösungen durch granulare Laufzeitkontrollen auszeichnen, wie z. B. Drift Prevention.

 

Und das andere »P« steht für Plattform

Ja, es gibt zwei P in CNAPP. Aufgrund des Umfangs der von einer CNAPP geforderten Funktionen – sowohl über den gesamten Anwendungslebenszyklus hinweg als auch bei der Unterstützung verschiedener Arten von Workloads, Stacks und Cloud-Umgebungen – muss es sich um eine Plattform mit mehreren Integrationen handeln, die in mehrere Teams und Prozesse innerhalb des Unternehmens eingebunden ist. Eine Plattform muss ein einheitliches, konsistentes Erlebnis bieten. Viele bestehende Lösungen auf dem Markt sind entweder unvollständig und decken nur ein Teil des Puzzles ab (nur Laufzeit, nur Scannen, nur Infrastruktur) oder bestehen aus mehreren erworbenen Produkten, die nicht integriert sind und keine wirklich nahtlose Erfahrung bieten können. Darüber hinaus muss eine Plattform als SaaS oder »on-prem« verfügbar sein, um den Anforderungen stark regulierter Branchen wie des Finanz- und Gesundheitswesens gerecht zu werden.

 

Fazit: CNAPP – integrierte Plattform anstatt Einzellösungen

Eine Cloud Native Application Protection Platform (CNAPP) ist eine neue Kategorie von Sicherheitslösungen, die im Idealfall vollständige End-to-End-Sicherheit für Cloud-Native-Umgebungen bieten kann. Eine solche Plattform unterstützt bei Identifizierung, Bewertung, Priorisierung und Anpassung von Risiken in Cloud-Native-Applications, Infrastruktur und Konfigurationen. Organisationen können so eine integrierte Plattform anstatt verschiedener Einzellösungen verwenden, die nur bestimmte Sicherheitsprobleme lösen und manuell zusammengefügt werden müssen. Es gibt bereits zahlreiche Angebote mit einem breiten Leistungsspektrum auf dem Markt. Unternehmen sind gut beraten, die Lösungen verschiedener Anbieter darauf zu prüfen, ob sie alle Attribute einer echten CNAPP beinhalten, um ihre Cloud-Native-Umgebungen so gut wie möglich abzusichern.

Arne Jacobsen, Aqua Security

Arne Jacobsen ist Regional Director EMEA bei Aqua Security. Der Diplom-Kaufmann verfügt über 20 Jahre Erfahrung in der IT- und Sicherheitsbranche und hatte im Verlauf seiner Karriere verschiedene Positionen im führenden Management bei von Security-Anbietern sprechen inne. Sein Schwerpunkt ist Cybersecurity und Vulnerability Management. Bevor er zu Aqua kam, war Jacobsen Sales Director EMEA bei IBM Resilient.

 

 

Quelle: Aqua Security

Abbildung 2: Der Risk Explorer in Aqua Securitys CNAPP stellt die Risikofaktoren einer Cloud-Native-Umgebung auf einen Blick dar.