为云赋能:掌握 CNAPP 安全

引言‍‍‍‍‍

您是一名安全专业人员。也许您已经精通身份和访问管理。也许您一直专注于漏洞管理。或者一段时间以来您可能一直在保护本地环境。

不管怎样，您都非常了解您的工作。但是，所有这些关于云原生应用程序保护平台 (CNAPP) 的讨论都让您感到困惑。

那么，为什么现在 CNAPP 变得非常重要?仔细想想，传统的安全观念(即公司是一座堡垒，周围有良好的保护和巡逻)已经过时了。云已经打破了这种模式，而安全措施却没有跟上。诚然，有些解决方案可以解决某一个方面的挑战，但这些问题只是一个更庞大的碎片化问题的一部分，会增加保护云环境安全的复杂性。

为了应对这一小部分的挑战，已经出现了一个由安全工具组成的小作坊。最终的结果会导致技术疲劳。在这个资源有限的时代，您的日常工作全都投入在勒索软件等威胁和试图确保合规性上，您就没有精力再关注这么多的警报和系统了。一段时间过后，这一切都会变成噪音杂。

云安全需要一种新的方法，即全面看待问题的 CNAPP。

在本电子书中，我们将带您了解最新情况并向您介绍 CNAPP 的故事。我们将介绍 CNAPP 的定义，深入探讨为什么 CNAPP 是合适的解决方案，我们将分享它的确切工作原理，并研究 CNAPP 对您有哪些帮助。

充满不确定性的云

尽管盲点一直存在，但云给安全带来了新的不确定性。本地资源数量已知，因为所有设备都归公司所有，并有现场员工密切关注。他们知道自己在处理什么，传统的安全工具就能够胜任这项任务。

许多公司被云有无限可能性的承诺所吸引，从本地环境迁移到云环境，认为他们可以使用类似的工具在云中生存。

他们理所当然地认为，云提供商会更安全。事实上正相反，Tenable 新发布的《云安全展望》报告对 600 名全球安全专业人员进行了调查，其中 95% 的受访者报告，在过去 18 个月内发生过云安全外泄，平均每个受访者报告了 3.6 次外泄。

更令人震惊的是，IBM 在 2022 年报告称，企业平均需要 277 天才能识别和报告数据外泄，327 天才能识别遭到入侵的凭据。计算一下可以发现，几乎每家公司都会发生数据外泄，而且可能需要将近一年的时间才能发现，问题就很明显了。

如果没有对身份进行控制，云安全就不完整

管理云中的身份和权限是一个艰巨的挑战。同时，要确保用户或服务只拥有“最低特权”(也就是说，他们只拥有完成任务所需的访问权限，而没有其他权限)，这可能也是一个令人头疼的管理问题。持续不断地为跨越多个云的数以千计的人员和服务身份执行所有这些操作更是一项艰巨的任务。行业趋势也揭示出了一个惊人的数字:超过 90% 的身份使用的权限不到所授予权限的 5%。

在云中，如果没有对身份进行控制，安全就不完整。可以这样想:随着一切(甚至传统上的物理设备)都变得逻辑化(即，当它们迁移到云上时)，实际上唯一需要的就是分配执行特定操作所需的权限。这催生出了一个新的流行语:“身份是新的边界”，您在未来几年可能会经常听到这句话。

众所周知，边界对于安全有多重要。随着我们迁移到云，身份对于安全同样重要，甚至比边界有过之而无不及。这一点在数字上也有所体现。

在 Tenable 的《云安全展望》报告中，39% 的受访者表示，云基础设施的头号安全风险是不安全的人员/服务身份和有风险的权限。致力于在 AWS、Azure 和 Google Cloud 等环境中保护人员或服务身份的每个人都不会对这个数字感到惊讶。

用于开启访问权限的策略和配置存在复杂的相互作用，这往往会给攻击者渗透系统留下可乘之机。事实上，Verizon 2024 年数据外泄调查报告显示，在过去十年中，31% 的数据外泄涉及失窃凭据遭到利用。2024 年初，IBM 报告称，利用身份的攻击数量增加了 71%。更令人震惊的是，2022 年，身份定义安全联盟的一项调查显示，84% 的受访者在过去一年中曾经历过与身份相关的外泄。

一旦发生外泄，云环境对威胁制造者来说就如入无人之境，任由他们自由移动。阻止云中身份导致的外泄需要一种新方法。一个完整的身份安全产品类别正在蓬勃发展 – 云基础设施和授权管理 (CIEM)。

CIEM 平台可以发现所有身份(包括人员、服务、原生/IAM、联合和第三方身份)及其复杂的权限。此外，CIEM 还可以识别云环境中正在被访问的所有资源和活动，对授权状态提供深入、具有上下文的可见性。

此外，每个用户实体(人员或服务)都有一个独特的身份。用户如果需要访问云中任何内容，就需要分配一个角色，以及相应的权限和授权。这一角色决定了用户的访问权限。当用户和角色的访问特权过大或授权过多时，就会发生风险。

漏洞管理让安全团队更专注

传统的漏洞管理工具跟不上现代攻击面的变化。再加上当今漏洞的巨大数量和多样性，情况变得更加严峻。

安全和 IT 团队面临的工作量远超他们的处理能力，他们根本无法解决通用漏洞评分系统 (CVSS) 归类为“高危”或“严重”的所有漏洞。

作为 CNAPP 的一部分，基于风险的漏洞管理可以为安全团队提供所需的上下文，让他们将精力集中于最重要的漏洞和工作负载，同时降低攻击者不太可能利用的漏洞的优先级。例如，一个没有任何网络风险暴露或权限的有漏洞的工作负载与一个具有公共访问权限和过度权限的有漏洞的工作负载相比，前者重要性要低得多。

在云中进行漏洞管理相比本地环境有一个显著优势:CNAPP 可以在不需要代理的情况下部署云安全解决方案。

风险暴露管理可以提供云内外的可见性

作为 CNAPP 的一部分，风险暴露管理应帮助企业获得跨云的可见性，重点关注防止由漏洞、错误配置和过度权限的有风险组合引起可能的攻击。风险暴露管理能够准确传达网络安全风险，以支持最佳业务绩效，并实现跨所有云资源的广泛漏洞覆盖范围。

什么是CNAPP‍‍‍

CNAPP 解决方案取代了原本一系列孤立的产品，而这些产品往往带来的问题比解决的问题更多，如多个误报和过多警报。这些产品通常只提供部分覆盖，并且经常会与它们本应协同工作的产品产生开销和摩擦。最重要的是，CNAPP 允许企业从整体上监控云原生应用程序的运行状况，而不是单独监控云基础设施和应用程序的安全。

全面的 CNAPP 解决方案包括多种必要功能(有些我们之前提到过)，包括:

CNAPP 对谁有帮助?

几乎所有涉及云安全的人都可以从 CNAPP 中受益。安全、DevOps、 DevSecOps、IAM 和 IT 团队都可以使用 CNAPP 进行协作并持续改进云安全态势。CNAPP 可以帮助这些群体更有效地治理访问权限，又不会对应用程序可用性或上市时间产生不利影响。

企业可以从 CNAPP 中获得哪些益处?

企业可以从 CNAPP 中获得许多益处，包括:

CNAPP如何运作

随着威胁由云、本地环境和运营技术(或这三者的结合)而来，以及提供商和客户之间对共担安全责任的混淆而所引起的错误配置，攻击面呈指数级增大。

因此，CNAPP 平台必须具有广度。CNAPP 不能仅仅是一组独立工作的单点式产品。Lionfish Tech Advisors 的独立分析师 Tom Croll 是 CNAPP 原始研究的合著者，他表示:“云原生应用程序的安全需要一种集成式方法。”

CNAPP 提供了全面的云风险视图，并为安全、DevSecOps、 DevOps 和工程团队提供了全面保护和改进云原生应用程序安全态势所需的可见性、可操作的结果和上下文警报。CNAPP 包括六种必需的功能：IaC 扫描、容器扫描、 CWPP、CIEM、CSPM 和 CDR。

这些功能需要全部整合到一个平台中，而不是单独或由不同的供应商提供。

CNAPP 功能可以从单一接入点持续、无缝地运行。 CNAPP 了解所有人员和服务身份的关系和连接。CNAPP 可以查找漏洞，监督配置，并且可以处理按需生成策略。

更重要的是，CNAPP 可以在多云环境中轻松运行。这些能力使 CNAPP 能够实现其大规模发现和修复风险的承诺。