云原生应用程序保护平台终极购买指南
引言
软件开发供应链安全中最薄弱的环节是开源软件、API和第三方组件的运用,如Apache Log4j中的Log4shell漏洞可威胁数亿设备。美国政府安全机构于2022年9月发布指南,建议通过“左移”方法加强软件开发生命周期(SDLC)安全防护,但传统方法难以应对云原生应用的复杂性和动态性。行业需采用不间断、全天候的安全方法,保护松散结合的高度分布式云应用程序。
CNAPP概述
“云原生应用程序保护平台”(CNAPP)由Gartner提出,指集成安全与合规功能的一组工具,旨在保护云原生应用。CNAPP承诺提供端到端可见性,但实际产品与承诺常存在差距。本指南旨在帮助组织选择合适的CNAPP解决方案。
CNAPP评估的十大考虑事项
- 整体性:CNAPP需与现有堆栈集成,促进跨团队协作,保护整个应用程序生态。
- 可见性:提供对多云/混合环境中资产和数据流的端到端可见性,与资产管理系统集成。
- 最小特权:支持零信任和最小权限访问,协助实施最小特权访问策略。
- 自动化:自动化SDLC和生产环境中的手动安全流程,如动态实施安全控制和纠正错误配置。
- 适用于多种环境:支持本地、多云和混合基础设施,跨云服务提供商协调监控和修复。
- 适用于多种工作负载架构:支持微服务、容器和无服务器架构,自动实施安全策略。
- 管道安全:扫描CI/CD模板、脚本和映像,避免漏洞传播,支持安全即代码方法。
- 更合理的左移:在SDLC早期嵌入安全,缩短开发周期,支持DevSecOps文化。
- 前瞻式威胁防护:主动防范威胁,利用威胁情报和行为分析实现恶意活动拦截。
- 风险评分:采用ERM机制,提供情景化人工智能和风险评分,优先处理高优先级风险。
CNAPP解决方案的组件
- 基本组件:
- 云安全态势管理(CSPM):检测错误配置、实施安全最佳实践、遵守合规框架。
- 云服务网络安全(CSNS):在无边界云环境中实现与本地环境相同级别的安全监测和威胁防护。
- 基于人工智能的应用安全(AppSec):自动化、智能化地替换传统WAF,防御OWASP十大漏洞攻击。
- 云工作负载保护(CWP):实时发现和扫描运行中的工作负载,确保安全。
- 高级组件:
- 云基础设施授权管理(CIEM):掌握基础设施和访问管理,自动执行最小特权。
- 无代理工作负载态势(AWP):提供深度安全态势可见性,不干扰DevOps流程。
- 管道安全:扫描源代码SAST和IaC,从代码到云端无缝保护应用程序。
- ERM(全面整合):整合所有安全解决方案信息,提供情景化人工智能和风险评分,优化安全团队重点事项。
评估CNAPP解决方案的五个关键问题
- 是否涵盖所有层面:确保解决方案提供广泛功能,统一界面和集中防护。
- 是否通过单一控制台提供情景可视化:支持持续监控、主流框架支持和异常行为警报。
- 是否支持左移DevSecOps策略:自动扫描代码、依赖项、模板和映像,并在运行时扫描。
- 应用程序安全工作流程是否智能集成并自动化:自动协调安全规则变化,自动触发风险缓解流程。
- 是否在运行时环境中提供前瞻式威胁防护:全球覆盖、实时异常检测、AI驱动的风险评分、资产配置篡改保护等。
结语
Check Point CloudGuard作为端到端云原生安全平台,从CI/CD到运行时保护应用程序工作负载,采用零信任方法,解决现代开发的挑战。其CNAPP平台提供更多情景、更好安全性和更短修复时间,通过整合先进工具,为组织提供严谨的安全防护。
