CNAPP面临来自组织架构、产品融合、多云环境等诸多挑战。
云原生安全关注度提升,CNAPP 建设价值逐步凸显。目前越来越多公司对云原生应用程序所暴露的 风险尤为重视,通过部署 CNAPP 产品来保护云原生应用程序,并应对不断扩大的攻击面。通过对 CNAPP 输出的检测结果运营,可防止运行时环境中的威胁,减轻云基础设施中的错误配置,并在整个开发过程中 将安全嵌入。 根据 Frost&Sullivan 最近对 2360 多名首席信息安全官和 C-level 级别的领导者进行的客户研究,大 多数的组织(31%)都部署云安全技术来防止漏洞的产生,并检测和应对云上各类威胁(30%)。许多公司还 投身于云安全解决方案,以应对未知威胁(24%)和监管合规性(12%)。这表明全球企业都对云安全的认识 有了显著提高。
48% 的受访组织目前使用 CWPP,而 41% 的组织计划在未来两年内部署类似产品,只有 10% 的组 织表示,他们不打算在未来几年增加解决方案。这些发现与采用其他云安全解决方案相一致,包括 CSPM、 SaaS 安全态势管理(SSPM)、CIEM 和 CNAPP。 2023 年,全球 CNAPP 市场收入为 38.784 亿美元,同比增长 31.3%。Frost&Sullivan 预计接下来的 五年,这一势头将以 22.8% 的复合年增长率持续下去,由于对整体云原生安全解决方案的需求不断增加, 2028 年的收入将达到 108.188 亿美元。
Gartner 认为,到 2029 年,60% 未在其云架构中部署统一 CNAPP 解决方案的企业将缺乏对云攻击面 的广泛可见性,因此无法实现其预期的零信任目标;超过 80% 的企业将采用集中式平台工程和运营方法 来促进 DevOps 自助服务和扩展,而 2023 年这一比例不到 30%;35% 的企业应用程序将在容器中运行, 比 2023 年的不到 15% 有所增加。
CNAPP 旨在通过一体化平台提升云原生应用全生命周期的安全性。CNAPP 旨在提升云原生应用的可 观测性和安全性,整合多云环境中的资产信息,并重点保护 IaaS 和 PaaS 公有云环境及其工作负载和应用。 现阶段,CNAPP 正处于基础能力扩展阶段,厂商们纷纷从各自专注的领域(如 CSPM、CWPP、DevSecOps) 转向 CNAPP 的构建,通过引入更多功能提升产品覆盖范围。CNAPP 的核心功能包括云平台与 Kubernetes 的集成、风险分析与优先排序、实时或快照的运行时状态分析以及攻击路径分析。
CNAPP 工作负载运行部署方式遭遇瓶颈。然而,目前在 CNAPP 的工作负载运行时监测中,关于是否 采用代理的争论仍然存在。随着 eBPF 技术的兴起,代理对工作负载的可见性得到了显著提升,而 DevOps 技术的发展则使得代理的部署更加方便快捷。基于代理的解决方案能够实时检测和缓解威胁,帮助安全团 队更快速地响应事件。此外,代理还能获取细粒度的数据,提供对工作负载的深度可见性,使安全运营人员 能够获得更深入的洞察。然而,在处理边缘工作负载(如无服务器架构和 PaaS)时,这类方案面临资源覆盖 不足和高昂运营成本的挑战。
为了解决用户的痛点,厂商们积极探索无需代理的监测方案,使用户无需安装任何 Agent 即可全面了 解云工作负载的状态。这种方案通过云 API 对底层实例的硬盘进行快照,由安全厂商对快照数据进行扫描, 既实现了对工作负载的全面监控,又不影响业务的连续性。此外,它还提供了统一的安全态势视图,简化了 跨平台的管理。然而,该方法也存在一定的局限性。首先,部分容器的生命周期较短,即使快照扫描速度很 快,仍可能无法实时捕捉所有容器的活动。其次,依赖云 API 进行数据收集在深度洞察安全数据方面有所不 足。最后,云上工作负载产生的存储数据量庞大,可能带来高额的云存储成本。
CNAPP 注重敏捷开发,重视不可变基础设施。如今,CNAPP 运行在容器中,构建于离散的代码功能之 上,这些功能以松散耦合的微服务形式操作,通常通过 API 相互通信。在支持频繁更新的 DevOps 风格持续 集成(CI)/ 持续交付(CD)管道中开发,使工作负载及其微服务更加短暂。它们还使用自定义代码和开源代 码以及来自开源或私有源代码库的库。CNAPP 部署在编程化的云基础设施上,使应用程序与基础设施的依 赖关系隔离,并利用云的共享基础设施,根据业务需求以弹性方式进行扩展和收缩。CNAPP 优先考虑不可 变性,生产环境中的变化很少或没有(所有生产环境中的变化都通过开发管道驱动)。
总的来说,CNAPP 在未来还需要不断深化威胁检测、响应速度和数据分析方面的能力,弥补“有代理” 与“无代理”方案的不足,实现更高效的安全监测与防护。此外,用户的体验也不容忽视,需要持续优 化用户界面和操作流程,提供更加直观和友好的使用体验,降低企业在部署和使用 CNAPP 时的技术门槛。
CNAPP面临来自组织架构、产品融合、多云环境等诸多挑战。
众所周知 CNAPP 所能覆盖的资产范围比较广泛,而如今很多组织都 会有多个安全团队共同承担云原生应用程序的安全责任,包括云安全、 数据安全、应用安全、应急响应、安全架构等不同领域的团队。每个 团队都拥有解决部分云风险的责任,但在产品运营和产品规划上,团 队之间如果缺少紧密地协作,与明确的职责划分,那么当出现安全风 险时会影响风险地快速处置以及安全治理。
许多组织已部署了各类安全产品,以解决从代码、到云上的安全性与 合规性。比如运行时保护(CWP),端点检测和响应(EDR),云安全 态势管理(CSPM)等各类解决安全产品。 而随着 CNAPP 的发展,原有的产品可能已不能满足当前安全方面完 整的需求,CNAPP 产品部署的同时需要考虑与原有产品的结合或者是 兼容性,以免带来预期之外的影响。 并且也要考虑避免部署完整 CNAPP 所带来的运营量,告警策略需严 格把控,防止大量告警使高风险问题被海量告警淹没,造成信息资产 损失。
目前 CNAPP 产品还存在对过多云环境的兼容问题,与不同的云平台 的配置集成以及使用体验,都是需要设计优化的地方。如果同一类型 的告警需要针对不同云单独开启或配置,那么会大大增加安全运营人 员的治理成本。而对于多云环境的挑战不仅仅在于产品的使用上,不 同平台的 API 或是 SDK,都有各种的不一致,CNAPP 数据的结构化 和数据上下文也是需要非常投入精力的,这对于全面理解和解决风险 的场景与优先级至关重要,。 而一些 CNAPP 产品仅提供 SaaS 服务,另一些则设计为在客户环境 中运行。SaaS 服务部署的产品则要额外考虑资产的数据安全,是否 会由于部署 CNAPP 产品产生更多的暴露面,最优解决方案应当采用 分布式云架构,有云管理的控制平面和用户控制的分布式检测(例如, 本地扫描容器或快照,无需上传到 SaaS 服务)。一些解决方案不提供 数据扫描位置选择,强制用户在公共云环境中扫描,增加了计算成本 并抑制 CNAPP 的采用。
AI能力提升为CNAPP发展带来新的机遇。
云原生应用程序保护平台(CNAPP)的发展进入了一个技术变革的新阶段。随着人工智能(AI)技 术的不断成熟,CNAPP 与 AI 的融合呈现较大的发展机遇。 AI 的集成能够极大地增强 CNAPP 的能力和运营效率。首先,AI 可以提供强大的自动化能力。通过 机器学习算法,AI 可以自动识别安全漏洞、异常行为和潜在威胁,极大地减少了人工干预和操作的需求。 此外,AI 可以快速处理和分析大量数据,从而即时发现并响应安全事件。这不仅提高了响应速度,还增 加了检测的准确性。
其次,AI 的风险预测能力能够提供前瞻性保护。通过对历史安全数据进行分析挖掘,AI 能够预测潜 在的攻击向量和新兴威胁,从而提前采取防御措施,增强安全态势感知。此类预防性保护措施有助于降 低攻击成功的概率,保护企业的数字资产和业务连续性。 并且 AI 能力的嵌入,可以通过多维度数据整合,帮助企业打破数据孤岛,形成全局的一体化风险视图, 从而实现更高效的风险管理。通过 AI 驱动的威胁情报分析和自动化漏报处理,使 CNAPP 可以显著减少 误报数量,并优先处理高危漏洞,提高漏洞修复的效率和准确性。 综上所述,AI 与 CNAPP 的融合将极大地提升云原生应用程序的安全保护能力。通过强化自动化、 风险预测、数据集成和漏洞管理,AI 不仅解决了现有的痛点,也为 CNAPP 的发展开辟了新的空间和机遇。
