CNAPP: Luxusgut oder Zukunft der Cloud-Security?

Liest man Ratgeber wie den kürzlich erschienenen Gartner Market Guide for CNAPP, gelangt man als Sicherheitsverantwortlicher schnell zu der Frage, ob man wirklich noch ein weiteres Tool zur Sicherung der unternehmenseigenen Cloud benötigt. Vor dem Hintergrund der aktuellen Sicherheitslage herrscht in der IT gemeinhin der Konsens, dass Konsolidierung und ganzheitliche Lösungen mit geringstmöglichem Kosten- und Verwaltungsaufwand derzeitig der Königsweg sind. Das stimmt auch. Wenn ein Unternehmen jedoch darauf angewiesen ist, sichere Anwendungen schnell bereitzustellen, dann sollte CNAPP ganz oben auf der Liste stehen. Was genau ist CNAPP also?

Die Antwort steckt im Namen und lässt sich am besten zweigeteilt erklären: Die Cloud Native Application ist zunächst das, was abgesichert werden soll. Eine Cloud-native Anwendung. Die ist das Gegenteil einer herkömmlichen, kommerziellen Standardanwendung. Denn dabei handelt es sich in der Regel um individuell entwickelte Software, die für die Ausführung in Cloud-Umgebungen konzipiert ist. Eine Protection Platform wiederum bezeichnet ein breites Spektrum an Sicherheitsfunktionen, Interoperabilität und die Integration diverser Ökosysteme. CNAPP beschreibt also die Absicherung von Cloud-nativen Anwendungen über diverse Sicherheitsfunktionen und Integrationen, vereint in einer Plattform.

Was CNAPP (nicht) ist und leisten muss

Eins darf nicht missverstanden werden: CNAPP ist kein Eins-zu-eins-Ersatz für bestehende Tools. Die meisten Unternehmen sind noch nicht vollständig in die Cloud umgezogen und werden es womöglich auch nie. Daher müssen sie die Sicherheit ihrer traditionellen Umgebungen weiterhin aufrechterhalten. CNAPP wird zum Beispiel den Endpunktschutz für Mitarbeiter an entfernten Standorten nicht ersetzen.

Auch wenn einige CNAPP-Funktionen so klingen, als würden sie dieselben Probleme wie herkömmliche Tools lösen, dienen sie ganz speziell den Anwendungsfällen rund um die Sicherung moderner Anwendungen und Infrastrukturen, die für die Cloud entwickelt wurden. Dazu gehören die Vorteile der Elastizität und Ausfallsicherheit durch On-Demand-Ressourcen, ohne dass eine Überallokation erforderlich ist, wie es bei herkömmlichen Architekturen oft der Fall war.

Das bedeutet: Unternehmen, die (noch) keine Cloud-nativen Anwendungen entwickeln, brauchen (noch) kein CNAPP. Der Grund: CNAPP ist für die Sicherung von hauseigen programmierter Software gedacht und nicht von käuflich erworbener Software oder SaaS-Lösungen. Die meisten Unternehmen, insbesondere diejenigen, die sich mitten in der digitalen Transformation befinden, erstellen jedoch Anwendungen oder Funktionen unabhängig von der Branche, in der sie tätig sind.

Selbst programmierte Software sichern

Da CNAPP dazu beiträgt, unternehmenseigene programmierte Software zu sichern, muss das Tool die Anforderungen einer breiten Zielgruppe erfüllen und reibungslos mit einer großen Anzahl von Systemen zusammenarbeiten. Die Plattform muss sowohl für Entwickler, die keine fortgeschrittenen Sicherheitskenntnisse haben, als auch für Sicherheitsteams, die nicht viel Entwicklungserfahrung haben, benutzerfreundlich und reibungslos sein. Die Workflow-Herausforderungen, mit denen Sicherheitsteams seit Jahrzehnten beim Umgang mit Mal- und Ransomware-Zwischenfällen („remediate and response“) konfrontiert sind, bleiben hier bestehen. Sie werden außerdem durch den massiven Umfang, die Geschwindigkeit und die Komplexität der digitalen Transformation noch verschärft.

Wer ein CNAPP-Produkt in Erwägung zieht, sollte also sicherstellen, dass das Evaluierungsteam Vertreter aller potenziellen Nutzergruppen umfasst. Achten sollten CISOs dabei besonders auf Arbeitsabläufe, Integrationen mit Entwicklungstools (z. B. Git) und SOC-Tools (z. B. SIEM) und darauf, ob die Daten mit einem angemessenen, umsetzbaren Kontext für jeden Benutzer dargestellt werden. Insgesamt ist es hilfreich, dabei eine anwendungszentrierte Sichtweise einzunehmen. Bei der Implementierung von CNAPP sollte die Sicherheit einer Anwendung während ihres gesamten Lebenszyklus bedacht werden, anstatt sich auf traditionelle IT-Silos oder Sicherheitsdomänen zu konzentrieren.

Nach links verschieben, nach rechts abschirmen

Die 2020er Version des IT-Sicherheitskonzepts Defense in Depth enthält eine duale Philosophie der Entwicklung von Anwendungen: Shift Left und Shield Right. Bei Shift Left geht es darum, Sicherheitsprobleme früh im Lebenszyklus einer Anwendung zu erkennen. Bei Shield Right hingegen geht es darum, sicherzustellen, dass der Workload zur Laufzeit vor Angriffen geschützt ist, denn es ist nahezu unmöglich, eine Software-Lösung völlig fehlerfrei auszuliefern. Ein gutes CNAPP-Tool sollte daher eine mehrschichtige Verteidigung ermöglichen. Das bedeutet, der Code, die Artefakte, die Konfigurationen und alle anderen Komponenten der unternehmenseigenen Anwendung werden vor der Auslieferung geprüft und dann während der Ausführung in Echtzeit strengstens überwacht.

Eine effektive CNAPP bietet auch eine Form der Risikoaggregation und -korrelation. So könnte die Plattform beispielsweise auf anfällige Assets hinweisen, die über das Internet erreichbar sind, oder darauf, ob bekannte anfällige Bibliotheken von einer bestimmten Anwendung benutzt werden. Ein anwendungsorientierter Ansatz für die Sicherheit ist mit erheblicher Komplexität verbunden. Teams, die normalerweise keine Berührungspunkte haben, müssen sehr eng zusammenarbeiten und die Minimierung von potenziellen Reibungspunkten sollte dabei Priorität erhalten.

Überblick über Gesamtrisiko einer Anwendung

Wenn diese Strategie effektiv umgesetzt wird, können sich CISOs einen besseren Überblick des Gesamtrisikos der Anwendung, ihrer Komponenten und der unterstützenden Infrastruktur verschaffen. Sie können so mehr über Investitionen in das Sicherheitsprogramm nachdenken, um die zugrundeliegenden Risikoquellen zu beseitigen, anstatt Schwachstellen erst dann zu schließen, wenn sie sich auftun. Man mag den Eindruck gewinnen, dass hier viel von einem einzigen Tool verlangt wird. Bei den meisten Anbietern werden womöglich sogar Teile fehlen und ihre Lösungen mögen in einigen Bereichen schwächer aufgestellt sein.

CISOs, die sich nach einer CNAPP-Lösung umsehen, sei jedoch angeraten, die diversen Akronyme zu vergessen und sich auf die spezifischen Anforderungen ihres Unternehmens zu konzentrieren. IT-Entscheider sollten mit der NIST SP 800-53 und der CSA Cloud Controls Matrix beginnen und die Umsetzung dieser Regularien auf ihr Unternehmen zuschneiden, bevor sie beurteilen können, ob ein bestimmter CNAPP-Ansatz relevante Kontrollen bietet. Da der Markt zudem noch nicht ausgereift ist, sollten sie die Produkt-Roadmap eines Anbieters ebenso stark bewerten wie die bereits vorhandenen Funktionen.

Mit CNAPP die Kontrolle und Übersicht behalten

Das Risiko in der Software-Supply-Chain ist für Sicherheitsverantwortliche seit Jahren ein wichtiges Thema. Wenn ihr Unternehmen seine eigene Software entwickelt, sind IT-Führungskräfte für einen viel größeren Teil der Software-Lieferkette direkt verantwortlich, als wenn sie die Software von einem Anbieter beziehen. Es kommen neue Risiken ins Spiel, wie die Unmengen an bösartigen Images, die in öffentlichen Repositories lauern, oder ausgeklügelte Angriffe auf Cloud-Ressourcen. Immerhin weisen sieben bis acht Prozent der Container-Images eine hohe oder kritische Anfälligkeit auf.

Positiv ist, dass CISOs durch die Entwicklung mehr Kontrolle über die bereitgestellten Funktionen sowie über die Sicherheit des Bereitstellungsprozesses als auch des Endprodukts erhalten. Ein Sicherheitsprogramm mit effektiven Tools, die speziell für die Cloud entwickelt wurden, versetzt Unternehmen in eine bessere Position, um Risiken aufgrund einer sich schnell entwickelnden Bedrohungslandschaft zu minimieren. Wie bei den meisten IT-Herausforderungen bleibt die Aufrechterhaltung der Sicherheitslage weitgehend ein menschliches Problem, nicht nur ein Software-gebundenes. Wer eine Plattform zur Sicherung Cloud-nativer Applikationen nicht nur für die Lösung technischer Probleme, sondern stärker für die Erleichterung von Verwaltungsaufwand sowie für individuelle Designs und Cloud-Nutzungsmuster nutzt, schöpft den größtmöglichen Wert aus einer CNAP-Plattform.

Anna Belak

ist Director of Thought Leadership bei Sysdig