Eine cloudnative Plattform für Anwendungsschutz (CNAPP) ist eine Komplettlösung in Form einer cloudnativen Softwareplattform, die es Unternehmen erleichtert, potenzielle Cloud-Sicherheitsbedrohungen sowie Schwachstellen zur überwachen, zu erkennen und zu beheben. Immer mehr Unternehmen nutzen DevSecOps und suchen daher nach einer Möglichkeit, cloudnative Anwendungen sowie geschäftskritische Workloads zu schützen und ihre Abläufe zu optimieren. CNAPP bündelt mehrere Tools und Funktionen zu einer einzigen Softwarelösung, die die Komplexität der DevOps- und DevSecOps-Abläufe minimiert und vereinfacht. Zudem bietet die Lösung umfassenden Cloud- und Anwendungsschutz während des gesamten CI/CD-Anwendungszyklus – von der Entwicklung bis zur Produktion.

See Crowdstrike Falcon In Action

In dieser ESG-Studie erhalten Sie Einblick in die Trends beim Schutz cloudnativer Anwendungen und in die damit verbundenen Herausforderungen.

Jetzt herunterladen

Welche Probleme löst CNAPP?

CNAPP deckt den in der Branche herrschenden Bedarf an modernen Lösungen zur Überwachung und Sicherheitsverwaltung sowie zum Schutz vor Kompromittierungen, stellt aber auch Kontrolltools für die Cloud-Umgebung bereit.

Verbesserte Transparenz und Bewertung von Risiken

CNAPP bündelt mehrere Cloud-Sicherheitsfunktionen zu einer einzigen Lösung und kann dadurch einen besseren Gesamtüberblick über die Risiken der Cloud-Infrastruktur bieten. Außerdem erhalten Sicherheitsteams die Möglichkeit, die Risiken in der Cloud-Umgebung zu bewerten und darauf zu reagieren.

Die kombinierte Cloud-Sicherheitslösung

CNAPP dient als umfassende Sicherheitslösung für die Cloud-Infrastruktur und macht den Informationsaustausch zwischen Plattformen und Softwarelösungen überflüssig. Die Lösung konsolidiert alle Berichte, Scans und Bedrohungserkennungen zur Cloud-Umgebung in einer einzigen Softwarelösung. Dies reduziert das Risiko menschlicher Fehler bei der Verwaltung mehrerer Tools und Anwendungen und beschleunigt bei einer erkannten Bedrohung die Benachrichtigung des Teams.

Sichere Software-Entwicklung

CNAPP ermöglicht Scans und die schnelle Reaktion auf Konfigurationsfehler. Immer mehr Software-Entwicklungsteams implementieren das CI/CD-Modell (Continuous Integration/Continuous Delivery). Eine CNAPP-Lösung lässt sich problemlos in die CI/CD-Aktivitäten integrieren, damit Änderungen wie die IaC-Konfiguration (Infrastructure-as-Code) überprüft und unsichere Cloud-Bereitstellungen blockiert werden können.

Funktionen und Möglichkeiten einer CNAPP-Lösung

Eine CNAPP-Lösung bringt in der Regel viele Tools mit, die das Scannen und den Schutz der Cloud-Infrastruktur und -Services erleichtern. Um die Cloud-Sicherheit während der Software-Entwicklung zu verbessern, kann die Lösung zudem in DevOps- sowie DevSecOps-Pipelines und -Abläufe integriert werden.

Alle CNAPP-Lösungen bieten Tools für Cloud-Anwendungsschutz, allerdings sind die Funktionen in der Regel anbieterspezifisch. Nachfolgend werfen wir einen Blick auf die gängigsten CNAPP-Funktionen.

Sicherheitsverwaltung für Cloud-Umgebungen (CSPM)

Eine Sicherheitsverwaltung für Cloud-Umgebungen (Cloud Security Posture Management, CSPM) ist eine Software-Lösung, die Konfigurationsfehler erkennen, verhindern und beheben soll, die zur Kompromittierung von Cloud-Ressourcen sowie potenziellen Sicherheitszwischenfällen führen können. Zudem gewährleisten CSPM-Lösungen, dass gesetzliche und betriebliche Vorschriften zu Cloud-Ressourcen und dazugehörigen Aktivitäten eingehalten werden. Wenn eine Ressource gegen eine Vorschrift verstößt, erhält das Sicherheitsteam eine Warnung und kann darauf reagieren. CSPMs bieten nicht nur Transparenz und Warnungen, sondern auch geführte und automatisierte Behebungsmaßnahmen, die dabei helfen, Sicherheitslücken zu schließen, höchste Standards einzuhalten und die allgemeine Sicherheit zu verbessern. Dabei können CSPM-Lösungen nicht nur für die Analyse und Überwachung von Sicherheitsrisiken genutzt werden, sondern auch zur Reaktion auf Zwischenfälle. Zudem lassen sich damit neue IaC-Definitionen in der DevOps CI/CD-Pipeline scannen, um sicherzustellen, dass diese nicht gegen Richtlinien zur Cloud-Identitäts- und Zugriffsverwaltung verstoßen.

IaC-Scans (Infrastructure-as-Code)

Mit IaC-Tools (Infrastructure-as-Code) können Sie die Struktur der Cloud-Infrastruktur und -Services mittels Konfigurationsdateien oder Programmiercode festlegen. Die beliebtesten IaC-Tools für Konfigurationsdateien sind Terraform, Serverless Framework und AWS CloudFormation. Für Code wird sehr häufig das Cloud Development Kit for Terraform (CDKTF) genutzt.

Die automatisierten IaC-Scans sind dazu gedacht, Risiken durch Cloud-Konfigurationsfehler zu minimieren. Ähnlich wie beim Code-Review überprüfen sie die Code-Qualität in den Konfigurationsdateien der Cloud-Infrastruktur, die vom Scantool während der CI/CD-Pipeline-Phase selbst erstellt wurden. Zudem können IaC-Scans manuell durchgeführt werden. Dies ist sinnvoll, wenn Sie beispielsweise die Sicherheit von neuem Code bei der Entwicklung von IaC-Code verifizieren möchten.

IaC-Scantools prüfen die Konfigurationsdateien (z. B. HCL-Dateien für Terraform) auf Schwachstellen und Konfigurationsfehler. Auf diese Weise lassen sich Problemstellen wie Netzwerkschwachstellen sowie Verstöße gegen Vorschriften und das Least-Privilege-Prinzip bei Ressourcenzugriffsrichtlinien erkennen.

Plattformen für Cloud-Workload-Schutz (CWPPs)

Plattformen für Cloud-Workload-Schutz (Cloud Workload Protection Platform, CWPP) schützen die Cloud-Infrastruktur-Workloads vor Sicherheitsbedrohungen. Sie decken dabei eine breite Palette an Workloads von Cloud-Services ab, zum Beispiel VMs, Datenbanken (SQL und NoSQL) oder APIs sowie Container und Kubernetes. Eine CWPP-Lösung erkennt Fehler und empfiehlt Behebungsmaßnahmen, damit Cybersicherheitsbedrohungen verhindert werden und während der Produktion keine Störungen auftreten.

Netzwerkschutz für Cloud-Services (CSNS)

CSNS-Lösungen (Cloud Service Network Security, Netzwerkschutz für Cloud-Services) bieten vor allem Echtzeitschutz für die Cloud-Infrastruktur. Ermöglicht wird dies durch Methoden wie Web-Anwendungsfirewalls (WAF), Web-Anwendungs- und API-Schutz (WAAP), DDoS-Schutz und Lastenausgleich sowie TLS-Prüfung.

Kubernetes-Sicherheitsverwaltung für Cloud-Umgebungen (KSPM)

Um Softwarebereitstellungen zu automatisieren und Container zu verwalten, wird in der modernen Cloud-Infrastruktur häufig Kubernetes zur Container-Orchestrierung verwendet. KSPM-Tools (Kubernetes Security Posture Management, Kubernetes-Sicherheitsverwaltung für Cloud-Umgebungen) erleichtern DevOps-Entwicklern die Verwaltung von Kubernetes-Aktivitäten. Sie bieten folgende Funktionen:

• Scans der Kubernetes-Umgebung und -Konfigurationen zur Erkennung und Meldung von Konfigurationsfehlern und Schwachstellen
• Überwachung von Umgebung, Workloads, Konfiguration, Cluster und mehr zur Minimierung von Benutzerfehlern
• Cluster-Penetrationstests
• Benchmark-Analysen

Berechtigungsverwaltung für die Cloud-Infrastruktur (CIEM)

Die Berechtigungsverwaltung für die Cloud-Infrastruktur (Cloud Infrastructure Entitlement Management, CIEM) unterstützt die Verwaltung von Berechtigungen und Rechten für Cloud- und Multi-Cloud-Umgebungen. In der Regel setzen solche Lösungen das Least-Privilege-Prinzip durch, durchsuchen die Konfiguration der Cloud-Infrastruktur nach unnötigem Zugriff auf Ressourcen und melden dies dem Sicherheitsteam. Zudem können damit andere Konfigurationsfehler erkannt werden, zum Beispiel Benutzer oder Rollen, die Zugriff auf alle Aktionen für eine Ressource haben, obwohl nur Lesezugriff nötig ist.

Integration in Software-Entwicklungsaktivitäten

Cloudnative Plattformen für Anwendungsschutz sollten nicht nur für Abläufe in der Produktionsphase, sondern auch während der Software-Entwicklung genutzt werden, denn sie erhöhen die Funktionsfähigkeit in der CI/CD-Pipeline-Phase und ermöglichen gründlichere Tests. Wie im Abschnitt über IaC-Scans bereits erwähnt, können CNAPPs Problemstellen in der Cloud-Infrastruktur erkennen und verhindern sowie eine andere Art der statischen Analyse (z. B. die von KSPM- oder CSPM-Lösungen durchgeführten Scans) vornehmen.

Vorteile von CNAPP

CNAPPs verbessern mit ihrem cloudnativen Anwendungsschutz die Sicherheit von Unternehmen in mehrfacher Hinsicht. Einige Vorteile:

• Verhinderung von Cybersicherheitsbedrohungen durch weniger Konfigurationsfehler
• Automatisierung sicherheitsbezogener Aufgaben führt zu weniger menschlichen Fehlern und besserer Zuverlässigkeit
• Beispielloser kombinierter Überblick über Risiken und präzise Informationen ermöglichen schnelle Reaktion auf Bedrohungen und verbesserte Entscheidungsfindung
• Geringere Komplexität und weniger Aufwand, da nur noch ein Tool verwaltet und gewartet werden muss
• Höhere Produktivität der Entwickler- und DevOps-Teams durch Erkennung von Konfigurationsfehlern und potenziellen Bedrohungen in den CI/CD-Pipeline-Phasen, sodass weniger Bugfixes und Merge/Pull-Anforderungen nötig werden

Quick Start Guide to Securing Cloud-Native Apps

Wenn Sie Ihre cloudnativen Anwendungen schützen möchten, finden Sie hier unsere Schnellstartanleitung.

Jetzt herunterladen

Zusammenfassung

CNAPP ist ein umfangreiches Tool für DevOps- und DevSecOps-Teams, das den gesamten Anwendungszyklus durch Bündelung und Automatisierung optimiert und dabei Workloads, Container sowie die Sicherheitsverwaltung und Compliance abdeckt. Die Lösung bietet einen vollständigen Überblick und verbessert die Sicherheit für Private-, Public-, Hybrid- und Multi-Cloud-Umgebungen. Zudem können Sie mit CNAPP Aufgaben automatisieren und Ihre Konfiguration und Infrastruktur überprüfen lassen. Dies verhindert Bedrohungen, verbessert die Produktivität und führt zu kürzeren Reaktionszeiten nach der Aufdeckung von Schwachstellen.