GSS資安電子報 0221 期【評估雲原生應用程式保護平台（CNAPP）的五個注意事項】

什麼是 CNAPP？為什麼它是雲端安全的未來？

　　隨著容器、Kubernetes 和無伺服器等雲端原生應用程式架構的出現，組織現在可以更輕鬆地在雲端中部署應用程序，從而降低成本並提高敏捷性。然而，在 451 Research 最近進行的一項調查中，46% 的受訪者表示，安全性和合規性問題是使用雲端原生技術的首要問題。

　　CNAPP 是 Gartner 創造的一個類別，代表「雲端原生應用程式保護平台」。在最近的 Gartner® 報告《雲端原生應用程式保護平台的創新洞察》中，該 Gartner 強調了 CNAPP 的優勢和用途。

　　CNAPP 解決了安全團隊在當前安全方法中面臨的許多挑戰，包括：

• 與傳統安全工具的覆蓋範圍有差距，傳統安全工具需要代理處理所有工作負載 
• 部署和維護掃描器和代理程式的困難 
• 無效的風險優先順序所導致的警報疲勞 
• 缺乏整個開發生命週期的安全集成 
• 多個不同的工具為安全團隊帶來了開銷 

　　「為了應對這些問題以及未來更多挑戰，Gartner 建議安全和風險管理領導者評估新興的雲端原生應用程式保護平台，這些平台可以提供完整的安全生命週期方法。」 – Gartner, Inc.，雲端原生應用程式保護平台的創新洞察，Neil MacDonald 和 Charlie Winckless，2021 年 8 月 25 日

　　透過這個新的 CNAPP 類別，Gartner 認識到雲端原生應用程式需要像雲端一樣強大且敏捷的雲端原生安全性，安全性需要無縫整合到 CI/CD 流程中，而不是在應用程式部署後才附加安全性。

　　此外，Gartner 鼓勵進行工具整合，特別是將 CSPM 和 CWPP 功能合併到一個平台中，以降低複雜性並從情境洞察中受益。CNAPP 不是孤立的視圖，而是對雲端資產具有全面的覆蓋和可見性，並且可以檢測整個技術堆疊的風險，包括雲端配置、工作負載和身分。透過結合漏洞、上下文和關係，真正的 CNAPP 可以識別看似不相關的低嚴重性風險如何組合起來創建危險的攻擊向量。

　　在本指南中，我們概述了為您的組織選擇 CNAPP 時需要考慮的 5 個最重要的要點。

　　「CNAPP 方法最顯著的好處是更了解並控制雲端原生應用程式風險。」 – Gartner, Inc.，雲端原生應用程式保護平台的創新洞察，Neil MacDonald 和 Charlie Winckless，2021 年 8 月 25 日

標準 #1：多種工具合而為一

　　CNAPP 的主要目標之一是將多個雲端安全工具整合到一個平台中，從而提供以下能力：

• 偵測公有雲資產中的 IAM 和資源配置錯誤以及合規性違規（由雲端安全態勢管理（CSPM）工具執行）
• 偵測 Kubernetes 中的錯誤設定和合規性違規（由 Kubernetes 安全態勢管理（KSPM）工具執行）
• 偵測雲端工作負載中的漏洞、安全性錯誤配置、不安全的秘密管理和主動妥協，無論它們是虛擬機器、容器或無伺服器功能（由雲端工作負載保護平台 （CWPP）解決方案執行）
• 根據最低權限和其他身分和權利管理最佳實務（由雲端基礎設施權利管理（CIEM）解決方案執行）評估雲端環境的權限配置
• 在應用程式開發管道中儘早掃描容器和影像，以發現安全漏洞、錯誤配置、不安全的秘密管理等風險（由基礎設施即程式碼（IaC）工具執行）

　　然而，工具整合只是整體目標的一部分。更重要的是全面偵測雲端資產中的風險和漏洞（包括雲端事件中的惡意活動），以幫助促進雲端安全性和合規性。例如，惡意軟體偵測、橫向移動風險偵測、身分和存取管理（IAM）錯誤配置以及不安全儲存的敏感資料的識別都是關鍵的雲端安全功能。尋找包含這些功能的 CNAPP，以避免部署單點解決方案。

　　「結合 CWPP 和 CSPM 功能可以產生協同效應，而多個供應商正在推行此策略。此次合併將建立一個新的 CNAPP 類別。」 – Gartner Inc.，雲端工作負載保護平台市場指南，Neil MacDonald、Tom Croll，2020 年 4 月 14 日

－提問

1. 供應商是否偵測到雲端平面資源和工作負載中的漏洞？
2. 供應商是否偵測網路公開資產上的個人資訊（PII）和敏感資料？
3. 供應商是否偵測到未知惡意軟體而不僅僅是現有惡意軟體的簽章？
4. 供應商是否偵測到雲端資產和工作負載的橫向移動和權限升級風險？
5. 供應商是否掃描您的雲端資產中的所有工作負載和擴充群組（即虛擬機器、容器）或使用代表性樣本？

標準 #2：無代理（Agentless）

　　直到最近，雲端安全主要由 CWPP 提供支持，每個工作負載都需要一個代理（Agent）。較新的 CSPM 解決方案不需要代理，僅提供對雲端錯誤配置的可見性，而無需深入了解工作負載。雖然代理可以透過查看檔案、進程和註冊表資料來提供作業系統、應用程式和資料中問題的可見性，但它們有幾個缺點：

• 為了有效，基於代理的解決方案需要在每項資產上部署代理，這在雲端運行時是一項不切實際的任務。

• 部署和維護代理程式對於 IT 和安全團隊來說是巨大的營運負擔。

• 部署代理程式會導致嚴重的盲點，無法準確了解您的雲端安全風險態勢。

• 使用代理進行近乎即時的保護（尤其是在關鍵生產環境中）可能會影響效能，甚至導致關鍵應用程式崩潰。

• 由於代理不遵守最小特權原則，因此使組織面臨供應鏈攻擊的風險。

• 代理安裝和維護的團隊依賴性會產生組織摩擦。

　　市面上有許多 CNAPP 仍然需要使用代理程式。然而，較新的、完全無代理的 CNAPP 在創新和易用性方面處於領先地位。這些 CNAPP 從外部收集數據，基於雲的機制從環境外檢查工作負載的運行時的儲存區塊，以立即提供完整和深入的覆蓋範圍，而不存在與代理相關的缺點。此外，無代理解決方案還具有其他一些優勢，包括更快、更輕鬆的部署（隨著雲端資產的發展而更容易適應）、更廣泛的資產覆蓋範圍（包括運行較舊作業系統和客戶作業系統的資產）、減少組織摩擦、降低營運成本。

　　「實務應用雲端原生工作負載通常是短暫的，需要部署代理程式的傳統獨立保護在操作上將會面臨挑戰。」 – Gartner Inc.，新興技術和趨勢影響雷達：安全，分析師 Ruggero Contu、Mark Driver、Lawrence Pingree、Elizabeth Kim、John A. Wheeler、Swati Rakheja、Nat Smith、Mark Wah、Dave Messett、肖恩·艾芬克（Shawn Eftink）、比爾雷（Bill Ray），2021 年10 月12 日

－提問

1. 供應商是否提供無代理雲端工作負載保護？
2. 供應商是否支援跨主要雲端的虛擬機器、容器和 Kubernetes 以及無伺服器？
3. 如果供應商說他們是無代理的，這只是針對控制平面（CSPM）還是工作負載方面？
4. 供應商的代理程式是否支援舊版或停產的作業系統，甚至您目前的所有作業系統？
5. 無代理供應商是否也從雲端供應商日誌中擷取惡意活動事件？

標準 #3：情境感知風險優先級

　　CNAPP 帶來的最大價值是能夠在單一、統一的資料模型中全面查看風險，而不僅僅是一系列孤立的風險。如果做得正確，這將形成雲端環境中所有不同風險的高度上下文視圖，並根據嚴重性、存取權限和業務影響對其進行優先排序，使安全組織能夠立即了解並修復最關鍵的問題。

　　許多工具僅根據 CVSS 分數來確定風險的優先級，而忽略其他相關因素，例如資產是否連接到網際網路或是否支援敏感資料的橫向移動。因此，風險的優先順序沒有得到適當的確定，安全團隊可能會在修復低風險威脅的同時忽略高風險威脅。例如，在關閉的虛擬機器中發現的惡意軟體並不值得緊急關注，但受惡意軟體感染、面向網際網路的工作負載應立即解決，該工作負載包含可解鎖相鄰工作負載中敏感資料的金鑰。

　　透過視覺化攻擊路徑中的風險，CNAPP 使安全團隊能夠了解如何利用看似不相關的問題（身分、權限、網路和基礎設施配置）的組合來存取其最有價值的資產。

　　在評估 CNAPP 時，請注意供應商將工具重新打包到一個 SKU 中，而沒有單一管理平台或整合。供應商將以前獨立的工具（通常透過收購獲得）「拼湊」在一起並將其重新命名為 CNAPP 的情況並不罕見。

　　「跨雲端安全功能領域最大限度地利用一個第三方供應商，以降低工具複雜性。然而，請注意：許多第三方供應商「套件」由獨立收購組成，實際上可能無法從一個管理點提供一致的控制。相應地設定期望並評估整合聲明的現實性。」 – Gartner, Inc.，如何使用 CSPM、CWPP、CNAPP 和 CASB，2021 年保護您的雲端，Richard Bartley，2021 年 5 月 6 日

－提問

1. 供應商能否透過 MITRE ATT&CK 可視化檢測到高價值資產的攻擊路徑並確定業務影響？
2. 供應商能否發現敏感資料 /PII 並相應地確定風險優先順序？
3. 供應商能否區分面向網際網路的資產的風險（高風險）和非面向網際網路的資產的風險（低風險）？
4. 供應商能否根據橫向移動風險偵測風險並確定風險優先順序？
5. 供應商是否利用統一的資料模型，或是每個工具都有自己的資料模型？

標準 #4：CI/CD 安全性和集成

　　選擇正確的 CNAPP 的兩個重要因素是它如何適應當前工作流程以及在整個開發生命週期中為雲端原生應用程式提供保護。尋找能夠在 CI/CD 流程中建立安全性的 CNAPP，讓您能夠儘早發現問題。目標是減少工程團隊、DevOps 團隊和雲端安全團隊之間的摩擦，鼓勵生產前後的協作，同時減少安全堆疊中的工具數量。

　　CNAPP 應該能夠掃描開發工件、原始碼、容器、無伺服器功能、虛擬機器和 IaC。

　　此外，CNAPP 應包括各種技術集成，以提高自動化程度、提高效率並加快修復速度。這些整合應該使安全團隊能夠確定自動警報的優先順序、自訂警報並將其整合到現有工作流程中。

　　「實施涵蓋雲端原生應用程式整個生命週期的整合安全方法，從開發開始一直延伸到生產。」 – Gartner Inc.，雲端原生應用程式保護平台的創新洞察，Neil MacDonald、Charlie Winckless，2021 年 8 月 25 日

－提問

1. 供應商可以掃描程式碼儲存庫，例如 GitHub 嗎？
2. 供應商是否提供 IaC 功能以及掃描影像以查找漏洞和預生產中的錯誤配置的能力？
3. 將安全供應商產品整合到 CI/CD 流程中的流程是什麼？
4. 供應商是否提供廣泛的第三方整合；例如，儲存庫工具（DockerHub、JFrog Artifactory）、CI/CD 工具（Jenkins、Gitlab CI、GitHub）、Ticket系統（Jira、Azure DevOps、ServiceNow）、SIEM（Splunk、SumoLogic、AzureSentinel、Datatexdog）、SOAR（Cortexdog）、SOAR（Cor XSOAR）、notification 產品（Slack、PagerDuty）和修復 orchestration （Torq）？

標準 #5：供應商支援和評級

　　與任何安全解決方案一樣，在評估 CNAPP 時，重要的是要考慮客戶支援的品質以及供應商是否能夠滿足您的特定業務需求。根據您的團隊規模和使用解決方案所涉及的學習曲線，驗證供應商是否提供了您獲得承諾價值所需的適當級別的客戶支援。透過評估流程驗證供應商是否能及時回應並關注客戶需求。

　　查看供應商收到的評論數量以及常見同行評論網站（例如 Gartner Peer Insights、PeerSpot 和 G2 Crowd）上的評級。

　　案例研究是第三方驗證的另一個重要來源。可用案例研究的數量和廣度顯示了滿意客戶的廣泛安裝基礎。

　　「感謝 Orca，我們能夠在數小時內快速辨識雲端資產中的 Log4j。Orca 不僅僅是一個產品，也是一個值得信賴的合作夥伴，在困難的情況下為我們提供支援。」 – Peter Gerdenitsch，Raiffeisen Bank International AG 首席資訊安全官

－提問

1. 供應商的網站上是否有大量已發布的案例研究？
2. 供應商是否擁有客戶成功工程團隊？
3. 供應商的支援時間是多少？
4. 我們可以與與我們行業類似的參考客戶交談嗎？
5. CNAPP 解決方案如何定價以保護雲端資源、工作負載、資料和身分？
6. 供應商是否提供 PoC 來測試解決方案？

總結

　　CNAPP 將雲端工作負載和配置智慧相結合，提供單獨解決方案無法獲得的整體洞察力。透過縱覽全局，CNAPP 能夠準確地找出哪些問題至關重要，哪些問題不那麼嚴重，並能夠識別何時看似不相關的問題可以組合起來創建危險的攻擊路徑。

　　請記住，CNAPP 的主要目標是將雲端安全工具整合到一個平台中，降低管理不同工具的複雜性和成本，並將情境與風險檢測相結合，以有效地優先處理最關鍵的問題。

　　我們的最後一個建議。要確定某個解決方案是否適合您的組織，還有什麼比免費試用更好的方法呢？如果供應商對其平台充滿信心，他們將提供免費試用或風險評估，因為他們知道，一旦組織能夠看到其平台帶來的價值，他們就會想要購買該解決方案。簡而言之，「證據就在布丁中，布丁好不好，吃了才知道」。

　　「透過整合整個開發生命週期中的漏洞、上下文和關係，可以暴露過多的風險，從而使開發團隊和產品所有者能夠專注於修復應用程式中風險最大的區域。」– Gartner Inc.，雲端原生的創新洞察

　　我們衷心希望本買家指南對您的 CNAPP 之旅有所幫助。祝您和您的安全團隊成功。

關於 Orca Security

　　Orca Security 為 AWS、Azure 和 GCP 提供即時安全性和合規性－不存在覆蓋範圍的問題、沒有警報疲勞以及代理或 sidecar 運營成本方面的差距。使用單一 CNAPP 平台簡化雲端安全操作，以實現工作負載和資料保護、雲端安全態勢管理（CSPM）、漏洞管理和合規性。Orca Security 根據安全問題的嚴重性、可近性和業務影響來確定風險的優先順序。這可以幫助您專注於最重要的關鍵警報。Orca Security 受到全球創新者的信賴，包括 Databricks、Autodesk、NCR、Gannett 和 Robinhood。