2024云原生应用保护平台CNAPP建设指南

（2024年12月） 主编单位 青藤云安全中国信通院云大所浙江大学 编写说明 2024 年是网络强国战略提出 10 周年，也是完成“十四五”规划目标任务的关键年。在此背景下，光明网网络安全频道携手中国信息通信研究院云计算与大数据研究所、《信息安全研究》，在浙江大学网络空间安全学院、《中国金融电脑》、青藤云安全等单位支持下，联合推出《安全洞察 · 大咖说》云原生安全专题访谈活动，邀请来自政府、金融、通信、交通、能源、制造、互联网等行业相关负责人，分享数字化转型持续深化路径、新技术应用安全风险防范策略等内容；同时，聚 焦 前 沿 趋 势 及 行 业 实 践 调 研，撰 写 发 布《云 原 生 应 用 保 护 平 台（CNAPP）建设指南（2024）》，旨在积极发挥行业示范引领作用，降低重复试错成本，为各行业用户提升安全防护策略提供借鉴参考。 参编单位： 青藤云安全中国信通院云大所浙江大学天翼云科技有限公司北京车和家信息技术有限公司光明网网络安全频道《信息安全研究》杂志社 参编人员（排名不分先后）： 胡俊、李漫、尹贺杰、杨冬富、杜岚、仇保琪、申文博、李爱民、宋志明、张乐、凌杰、赵东、李超、崔岩、李政葳、刘昊、潘静 前言 随着云计算技术的飞速发展，云原生应用已成为推动企业数字化转型的核心力量。然而，随着企业架构向云原生的迁移，传统的安全防护措施面临着前所未有的挑战。云原生环境的动态性、分布式特征以及对微服务架构的依赖，使得安全威胁更加隐蔽和复杂。为了应对这些挑战，云原生应用保护平台（CNAPP）应运而生，它提供了一种全新的安全解决方案，旨在为云原生应用的整个生命周期提供全面的保护。 本报告全面介绍了CNAPP的概念定义、价值和技术架构，结合国内外市场的发展现状与技术进展，分析了企业在CNAPP实施过程中面临的挑战和机遇。指南深入解析了开发安全、基础设施安全和运行时安全等核心技术，提供了企业CNAPP建设的框架内涵、原则和方法。此外，结合运营商、政务、金融、制造业等行业的实践案例，该指南为各类企业提供了CNAPP建设的最佳路径和经验借鉴，并展望了未来发展趋势。该指南为企业构建云原生安全体系提供了宝贵的参考，帮助其应对云环境下的复杂安全挑战。 通过本报告的深入分析和实践指导，企业能够构建起一个强大的云原生安全体系，有效应对云环境下的复杂安全挑战，确保业务的连续性和数据的安全性。希望本报告能为企业的云原生安全建设提供宝贵的参考和指导。 目录 概述01 （一）概念定义（二）价值阐述0101 发展现状03 （一）国内外市场发展现状（二）技术发展现状（三）现有的挑战和机遇030405 核心技术和能力解析07 （一）开发安全（二）云原生基础设施安全（三）运行时安全071221 企业CNAPP建设路径27 （一）框架内涵（二）建设原则（三）建设方法272829 行业实践35 （一）运营商（二）保险业（三）制造业（四）互联网35384246 CNAPP未来发展趋势和展望49 概述 （一）概念定义 随着云原生技术在越来越多的企业中获得应用，企业的业务灵活性和效率显著提升，然而，与传统本地的数字化架构相比，云原生技术面临着更多复杂的安全威胁。云环境的动态性、多租户特性以及容器和微服务等新兴架构增加了潜在的攻击面，传统的安全策略和工具无法充分应对这些新威胁。因此，企业必须采取更加全面和集成的安全解决方案，以保障云原生架构的安全性。在这一背景下，云原生应用保护平台（CNAPP）应运而生。 云原生应用保护平台（CNAPP）的全称是 Cloud-Native Application Protection Platform，这一概念最早由 Gartner 公司在 2021 年提出。Gartner 在其报告中引入了 CNAPP 的概念，旨在通过集成一系列云原生安全能力来提供从开发到运行的全生命周期的安全保护，包括云安全配置管理、云工作负载保护、容器安全等功能。CNAPP 的目标是通过统一的视角和自动化手段来应对现代云原生应用的复杂性和安全挑战。Gartner 对云原生应用保护平台（CNAPP）的定义是：CNAPP 是一组集成的安全与合规能力，旨在保护云原生应用的整个生命周期，从开发到部署及运行时安全。它通过整合云安全配置管理（CSPM）、云工作负载保护平台（CWPP）、身份和访问管理（IAM）、DevSecOps 集成以及运行时安全等功能，提供对云环境的统一可视化和控制。CNAPP 帮助企业摆脱使用多个分散安全工具的复杂性，以更全面的方式应对云原生架构中的独特安全挑战。 （二）价值阐述 云原生应用保护平台（CNAPP）为企业提供了从开发到运营的全面安全解决方案，简化了安全管理，提升了合规性，降低了安全风险和运维成本，成为企业应对云原生架构安全挑战的核心工具。 首先在安全性方面，云原生应用保护平台（CNAPP）为企业提供全生命周期的安全防护，特别是针对云原生架构中的现代化安全威胁。它在开发阶段落实安全左移的理念，确保在应用设计和开发之初就引入必要的安全措施，同时覆盖应用在生产环境中的持续监控与防护，减少安全盲区。同时，CNAPP 支持企业将安全集成到开发流程中，推动 DevSecOps 的实践。通过在开发阶段引入自动化的安全扫描和风险检测工具，CNAPP 能帮助开发人员及早发现和修复安全问题，实现安全左移，减少后期修复漏洞的成本和风险。此外，CNAPP 针对云原生架构的独特挑战，如容器逃逸、镜像漏洞和跨租户攻击，提供定制化的防护措施， 通过集成多层次的安全功能（如身份和访问管理、微服务通信加密、容器镜像扫描等），应对现代化的安全威胁，确保应用的安全性和合规性。 其次在管理效率方面，CNAPP 整合了云安全配置管理（CSPM）、云工作负载保护（CWPP）、容器和Kubernetes 安全等功能，通过统一的平台提供全局的安全可视化视图，便于企业实时监控和响应安全威胁，提升了安全运营的效率。传统的安全工具通常需要大量手动操作和管理，增加了企业的运维负担。CNAPP 的自动化和整合性大幅减少了复杂的运维流程，简化了安全策略的实施与调整。此外，CNAPP 提供了集中化的管理平台，减少了多工具协作中的信息孤岛现象，从而提升整体安全运营效率并降低运维成本。 最后在合规方面，CNAPP 利用自动化技术帮助企业持续监测其云环境的安全配置，确保符合行业标准和法律法规的合规性要求。通过自动识别错误配置和潜在风险，CNAPP 可以减少人工干预，降低错误发生的可能性，确保云环境始终保持在合规状态下运行。 发展现状 （一）国内外市场发展现状 云原生安全关注度提升，CNAPP 建设价值逐步凸显。目前越来越多公司对云原生应用程序所暴露的风险尤为重视，通过部署 CNAPP 产品来保护云原生应用程序，并应对不断扩大的攻击面。通过对 CNAPP输出的检测结果运营，可防止运行时环境中的威胁，减轻云基础设施中的错误配置，并在整个开发过程中将安全嵌入。 根据 Frost&Sullivan 最近对 2360 多名首席信息安全官和 C-level 级别的领导者进行的客户研究，大多数的组织（31%）都部署云安全技术来防止漏洞的产生，并检测和应对云上各类威胁（30%）。许多公司还投身于云安全解决方案，以应对未知威胁（24%）和监管合规性（12%）。这表明全球企业都对云安全的认识有了显著提高。 48% 的受访组织目前使用 CWPP，而 41% 的组织计划在未来两年内部署类似产品，只有 10% 的组织表示，他们不打算在未来几年增加解决方案。这些发现与采用其他云安全解决方案相一致，包括 CSPM、SaaS 安全态势管理（SSPM）、CIEM 和 CNAPP。 2023 年，全球 CNAPP 市场收入为 38.784 亿美元，同比增长 31.3%。Frost&Sullivan 预计接下来的五年，这一势头将以 22.8% 的复合年增长率持续下去，由于对整体云原生安全解决方案的需求不断增加，2028 年的收入将达到 108.188 亿美元。 Gartner 对 CNAPP 市场也做出相应预测，具体预测内容如表 1 所示。 Gartner 认为，到 2029 年，60% 未在其云架构中部署统一 CNAPP 解决方案的企业将缺乏对云攻击面的广泛可见性，因此无法实现其预期的零信任目标；超过 80% 的企业将采用集中式平台工程和运营方法来促进 DevOps 自助服务和扩展，而 2023 年这一比例不到 30%；35% 的企业应用程序将在容器中运行，比 2023 年的不到 15% 有所增加。 （二）技术发展现状 CNAPP 旨在通过一体化平台提升云原生应用全生命周期的安全性。CNAPP 旨在提升云原生应用的可观测性和安全性，整合多云环境中的资产信息，并重点保护 IaaS 和 PaaS 公有云环境及其工作负载和应用。现阶段，CNAPP 正处于基础能力扩展阶段，厂商们纷纷从各自专注的领域（如 CSPM、CWPP、DevSecOps）转向 CNAPP 的构建，通过引入更多功能提升产品覆盖范围。CNAPP 的核心功能包括云平台与 Kubernetes的集成、风险分析与优先排序、实时或快照的运行时状态分析以及攻击路径分析。 CNAPP 工作负载运行部署方式遭遇瓶颈。然而，目前在 CNAPP 的工作负载运行时监测中，关于是否采用代理的争论仍然存在。随着 eBPF 技术的兴起，代理对工作负载的可见性得到了显著提升，而 DevOps技术的发展则使得代理的部署更加方便快捷。基于代理的解决方案能够实时检测和缓解威胁，帮助安全团队更快速地响应事件。此外，代理还能获取细粒度的数据，提供对工作负载的深度可见性，使安全运营人员能够获得更深入的洞察。然而，在处理边缘工作负载（如无服务器架构和 PaaS）时，这类方案面临资源覆盖不足和高昂运营成本的挑战。 为了解决用户的痛点，厂商们积极探索无需代理的监测方案，使用户无需安装任何 Agent 即可全面了解云工作负载的状态。这种方案通过云 API 对底层实例的硬盘进行快照，由安全厂商对快照数据进行扫描，既实现了对工作负载的全面监控，又不影响业务的连续性。此外，它还提供了统一的安全态势视图，简化了跨平台的管理。然而，该方法也存在一定的局限性。首先，部分容器的生命周期较短，即使快照扫描速度很快，仍可能无法实时捕捉所有容器的活动。其次，依赖云 API 进行数据收集在深度洞察安全数据方面有所不足。最后，云上工作负载产生的存储数据量庞大，可能带来高额的云存储成本。 CNAPP 注重敏捷开发，重视不可变基础设施。如今，CNAPP 运行在容器中，构建于离散的代码功能之上，这些功能以松散耦合的微服务形式操作，通常通过 API 相互通信。在支持频繁更新的 DevOps 风格持续集成（CI）/ 持续交付（CD）管道中开发，使工作负载及其微服务更加短暂。它们还使用自定义代码和开源代码以及来自开源或私有源代码库的库。CNAPP 部署在编程化的云基础设施上，使应用程序与基础设施的依赖关系隔离，并利用云的共享基础设施，根据业务需求以弹性方式进行扩展和收缩。CNAPP 优先考虑不可变性，生产环境中的变化很少或没有（所有生产环境中的变化都通过开发管道驱动）。 总的来说，CNAPP 在未来还需要不断深化威胁检测、响应速度和数据分析方面的能力，弥补“有代理”与“无代理”方案的不足，实现更高效的安全监测与防护。此外，用户的体验也不容忽视，需要持续优化用户界面和操作流程，提供更加直观和友好的使用体验，降低企业在部署和使用 CNAPP 时的技术门槛。 （三）现有的挑战和机遇 1. CNAPP面临来自组织架构、产品融合、多云环境等诸多挑战 众所周知 CNAPP 所能覆盖的资产范围比较广泛，而如今很多组织都会有多个安全团队共同承担云原生应用程序的安全责任，包括云安全、数据安全、应用安全、应急响应、安全架构等不同领域的团队。每