網(wǎng)絡(luò)安全的未來在云端，這幾乎已經(jīng)是不爭的事實(shí)。

伴隨越來越多的行業(yè)、領(lǐng)域企業(yè)開始將部分、乃至核心業(yè)務(wù)搬上云端，因云而生的應(yīng)用、技術(shù)也得到越來越廣泛、成熟的落地，云原生基礎(chǔ)設(shè)施不斷完善的同時，也迫切需要一套新的云安全運(yùn)維和治理手段，如CASB（云訪問安全代理）、CSPM（云安全配置管理）、CWPP（云工作負(fù)載安全防護(hù)平臺）、SASE（安全訪問服務(wù)邊緣模型）等新興云安全技術(shù)已經(jīng)出現(xiàn)。

據(jù)雷鋒網(wǎng)了解，“名詞定義磚家”Gartner在2020年定義了一個新技術(shù)應(yīng)用CNAPP（Cloud-Native Application Protection Platform），即云原生應(yīng)用保護(hù)平臺，通過融合CSPM和CWPP的功能，可掃描開發(fā)中的工作負(fù)載和配置如虛擬機(jī)、容器、無服務(wù)器等，以起到運(yùn)行時保護(hù)作用。其優(yōu)勢在于，具備強(qiáng)大自動化和編排能力，通過實(shí)現(xiàn)標(biāo)準(zhǔn)化和更深層次的防御，以提高安全性；以及允許更頻繁地訪問工作負(fù)載。

下面就來看看CNAPP誕生的歷史背景和價(jià)值。

傳統(tǒng)意義上來講，云安全大致有三個階段組成：一是CASB（Cloud Access Security Broker ），即用戶和應(yīng)用程序之間的檢查點(diǎn)；CSPM（Cloud Security Posture Management），即在測試和構(gòu)建階段防止配置錯誤并支持合規(guī)性；CWP（Cloud Workload Protection），即涵蓋了應(yīng)用程序的部署和操作。

但是，正是由于這些解決方案往往來自不同供應(yīng)商（有時同一供應(yīng)商也會出現(xiàn)類似情況）的獨(dú)立產(chǎn)品集成，會導(dǎo)致企業(yè)客戶的IT團(tuán)隊(duì)犯難，這導(dǎo)致團(tuán)隊(duì)根本無法協(xié)同工作。這導(dǎo)致在云端往往缺乏端到端的可觀測性，給網(wǎng)絡(luò)攻擊提供了利用的盲點(diǎn)。

為了應(yīng)對云原生帶來的種種安全挑戰(zhàn)，越來越多的組織正轉(zhuǎn)向新的安全技術(shù)棧，能夠?qū)SPM和CWP的優(yōu)點(diǎn)融為一體。CNAPP雖然不算一個新穎的命題，但它正改變游戲規(guī)則。

對于云安全市場而言，CNAPP為從構(gòu)建到運(yùn)行時間的整個生命周期內(nèi)云基礎(chǔ)架構(gòu)提供了最佳保護(hù)等級。

這種整合帶來了諸多好處：由于個人不再需要關(guān)聯(lián)來自不同分析平臺的信息，因此技能集變得更容易，它減少了人為錯誤，提供了有關(guān)安全威脅的更多環(huán)境，并減少了在多個云安全產(chǎn)品上的成本。這等于是在提供了更安全的云環(huán)境的同時，減少了對已經(jīng)過度緊張的IT團(tuán)隊(duì)的需求。

對于客戶而言，CNAPP解決方案有以下幾點(diǎn)優(yōu)勢：一是將CSPM和CWP集成到一個100%云原生管理控制臺中；二是它結(jié)合了機(jī)器學(xué)習(xí)、深度學(xué)習(xí)、攻擊指示器（IOA）、行為監(jiān)測與分析的功能，并結(jié)合了威脅獵人，以提供持續(xù)的運(yùn)行時保護(hù)；三是從端點(diǎn)到云的端到端可觀測性；四是能夠?yàn)楸镜責(zé)o服務(wù)器容器提供相同等級的保護(hù)。

針對云原生應(yīng)用程序的體系結(jié)構(gòu)都需要采用自己獨(dú)特的安全性手段來實(shí)現(xiàn)對客戶端的策略和控制。但隨著云部署方式的迅速采用，許多組織仍在以來過時側(cè)策略來保護(hù)本地托管的網(wǎng)絡(luò)和相關(guān)資產(chǎn)。

保護(hù)云原生環(huán)境的關(guān)鍵挑戰(zhàn)在于兩點(diǎn)：一是圍繞影子IT（總IT部門以外的部門部署的系統(tǒng)）的使用，由于組織在制定全面的安全策略之前采用和部署的解決方案而造成的“混亂”增加了問題復(fù)雜度；二是缺乏容器運(yùn)行時保護(hù)。

如同買保險(xiǎn)一樣，安全問題同樣也是防患于未然。正因如此，云原生的安全性往往從開發(fā)的一刻就已經(jīng)開始了。這種策略的優(yōu)勢在于，不僅可以降低網(wǎng)絡(luò)風(fēng)險(xiǎn)，還能夠降低成本。據(jù)IBM系統(tǒng)科學(xué)研究所的說法，在設(shè)計(jì)極端解決安全問題的成本比實(shí)施過程少6倍，在測試過程中少15倍。

CI/CD作為DevOps的一個重要方面，在生產(chǎn)中得到了廣泛應(yīng)用。而安全團(tuán)隊(duì)?wèi)?yīng)該將安全流程和工具嵌入到CI/CD中。這一點(diǎn)至關(guān)重要。

值得一提的是，知名安全解決方案供應(yīng)商McAfee不久前就推出了這樣一款平臺MVISION CNAPP。目前來看，經(jīng)過整合后的McAfee MVISION已經(jīng)具備了比較完整的云安全能力。

Gartner所展望的正一步步變成現(xiàn)實(shí)。

（雷鋒網(wǎng)雷鋒網(wǎng)雷鋒網(wǎng)）

雷峰網(wǎng)原創(chuàng)文章，未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見轉(zhuǎn)載須知。