In der weiten Landschaft der IT-Industrie sind Abkürzungen allgegenwärtig. Neue Technologien entstehen in einem rasanten Tempo, und mit ihnen kommen neue Namen und Bezeichnungen. Während einige dieser Abkürzungen sofort verständlich sind, bleiben andere weniger durchsichtig. Selbst wenn die Bedeutung der Akronyme bekannt ist, bleibt oft unklar, welches spezifische Problem die Technologie adressiert. Insbesondere in der IT-Sicherheit haben sich in letzter Zeit Abkürzungen wie CSPM (Cloud Security Posture Management) und CWPPs (Cloud Workload Protection Platforms) etabliert, die darauf abzielen, die Sicherheit von Cloud-Workloads zu verbessern. Doch wie es in der schnelllebigen Welt der Cloudtechnologie oft der Fall ist, stehen bereits neue Ansätze bereit, um den Platz der älteren einzunehmen.

Auch im Bereich der IT-Security oder bei der Absicherung von Cloud-Workloads ist dies der Fall. Und hier heißt die aktuelle Technologie CNAPP – Cloud Native Application Protection Platform. Hier beschreibt eigentlich schon der Name, wofür diese Werkzeuge konzipiert sind und was sie leisten sollen. Doch ganz so einfach ist es jedoch nicht, und daher ergibt es durchaus Sinn, sich näher anzusehen, was es mit diesem Begriff und der sich dahinter verbergenden Technologie auf sich hat.

Mit dem verstärkten Einsatz moderner Cloud-Native-Implementierungen stehen Unternehmen vor der Herausforderung, verschiedene Sicherheitsmaßnahmen wie DevSecOps, intelligente Automatisierung sowie CSPM und CWPPs zu kombinieren, um die Sicherheit in der Cloud zu gewährleisten. Diese Integration gestaltet sich jedoch oft komplex und zeitaufwändig. Anstatt Sicherheit und Compliance getrennt während der Entwicklung und des Betriebs zu betrachten und mit verschiedenen Einzellösungen zu sichern, sollten IT-Verantwortliche nach Möglichkeit eine integrierte Plattform wie CNAPP wählen, die Sicherheit als kontinuierlichen Prozess über den gesamten Lebenszyklus einer Anwendung hinweg unterstützt.

CNAPP strebt danach, eine umfassende End-to-End-Sicherheit für Cloud-Native-Umgebungen zu bieten. Anstatt verschiedene Werkzeuge zu verwenden, die manuell kombiniert werden müssen und nur bestimmte Sicherheitsprobleme lösen, ermöglicht CNAPP einen integrierten Ansatz. Dies hat den Vorteil, dass Unternehmen einen ganzheitlichen Überblick über das Anwendungsrisiko erhalten und die Fähigkeiten verschiedener Cloud-Sicherheitskategorien wie "Shift Left" Artefakt-Scanning, CSPM, Kubernetes Security Posture Management (KSPM), IaC-Scanning, Cloud Infrastructure Entitlements Management (CIEM) und Runtime Cloud Workload Protection Platform (CWPP) kombinieren.

Es mag vielleicht banal klingen, doch nur Tools, die speziell für Cloud-Native entwickelt werden, können den Namen CNAPP tragen. In der Realität sind in einer Cloud-Native-Umgebung traditionelle EDR-, hostbasierte oder Firewall-Werkzeuge nicht ausreichend. Die dynamische Orchestrierung von flüchtigen Workloads in Cloudanwendungen macht herkömmliche netzwerkbasierte Sicherheitstools schlichtweg überflüssig. CNAPPs sind in der Lage, Workloads wie Container, serverlose Funktionen und VMs zu analysieren, zu verfolgen, zu überwachen und zu kontrollieren. Sie müssen mit der gesamten Infrastruktur zusammenarbeiten und eine Schnittstelle zu dieser bilden, um Kubernetes, Infrastructure-as-Code-Tools und andere zu integrieren. Eine CNAPP ist also selbst per Definition Cloud-Native.

CNAPPs sind darauf ausgerichtet, Anwendungen zu schützen, und dazu ist es erforderlich, dass sie den Kontext der Anwendung identifizieren und verstehen. Das heißt, das Artefakt (wie etwa Container-Images oder Helm-Charts) muss während des gesamten Lebenszyklus der Anwendung verfolgt und darauf Sicherheits- kontrollen angewendet werden, die das kontextbezogene Risiko berücksichtigen. In der Praxis reicht es nicht aus, einfach festzustellen, dass beispielsweise "Container 4c01db0b339c ps" ausgeführt hat.

Wichtig ist auch, in Erfahrung zu bringen, zu welcher Anwendung dieser Container gehört, aus welchem Image er stammt, ob die Ausführung von "ps" für diesen Container in der bestimmten Anwendung üblich ist oder nicht und ob dies in diesem Kontext legitim ist oder einen Indikator für eine Kompromittierung (IoC; Indicator of Compromise) darstellt. Um diese Informationen zu erhalten, muss eine Sicherheitsanwendung in die CI/CD-Pipeline eingebettet und mit einer Vielzahl moderner DevOps-Tools integriert sein. Das Scannen von Artefakten in der Build-Phase und die Aufrechterhaltung ihrer Integrität vom Build bis zum Deployment sind entscheidend für den Anwendungskontext. Dies hilft wiederum dabei, granulare Entscheidungen über deren Bereitstellung zu treffen, beispielsweise um zu verhindern, dass ungeprüfte Images in der Produktionsumgebung laufen.

Der Begriff "Protection" in CNAPP bedeutet konkret, dass eine CNAPP in der Lage sein soll, Angriffe unmittelbar zu stoppen. Selbst der robusteste "Shift Left"-Schutz und die umfassende Absicherung der Umgebung bieten keine Sicherheit vor Zero-Day-Exploits oder ausgeklügelten Laufzeitan- griffen, die bekannte Schutzmechanismen umgehen. Prävention allein ist nicht ausreichend, daher sollte eine CNAPP laufende Angriffe in Echtzeit erkennen und angemessen reagieren.

Die rasante Geschwindigkeit von DevOps und Code, der durch die CI/CD-Pipeline fließt, ist der Grund, warum klassische Sicherheitstools nicht effektiv mit Cloud-Native-Anwendungen umgehen können. Leider entwickeln sich Cloud-Native-Angriffe genauso schnell wie die Applikationen selbst. Wenn gestern ein Angriff erfolgte, reicht es nicht aus, dies heute zu erfahren. Doch gerade im Bereich der Laufzeitkomponenten weisen die meisten CNAPPs noch Schwächen auf, während die besten unter ihnen durch detaillierte Laufzeitkontrollen wie beispielsweise Drift Prevention glänzen.

Aufgrund der Vielzahl an Funktionen, die eine CNAPP über den gesamten Lebenszyklus einer Anwendung sowie bei der Unterstützung verschiedener Arten von Workloads, Stacks und Cloudumgebungen bieten muss, ist es erforderlich, dass sie eine Plattform mit zahlreichen Integrationen darstellt. Diese muss in verschiedene Teams und Prozesse innerhalb eines Unternehmens eingebunden sein, denn sie sollte ein einheitliches und konsistentes Erlebnis bieten.

Viele der bereits bestehenden Werkzeuge auf dem Markt sind entweder unvollständig und decken nur einen Teil der Anforderungen ab wie beispielsweise nur die Laufzeitüberwachung, das Scannen von Artefakten oder die Infrastrukturüberwachung. Oder sie bestehen aus mehreren erworbenen Produkten, die nicht vollständig integriert sind und keine nahtlose Benutzererfahrung bieten. Auch sollte eine solche Plattform als Software-as-a-Service oder für den Betrieb vor Ort verfügbar sein, um den erhöhten Anforderungen von stark regulierten Branchen wie dem Finanz- und Gesundheitswesen gerecht zu werden.

Eine Cloud Native Application Protection Platform repräsentiert eine neuartige Kategorie von Sicherheitsprodukten, die idealerweise eine umfassende End-to-End-Sicherheit für Cloud-Native-Umgebungen gewährleistet. In dieser Hinsicht fungiert sie als ein entscheidendes Instrument für Unternehmen, um Risiken in den Bereichen Cloud-Native-Anwendungen, Infrastruktur und Konfigurationen zu erkennen, zu bewerten, zu priorisieren und zu adaptieren. Als eine vollständig integrierte Plattform vereint sie verschiedene Einzelwerkzeuge und ermöglicht Organisationen somit den Zugang zu einer ganzheitlichen Sicherheit.

Dabei ist die Palette an verfügbaren CNAPPs äußerst vielfältig und bietet eine breite Auswahl an Leistungsspektren, um den unterschiedlichen Anforderungen der Unternehmen gerecht zu werden. Es ist daher ratsam, dass IT-Verantwortliche die verschiedenen Anbieter sorgfältig prüfen, um sicherzustellen, dass sie sämtliche Merkmale einer echten CNAPP erfüllen und ihre Cloud-Native-Umgebungen bestmöglich absichern können.