Gorodenkoff | shutterstock.com
Cloud Safety bleibt ein diffiziles Thema und die Instruments, mit denen sie sich gewährleisten lässt, werden zunehmend komplexer und schwieriger zu durchschauen – auch dank der ungebrochenen Liebe der Branche zu Akronymen. Mit CNAPP kommt nun ein weiteres hinzu.
CNAPP – Definition
Die Abkürzung steht für Cloud-Native Software Safety Platform – und kombiniert die Funktionen von vier separaten Cloud-Security-Werkzeugen:
- Cloud Infrastructure Entitlement Administration (CIEM), um sämtliche Zugriffskontrollmaßnahmen und Risikomanagement-Duties zu managen.
- Cloud Workload Safety Platform (CWPP), um Code in allen cloudbasierten Repositories abzusichern sowie Laufzeitschutz für die gesamte Entwicklungsumgebung und alle Code-Pipelines zu gewährleisten.
- Cloud Access Security Broker (CASB) für Authentifizierungs- und Encryption-Aufgaben.
- Cloud Security Posture Management (CSPM), das Risk Intelligence und Abhilfemaßnahmen kombiniert.
Über diese vier „klassischen“ Elemente hat sich CNAPP inzwischen auch auf andere Bereiche ausgeweitet. Zum Beispiel:
- API-, Skript-, Supply-Chain– sowie Infrastructure-as-Code (IaC)-Sicherheit,
- Container– und Serverless-Safety, sowie
- weitere Posture-Administration-Instruments, einschließlich Daten- und SaaS-Applikationen.
Aus Anwendersicht ist CNAPP damit sowohl schwer zu verstehen als auch diffizil zu evaluieren – und entsprechend schwer einzukaufen, wie Forrester-Chefanalyst Andras Cser in einem Blogbeitrag zum Thema nahelegt. Weil teilweise auch Safety-Optionen außerhalb der Cloud abgedeckt würden, sei jede CNAPP-Kaufentscheidung und -Implementierung auch eine Crew- oder abteilungsübergreifende Aufgabe, so der Analyst.
Anders ausgedrückt: Geht‘s um CNAPP, muss eine ganze Menge Software program abgestimmt, gemanagt, integriert und verstanden werden. Um Ihnen den Überblick zu erleichtern, haben wir die Particulars zu den wichtigsten Anbietern und Angeboten in diesem Kaufratgeber zusammengetragen.
Der CNAPP-Markt
Geprägt hat die Produktkategorie – beziehungsweise das Akronym – einmal mehr Gartner. Das Analystenhaus verwendete den Begriff CNAPP erstmals in seinem „Innovation Insight“-Report aus dem August 2021.
Der Schlüssel zum Verständnis dieser Produktkategorie liegt in den Integrationsherausforderungen für Unternehmensanwender: Im „State of Observability Report“ von VMware geben 57 Prozent der Befragten an, dass innerhalb einer typischen Cloud-Anwendung bis zu 50 verschiedene Technologien zum Einsatz kommen – die im Schnitt mit zehn Monitoring-Instruments gemanagt werden.
Und laut dem „Observability Report 2024“ von Dynatrace besteht eine typische Enterprise-Umgebung im Schnitt aus einem Dutzend unterschiedlichen Cloud-Plattformen, wobei regelmäßig ein Combine aus Personal-, Public- und Hybrid-Cloud-Strategien zur Anwendung kommt. Hinzu kommen dann noch verschiedene Instanzen virtueller Maschinen, Kubernetes-Container sowie Serverless- und Microservices-Instruments.
Diese erhebliche Integrationsbelastung könnte auch ein Grund dafür sein, dass der CNAPP-Markt im zweiten Quartal 2024 ein Gesamtvolumen von 700 Millionen Greenback erreicht hat und damit im Jahresvergleich um 42 Prozent gewachsen ist – wie die Analysten der Dell’Oro Group berichten.
CNAPP-Anbieter und ihre Angebote
Im Idealfall sollte eine CNAPP-Lösung:
- Fehlkonfigurationen reduzieren,
- das Safety-Niveau der Entwicklungspipeline optimieren, sowie
- effektiv automatisieren.
Die Anbieter verfolgen mit Blick auf CNAPP zwei unterschiedliche Ansätze: Entweder sie fokussieren die DevSecOps– oder die traditionelle IT-Safety-Perspektive. Ersteres hat einen stärkeren Fokus auf den Schutz der Applikationen selbst zur Folge (CIEM/CWPP), letzteres eine Ausweitung traditioneller Schutzmaßnahmen auf Netzwerkebene (CASB/CSPM). Bislang deckt kein CNAPP-Providing wirklich konsequent alle vier Bereiche ab.
Natürlich spielt künstliche Intelligenz (KI) auch in diesem Bereich zunehmend eine Rolle: Numerous CNAPP-Anbieter integrieren, beziehungsweise kombinieren KI-Agenten und agentenlose Lösungen in ihren Produkten, um ein umfassenderes Monitoring und eine möglichst breite Abdeckung und Scalability zu bieten.
Fokus: DevSecOps
Kind: Einheitliche Plattform mit verschiedenen Produkten;
Besondere Options/Integrationen: „(No-)Breach-Garantie“ bis zu einer Million Greenback;
Preisgefüge: kostenlose Trial-Model; ab 850 Greenback professional Monat;
CrowdStrike Falcon Cloud Security
Fokus: DevSecOps / IT-Safety
Kind: Einheitliche Plattform mit verschiedenen Produkten;
Besondere Options/Integrationen: Cloud Detection and Response (CDR), AppSec, Schwachstellenanalyse für Container-Photographs;
Preisgefüge: Abonnement-Preis richtet sich nach den gewählten Produkten;
Fokus: DevSecOps
Kind: Separate Produkte für Cloud, Internet und Provide Chain;
Besondere Options/Integrationen: Headliner Assault Insurance policies, Artifact Scanning, zentrale Analyse-Engine, Kubernetes-Help;
Preisgefüge: komplex und teuer; unterschiedliche Tarife für jedes Produkt;
Fokus: IT-Safety
Kind: Einheitliche Plattform mit verschiedenen Produkten;
Besondere Options/Integrationen: Verhaltensbasierte Schutzregeln, SOAR, AppSec, Scans für Construct- und Deployment-Pipelines;
Preisgefüge: kostenlose Probeversion; richtet sich nach der Nutzungsdauer sowie den in Anspruch genommenen vCPUs;
Fokus: IT-Safety
Kind: Einheitliche Plattform mit verschiedenen Produkten;
Besondere Options/Integrationen: Facet Scanning, Risikopriorisierung, AppSec-Pipelines, KI-Options;
Preisgefüge: orientiert sich an Workloads, Storage Buckets und Datenbank-Scans sowie den eingesetzten Sensoren;
Palo Alto Networks Cortex Cloud
Fokus: IT-Safety
Kind: Einheitliche Plattform mit verschiedenen Produkten;
Besondere Options/Integrationen: CDR, AppSec-Integration, Laufzeitschutz und DSPM, Help für IBM und Akamai Clouds geplant;
Preisgefüge: komplex und teuer; richtet sich nach den gewählten Modulen und abgesicherten Workloads;
Fokus: IT-Safety
Kind: Einheitliche Plattform;
Besondere Options/Integrationen: CDR, Container und IaC-Safety, SaaS Posture Administration, KI-Funktionen;
Preisgefüge: kostenlose Probeversion; Abo-Modell auf Workload-Foundation;
Fokus: DevSecOps
Kind: Einzelprodukt;
Besondere Options/Integrationen: „Subsequent Technology“ CDR, Risikopriorisierung, KI-Funktionen und-Analysen;
Preisgefüge: Festpreis professional Host Mannequin; ab circa 500 Greenback professional Monat;
Fokus: IT-Safety
Kind: Standalone-Lösung oder als Bestandteil der Publicity-Administration-Plattform Tenable One;
Besondere Options/Integrationen: Publicity Administration, DSPM, KI Safety, Kubernetes- und IaC-Help;
Preisgefüge: kostenlose Probeversion; komplexes Preismodell, das sich an Nodes oder Workloads ausrichten lässt;
Fokus: DevSecOps
Kind: Einzelprodukt;
Besondere Options/Integrationen: fokussiert in erster Linie auf Container- und Kubernetes-Safety;
Preisgefüge: kostenlose Open-Supply-Model; kommerzielle Optionen mit Abo-Abrechnungsmodell oder professional Node-Stunde;
Fokus: IT-Safety
Kind: Einheitliche Plattform;
Besondere Options/Integrationen: XDR, AppSec, DSPM, KI- und ML-Funktionen;
Preisgefüge: various Optionen; ab circa 5.000 Greenback professional Jahr (200 Cloud Property);
Fokus: IT-Safety
Kind: Einheitliche Plattform mit verschiedenen Produkten;
Besondere Options/Integrationen: Risikopriorisierung mit Graph-basierten Visualisierungen und Analysen von Code zu Cloud zu Runtime, KI-Funktionen, Container- und Kubernetes-Help;
Preisgefüge: verschiedene Preispläne, die sich nach den Workloads richten;
5 Fragen vor dem CNAPP-Funding
Bevor Sie sich für einen dieser CNAPP-Anbieter entscheiden, sollten Sie sich folgende Fragen stellen:
- Welche Cloud-Artefakte lassen sich mit der gewählten Lösung scannen? Einige Produkte (Lacework) fokussieren auf die drei großen IaaS-Anbieter, andere (Tigera) unterstützen nur die Kubernetes-Dienste der Hyperscaler. Wieder andere (Sysdig) nehmen vor allem Container und die verschiedenen Linux-Server, auf denen diese laufen, in den Fokus. Vor allem kommt es jedoch darauf an, die Artefakte kontinuierlich und (nahezu) in Echtzeit überwachen zu können.
- Wie werden Sicherheitsvorfälle gemeldet? Gibt es separate Zugriffsregeln, damit sich verschiedene Mitarbeiter auf bestimmte Bereiche konzentrieren können? Gibt es separate oder kombinierte, vordefinierte Sicherheitsrichtlinien, um Daten mit und ohne Agenten zu erfassen? Wie aussagekräftig sind die Dashboards und die Visualisierungen, die diese liefern?
- Inwieweit werden die vier Administration-Instrument-Bereiche abgedeckt? Einige Angebote bieten CWPP- und CSPM-Elemente, müssen aber, etwa für Kubernetes-Help, erweitert werden.
- Welche DevOps-Frameworks werden unterstützt? Wie sieht es mit Blick auf Open-Supply-Repositories aus?
- Wie viel kostet die Lösung konkret? Nur wenige CNAPP-Anbieter bieten eine wirklich transparente Preisgestaltung. Insbesondere bei komplexen Preismodellen (Knowledge Theorem, Qualys, Orca) besteht deshalb Klärungsbedarf.
(fm)
Sie wollen weitere interessante Beiträge rund um das Thema IT-Sicherheit lesen? Unser kostenloser Newsletter liefert Ihnen alles, was Sicherheitsentscheider und -experten wissen sollten, direkt in Ihre Inbox.
