Inhalt
Cloud Security

Was ist eine cloudnative Plattform für den Anwendungsschutz (CNAPP)?

Inhalt

Cloudnative Plattformen für den Anwendungsschutz (CNAPPs) integrieren und zentralisieren andernfalls separate Sicherheitsfunktionen in einer einzigen Benutzerschnittstelle. CNAPP ist eine Kategorie, die von Gartner eingeführt wurde und Lösungen beschreibt, die wir bei Palo Alto Networks zuvor als cloudnative Sicherheitsplattformen (CNSP) bezeichnet hatten. Sie kombinieren Funktionen für das Management des Cloud-Sicherheitsniveaus (CSPM), das Management von Zugriffsrechten in Cloud-Infrastrukturen (CIEM) und die CI/CD-Sicherheit sowie Funktionen aus Plattformen zum Schutz von Cloud-Workloads (CWPP) in einer einheitlichen End-to-End-Lösung, um cloudnative Anwendungen über den gesamten Lebenszyklus hinweg zu schützen.

Mit diesem Ansatz lassen sich sämtliche voneinander isolierten Umgebungen von zentraler Stelle aus überwachen, damit die Cloud-Infrastruktur- und DevOps-Teams den gesamten IT-Stack schützen können. Eine CNAPP-Lösung ermöglicht den Anwendungsschutz zur Laufzeit über eine zentrale Plattform aus und sorgt dafür, dass Sicherheitsmaßnahmen in die Entwicklungsabläufe eingebunden sind. Dies erleichtert die frühzeitige Identifizierung und Behebung von Problemen.

Von der Codeerstellung bis zur Cloud-Nutzung: Warum Sie eine CNAPP brauchen

Eine Herausforderung für Organisationen ist der bisherige reaktive Ansatz. Anstatt die cloudnative Sicherheit ganzheitlich zu betrachten und proaktiv vorzugehen, wird jedes Problem einzeln behoben und jeweils mit einem neuen Tool oder Verfahren gelöst. So entsteht ein Flickwerk, aus dem sich ganz neue Schwierigkeiten ergeben, zum Beispiel:

  • Punktlösungen erfordern zusätzlichen Aufwand: Die Verwaltung eines immer größer werdenden Tool-Stacks kann zu einer tagesfüllenden Aufgabe werden und da die meisten Lösungen nicht miteinander kommunizieren (jedenfalls nicht ohne zeitaufwendigen Konfigurationsaufwand), fehlt es an flächendeckender Transparenz und umfassendem Schutz.

  • Sicherheitsmaßnahmen lassen sich nicht konsistent anwenden: Zwar können Sie mit Dutzenden von Sicherheitstools Kontrollen an einzelnen Punkten im Anwendungslebenszyklus durchführen, aber ohne konsistente Sicherheitsmaßnahmen, die in den verschiedenen Phasen (Entwicklung, Bereitstellung und Laufzeit) greifen, müssen sich Sicherheits- und Risikomanagementteams bei Schwachstellen- und Fehlkonfigurationsprüfungen mit dem Vergleich unterschiedlich aufbereiteter Ergebnisse abmühen.

  • Es entstehen tote Winkel: Die meisten Cloud-Sicherheitsteams müssen Bedrohungen für Cloud-Services, Workloads, Anwendungen, Netzwerke, Daten und Berechtigungen analysieren. Ohne eine übergreifende Lösung entstehen Lücken zwischen den Lösungen, die zu toten Winkeln führen.

CNAPPs bieten in allen Punkten klare Vorteile.

Verteilte Verantwortungsbereiche? Integration ist die Antwort

Eins der wichtigsten Argumente für die Umstellung auf eine umfassende und integrierte Sicherheitsplattform ist die Tatsache, dass sich mehrere Teams um die Cloud-Sicherheit kümmern und dabei ein komplexes Gefüge aus nuancierten und sich zum Teil zwischen den Verantwortungsbereichen überschneidenden Aufgaben entsteht.

Infrastruktur

Bei einem Modell der gemeinsamen Verantwortung müssen Teams wissen, wo ihr Verantwortungsbereich beginnt und wo er aufhört. Umfragen zeigen immer wieder, dass Organisationen das Ausmaß überschätzen, in dem CSPs Schutzmechanismen und Alarme bieten. Darüber hinaus gibt es Überschneidungen bei den Netzwerk-, Speicher- und Ressourcenanforderungen, die sich im Zusammenhang mit dem Management des Cloud-Sicherheitsniveaus (CSPM) ergeben, wobei in jedem dieser Bereiche jeweils Sicherheitsmaßnahmen für Management von Zugriffsrechten und Berechtigungen in Cloud-Infrastrukturen (CIEM) erforderlich sind.

Workloads und Anwendungen

Auch die Workloads und Anwendungen in einer Infrastruktur erfordern Maßnahmen in puncto Schwachstellenmanagement, Compliance-Überwachung, Richtliniendurchsetzung und Laufzeitschutz und diese Pflichten obliegen meist entweder dem Sicherheits- oder dem DevOps-Team. Dabei ist es wichtig, dass die dafür genutzten Tools mit Daten aus den CI/CD-Pipelines gespeist werden und auch Laufzeitkomponenten wie Webanwendungen und APIs abdecken.

Netzwerke

Für diese Anwendungen ist ein Netzwerk erforderlich, das zuverlässige, sichere Konnektivität bietet, und damit die Datenübertragung im Netzwerk sicher ist, muss der Zugriff von Workloads auf andere Workloads mit dem Least-Privilege-Prinzip geschützt werden. Zudem sind Inline-Funktionen für die Abwehr von Bedrohungen notwendig.

Identitäten und Berechtigungen

In all den zuvor genannten Bereichen müssen Sie mit Berechtigungen und Zugriffsrechten für cloudbasierte Infrastrukturen und Services dafür sorgen, dass bei der Vergabe des notwendigen dezentralen Zugriffs risikospezifische Überlegungen berücksichtigt werden, damit Ihre ganzen Bemühungen nicht durch übermäßig großzügige oder veraltete Zugriffsrechte gefährdet werden.

Codeerstellung und Entwicklung

Entwickler und DevOps-Teams sind für die Ausarbeitung qualitativ hochwertigen Codes erforderlich, was normalerweise synonym mit sicherem Code ist. Allerdings obliegt es den Sicherheitsteams, die dafür erforderlichen Erkenntnissen bereitzustellen. Um Sicherheitsvorkehrungen so früh wie möglich im Entwicklungszyklus zu implementieren, benötigen Sie aufeinander abgestimmte Tools, die in allen Phasen des Anwendungslebenszyklus nutzbar sind.

Jedes einzelne Team ist für die konsistente Durchsetzung dieser Sicherheitsmaßnahmen verantwortlich und mit einer CNAPP lassen sich die Grenzen zwischen diesen Teams überwinden.

Warum eine CNAPP die logische Lösung ist

Die Entwicklung cloudnativer Anwendungen ist inzwischen so weit ausgereift, dass bestimmte Annahmen als Tatsachen hingenommen werden können. Es wurde schon früh erkannt, dass Cloud-Umgebungen von Natur aus verschiedenartig und weit verteilt sind, weshalb sich viele der für die Verwaltung dieser dynamischen, komplexen Umgebungen verantwortlichen Fachkräfte berechtigterweise dafür einsetzen, Konsistenz und Einheitlichkeit zu erzwingen. Die Logik dahinter ist, dass das Risikomanagement weiter erschwert wird, wenn zahlreiche, für die Erfüllung bestimmter Anforderungen genutzte Punktlösungen miteinander koordiniert werden müssen.

Wenn Organisationen cloudnative Anwendungen und Infrastrukturen effektiv schützen möchten, müssen sie agiler und integrationsfähiger werden. Sie müssen in der Lage sein, Bedrohungen schon in der Entwicklungsphase proaktiv vorzubeugen und über den gesamten Lebenszyklus hinweg – bis hin zu Laufzeitumgebungen – für kontinuierliche Sicherheit zu sorgen. Dafür benötigen sie innovative Tools, die speziell für cloudnative Umgebungen konzipiert sind, alle Phasen der Anwendungsentwicklung abdecken und kritische Sicherheitsinformationen zur richtigen Zeit an der richtigen Stelle bieten.

Wir sind davon überzeugt, dass Prisma Cloud die von Gartner beschriebenen Anforderungen einer CNAPP erfüllt. Wenn Sie sämtliche dieser Empfehlungen im Detail prüfen möchten, laden Sie einfach den kostenlosen Bericht hier herunter.

Video: zur Sicherung cloudnativer Umgebungen mit Prisma Cloud

Cloudnative Plattformen für den Anwendungsschutz – FAQ

Sicherheitsvorkehrungen für Microservices dienen dem Schutz der einzelnen, lose gekoppelten Services, aus denen eine Anwendung besteht. Für jeden Microservice werden eigene Authentifizierungs-, Autorisierungs- und Verschlüsselungsmechanismen benötigt, mit denen die Kommunikation zwischen den Services geschützt und unbefugter Zugriff verhindert wird. Mit dem Ziel, die Angriffsfläche in containerisierten Umgebungen zu reduzieren, implementieren Sicherheitsteams Service-Meshes und setzen Richtlinien durch, um den Datenverkehr zu verwalten und Sicherheitsmaßnahmen konsistent auf alle Microservices anzuwenden.
Cloud Security Posture Management (CSPM) bezeichnet die automatisierte Identifizierung und Behebung von Risiken in Cloud-Infrastrukturen. CSPM-Tools prüfen die Umgebung kontinuierlich auf Fehlkonfigurationen, setzen Sicherheitsrichtlinien durch und stellen die Einhaltung von Branchenstandards sicher. Sie bieten Einblicke in Cloud-Ressourcen (einschließlich der Konfigurationen) und ermöglichen den zuständigen Teams, ein starkes Sicherheitsniveau in dynamischen Cloud-Umgebungen aufrechtzuerhalten.
Eine Cloud-Native Application Protection Platform (CNAPP) ist eine integrierte Plattform für den umfassenden Schutz cloudnativer Anwendungen. Durch die Kombination verschiedener Funktionen, darunter CSPM, CWPP und Anwendungssicherheit, schützt eine CNAPP die Cloud-Umgebungen über den gesamten Softwarelebenszyklus hinweg. Mit Funktionen für die Bedrohungserkennung, das Schwachstellenmanagement und die Compliance-Überwachung mindert sie Risiken von der Codeerstellung bis zur Laufzeit.
Als Vermittler zwischen den Benutzern und dem Cloud-Serviceanbieter (CSP) setzt ein Cloud Access Security Broker (CASB) Sicherheitsrichtlinien durch. Er liefert Einblicke in die Nutzung von Cloud-Anwendungen, schützt Daten, unterstützt die Bedrohungsprävention und ermöglicht Compliance in Bezug auf verschiedene Cloud-Dienste. Mit einem CASB können Organisationen ihre Sicherheitsmaßnahmen von der On-Premises-Infrastruktur auf die Cloud ausdehnen.
Eine CWPP (Cloud Workload Protection Platform) dient dem Schutz von VM-basierten Workloads, Containern und serverlosen Funktionen in öffentlichen, privaten und hybriden Cloud-Umgebungen. Mit Funktionen für den Laufzeitschutz, die Überwachung der Systemintegrität, Netzwerkkontrollen und das Schwachstellenmanagement schützen CWPP-Lösungen Workloads vor Bedrohungen und sorgen für Compliance.
Data Security Posture Management (DSPM) umfasst Tools und Verfahren für die Identifizierung und Behebung von Risiken für Daten in Cloud-Umgebungen. Dazu gehören die automatisierte Erkennung von Datenspeichern, die Klassifizierung sensibler Daten sowie die Bewertung und Durchsetzung von Datenschutzrichtlinien. DSPM-Lösungen bieten Einblick in Muster beim Datenzugriff, identifizieren Anomalien und unterstützen die Einhaltung von Compliancevorgaben in Bezug auf den Datenschutz.
AI-SPM steht für „Artificial Intelligence Security Posture Management“, also das KI-gestützte Management des Sicherheitsniveaus. Dabei werden maschinelle Lernalgorithmen eingesetzt, um Sicherheitsrisiken zuverlässiger zu identifizieren und zu beheben. AI-SPM-Tools analysieren extrem umfangreiche Datensätze, um ungewöhnliches Verhalten zu erkennen, verborgene Bedrohungen aufzuspüren und potenzielle Schwachstellen vorherzusagen. Diese Tools lernen mit der Zeit dazu, was zu besseren Sicherheitsmaßnahmen und Abwehrstrategien führt.
Als Anwendungsschutz werden die Sicherheitsmaßnahmen bezeichnet, mit denen Anwendungen in allen Phasen des Lebenszyklus vor Bedrohungen geschützt werden. Dazu gehören das Implementieren von Anwendungsfirewalls, das Verschlüsseln von Daten, regelmäßige Sicherheitsbewertungen und das Beheben von Sicherheitslücken während der Entwicklung. Mit diesen Schutzmechanismen wird die Integrität der Anwendungen sichergestellt und dafür gesorgt, dass die in den Anwendungen verarbeiteten Daten vertraulich bleiben.
Kontinuierliche Überwachung bezieht sich auf die ununterbrochene Prüfung von Sicherheitskontrollen, Sicherheitslücken und Threat Intelligence, um die Integrität und die Sicherheit der IT-Systeme zu gewährleisten. Zu diesem Zweck werden automatisierte Tools genutzt, die Echtzeitalarme für Sicherheitsvorfälle bieten und so eine schnelle Reaktion auf potenzielle Bedrohungen ermöglichen. Die kontinuierliche Überwachung ist unerlässlich, um die Situation stets im Blick zu behalten und das Sicherheitsniveau in dynamischen Cloud-Umgebungen aufrechtzuerhalten.
Threat Intelligence sind die Informationen, die durch das Erfassen und Analysieren von Daten zu neuen oder bekannten Angreifern und Bedrohungen zutage kommen und als Grundlage für fundierte Sicherheitsentscheidungen dienen. Diese Daten stammen aus einer Vielzahl von Quellen und helfen Organisationen, potenzielle Bedrohungen vorherzusehen, zu erkennen und abzuwehren, bevor sie sich auf den Geschäftsbetrieb auswirken.
Laufzeitschutz ist die Absicherung von Anwendungen während der Ausführung. Dabei werden Anwendungen in Echtzeit aktiv auf Bedrohungen überwacht und bei Bedarf werden Angriffe in Echtzeit abgewehrt. Zu den Schutzmaßnahmen gehören Verhaltensanalysen, Schutz des Arbeitsspeichers und die Überwachung von Prozessen, um schädliche Aktivitäten zu erkennen und zu stoppen, damit die Anwendungen nicht während des Betriebs kompromittiert werden.
Als Complianceautomatisierung bezeichnet man die Durchsetzung von regulatorischen und Richtlinienanforderungen mithilfe von Technologie. Automatisierte Tools überprüfen die Systeme in Bezug auf Compliancebenchmarks, protokollieren Verstöße und Abweichungen und können Probleme selbsttätig beheben und so kontinuierliche Compliance sicherstellen. Complianceautomatisierung reduziert sowohl den manuellen Aufwand als auch das Fehlerpotenzial und sorgt so für ein robustes Governance-Framework.
Das Schwachstellenmanagement ist ein proaktiver Ansatz zur Beseitigung von Cybersicherheitsrisiken. Es umfasst die Identifizierung, Kategorisierung, Priorisierung und Behebung von Schwachstellen und Sicherheitslücken in der Software. Mit dem Ziel der kontinuierlichen Verbesserung scannen Tools für das Schwachstellenmanagement Umgebungen, um anfälligen Code zu erkennen, Patches bereitzustellen und andere Maßnahmen zur Abwehr potenzieller Bedrohungen durchzuführen.
Diese Disziplin befasst sich mit dem Schutz serverloser Rechnerarchitekturen, bei denen Entwickler einzelne Funktionen bereitstellen können, ohne die zugrunde liegenden Server verwalten zu müssen. Zu den Sicherheitsmaßnahmen gehören Freigabekontrollen auf Funktionsebene, die ereignisgesteuerte Sicherheitsüberwachung und die Absicherung der Ausführungsumgebung gegen Bedrohungen. Da die Infrastruktur in diesem Fall vom Cloud-Anbieter verwaltet wird, gelten die Sicherheitsvorkehrungen in erster Linie für Schwachstellen im Code und sorgen dafür, dass Daten sicher verarbeitet und übertragen werden.
API-Sicherheit sorgt dafür, dass Schnittstellen, die Anwendungsfunktionalität zugänglich machen, vor Missbrauch und Angriffen geschützt werden. Die Absicherung von APIs basiert auf dem Schutz des Datenaustauschs mithilfe von zuverlässigen Authentifizierungsmechanismen, Zugriffskontrollen, Verschlüsselung und Aktivitätsüberwachung. Um APIs vor Bedrohungen zu schützen, wird unter anderem OAuth für die Autorisierung verwendet. Zudem wird mittels Aufrufbeschränkungen Missbrauch verhindert und es werden API-Gateways zum Filtern des Datenverkehrs und zur Bedrohungserkennung eingesetzt.

Relevante Inhalte

Erhalten Sie die neuesten Nachrichten, Einladungen zu Veranstaltungen und Bedrohungswarnungen