Безопасность в облаке остаётся сложной темой, а инструменты для её обеспечения становятся всё более запутанными и трудными для понимания — отчасти из-за неугасающей любви отрасли к акронимам. И вот к ним добавился ещё один — CNAPP.

CNAPP – Определение

Аббревиатура расшифровывается как Cloud-Native Application Protection Platform (Платформа защиты облачных нативных приложений) и объединяет функции четырёх отдельных инструментов облачной безопасности:

• Cloud Infrastructure Entitlement Management (CIEM) для управления всеми мерами контроля доступа и задачами по управлению рисками.
• Cloud Workload Protection Platform (CWPP) для защиты кода во всех облачных репозиториях, а также обеспечения защиты во время выполнения для всей среды разработки и всех конвейеров кода.
• Cloud Access Security Broker (CASB) для задач аутентификации и шифрования.
• Cloud Security Posture Management (CSPM), сочетающий сбор информации об угрозах и меры по их устранению.

Помимо этих четырёх «классических» элементов, CNAPP расширился и на другие области. Например:

• Безопасность API, скриптов, цепочки поставок, а также Infrastructure-as-Code (IaC),
• Безопасность контейнеров и бессерверных сред (Serverless), а также
• другие инструменты управления конфигурацией (Posture Management), включая данные и SaaS-приложения.

С точки зрения пользователя, CNAPP становится одновременно сложным для понимания и трудным для оценки, что, соответственно, усложняет и процесс покупки, как отмечает главный аналитик Forrester Андраш Чер в соответствующем блоге. Поскольку некоторые решения охватывают и опции безопасности за пределами облака, любое решение о покупке и внедрении CNAPP становится межкомандной или межведомственной задачей, по мнению аналитика.

Иными словами: когда речь заходит о CNAPP, приходится согласовывать, управлять, интегрировать и понимать огромное количество программного обеспечения. Чтобы облегчить вам обзор, мы собрали детали о ведущих поставщиках и их предложениях в этом руководстве по выбору.

Рынок CNAPP

Продуктовая категория — и, соответственно, акроним — была сформирована, как это часто бывает, Gartner. Аналитическая компания впервые использовала термин CNAPP в своём отчёте «Innovation Insight» в августе 2021 года.

Ключ к пониманию этой продуктовой категории лежит в проблемах интеграции для корпоративных пользователей: в отчёте VMware «State of Observability Report» 57 процентов респондентов заявляют, что в типичном облачном приложении используется до 50 различных технологий, которыми в среднем управляют с помощью десяти инструментов мониторинга.

А согласно «Observability Report 2024» (загрузка в обмен на данные) от Dynatrace, типичная корпоративная среда в среднем состоит из дюжины различных облачных платформ, при этом регулярно применяется комбинация стратегий частного, публичного и гибридного облака. К этому добавляются различные инстансы виртуальных машин, контейнеры Kubernetes, а также бессерверные инструменты и микросервисы.

Эта значительная нагрузка на интеграцию, вероятно, является причиной того, что объём рынка CNAPP во втором квартале 2024 года достиг 700 миллионов долларов, продемонстрировав годовой рост на 42 процента — как сообщают аналитики Dell’Oro Group в своём отчёте.

Поставщики CNAPP и их предложения

В идеале решение CNAPP должно:

• Сокращать количество ошибок конфигурации,
• оптимизировать уровень безопасности конвейера разработки, а также
• эффективно автоматизировать процессы.

С точки зрения CNAPP поставщики придерживаются двух разных подходов: либо они фокусируются на перспективе DevSecOps, либо на традиционной ИТ-безопасности. Первый подход приводит к большему акценту на защите самих приложений (CIEM/CWPP), тогда как второй — к расширению традиционных мер защиты на сетевом уровне (CASB/CSPM). На данный момент ни одно предложение CNAPP последовательно не охватывает все четыре области.

Разумеется, искусственный интеллект (ИИ) играет всё более важную роль и в этой сфере: различные поставщики CNAPP интегрируют или комбинируют ИИ-агенты и без-агентные решения в своих продуктах для обеспечения более широкого мониторинга, максимально полного охвата и масштабируемости.

Aqua Security Platform

Фокус: DevSecOps

Формат: Единая платформа с различными продуктами;

Особые функции/интеграции: «(Отсутствие) Гарантии от взлома» (No-Breach-Garantie) на сумму до одного миллиона долларов;

Ценовой диапазон: бесплатная пробная версия; от 850 долларов в месяц;

CrowdStrike Falcon Cloud Security

Фокус: DevSecOps / ИТ-безопасность

Формат: Единая платформа с различными продуктами;

Особые функции/интеграции: Обнаружение и реагирование в облаке (Cloud Detection and Response, CDR), AppSec, анализ уязвимостей для образов контейнеров;

Ценовой диапазон: Цена подписки зависит от выбранных продуктов;

Data Theorem

Фокус: DevSecOps

Формат: Отдельные продукты для облака, веба и цепочки поставок;

Особые функции/интеграции: Headliner Attack Policies, сканирование артефактов, центральный аналитический движок, поддержка Kubernetes;

Ценовой диапазон: сложный и дорогой; разные тарифы для каждого продукта;

Lacework FortiCNAPP

Фокус: ИТ-безопасность

Формат: Единая платформа с различными продуктами;

Особые функции/интеграции: Правила защиты на основе поведенческого анализа, SOAR, AppSec, сканирование конвейеров сборки и развёртывания;

Ценовой диапазон: бесплатная пробная версия; зависит от продолжительности использования и задействованных vCPU;

Orca CNAPP

Фокус: ИТ-безопасность

Формат: Единая платформа с различными продуктами;

Особые функции/интеграции: Side Scanning, приоритизация рисков, конвейеры AppSec, функции ИИ;

Ценовой диапазон: ориентируется на рабочие нагрузки, хранилища (Storage Buckets) и сканирование баз данных, а также на используемые сенсоры;

Palo Alto Networks Cortex Cloud

Фокус: ИТ-безопасность

Формат: Единая платформа с различными продуктами;

Особые функции/интеграции: CDR, интеграция AppSec, защита во время выполнения и DSPM, планируется поддержка облаков IBM и Akamai;

Ценовой диапазон: сложный и дорогой; зависит от выбранных модулей и защищаемых рабочих нагрузок;

Qualys Total Cloud CNAPP

Фокус: ИТ-безопасность

Формат: Единая платформа;

Особые функции/интеграции: CDR, безопасность контейнеров и IaC, управление конфигурацией SaaS (SaaS Posture Management), функции ИИ;

Ценовой диапазон: бесплатная пробная версия; модель подписки на основе рабочих нагрузок;

Sysdig Secure

Фокус: DevSecOps

Формат: Отдельный продукт;

Особые функции/интеграции: CDR «нового поколения», приоритизация рисков, функции и анализ ИИ;

Ценовой диапазон: Фиксированная цена за модель хоста; от примерно 500 долларов в месяц;

Tenable Cloud Security

Фокус: ИТ-безопасность

Формат: Автономное решение или как часть платформы управления подверженностью Tenable One;

Особые функции/интеграции: Управление подверженностью (Exposure Management), DSPM, ИИ-безопасность, поддержка Kubernetes и IaC;

Ценовой диапазон: бесплатная пробная версия; сложная ценовая модель, которая может быть ориентирована на узлы или рабочие нагрузки; 

Tigera Calico Cloud

Фокус: DevSecOps

Формат: Отдельный продукт;

Особые функции/интеграции: В первую очередь сфокусирован на безопасности контейнеров и Kubernetes;

Ценовой диапазон: бесплатная Open-Source версия; коммерческие опции с моделью подписки или почасовой оплатой за узел;

Uptycs

Фокус: ИТ-безопасность

Формат: Единая платформа;

Особые функции/интеграции: XDR, AppSec, DSPM, функции ИИ и машинного обучения (ML);

Ценовой диапазон: различные опции; от примерно 5000 долларов в год (200 облачных активов);

Wiz

Фокус: ИТ-безопасность

Формат: Единая платформа с различными продуктами;

Особые функции/интеграции: Приоритизация рисков с использованием графовых визуализаций и аналитики от кода до облака и времени выполнения, функции ИИ, поддержка контейнеров и Kubernetes;

Ценовой диапазон: различные планы ценообразования, основанные на рабочих нагрузках;

5 вопросов перед инвестированием в CNAPP

Прежде чем принять решение в пользу одного из этих поставщиков CNAPP, вам следует задать себе следующие вопросы:

1. Какие облачные артефакты может сканировать выбранное решение? Некоторые продукты (Lacework) фокусируются на трёх основных поставщиках IaaS, другие (Tigera) поддерживают только сервисы Kubernetes гиперскейлеров. Третьи (Sysdig) уделяют основное внимание контейнерам и различным серверам Linux, на которых они работают. Однако самое главное — возможность непрерывного и (почти) мониторинга артефактов в режиме реального времени.
2. Как сообщается об инцидентах безопасности? Существуют ли отдельные правила доступа, позволяющие разным сотрудникам сосредоточиться на определённых областях? Существуют ли отдельные или комбинированные, предварительно определённые политики безопасности для сбора данных с агентами и без них? Насколько информативны предоставляемые ими панели мониторинга и визуализации?
3. В какой степени охвачены четыре области инструментов управления? Некоторые предложения включают элементы CWPP и CSPM, но требуют расширения, например, для поддержки Kubernetes.
4. Какие фреймворки DevOps поддерживаются? Как обстоят дела с открытыми репозиториями?
5. Сколько конкретно стоит решение? Лишь немногие поставщики CNAPP предлагают действительно прозрачное ценообразование. В случае сложных моделей ценообразования (Data Theorem, Qualys, Orca) возникает необходимость в уточнении.

(fm)

Хотите прочитать больше интересных статей по теме ИТ-безопасности? Наша бесплатная новостная рассылка предоставит вам всё, что необходимо знать лицам, принимающим решения и экспертам по безопасности, прямо в ваш почтовый ящик.