云原生應用保護平臺 (CNAPP) 是一種云原生安全模型，將云安全態勢管理 (CSPM)、云服務網絡安全 (CSNS) 和云工作負載保護平臺 (CWPP) 包含在一個整體平臺中。CNAPP 最初由 Gartner 定義，強調企業需要關注云原生安全解決方案，這些解決方案為應用程序安全提供完整的生命周期方法，而不是拼湊的工具。

云原生應用程序保護平臺 (CNAPP) 模型的目的

Gartner 發布了云原生應用程序保護平臺創新洞察報告，使 CNAPP 成為流行的安全流行語。然而，CNAPP 不僅僅是一種炒作的新安全工具。CNAPP 是一個平臺，旨在為具有云原生工作負載的現代企業用單一的整體安全解決方案取代多個獨立工具。

具體來說，云原生應用程序保護平臺模型的存在是因為 Gartner 發現企業需要整合工具和安全平臺，并將安全性和合規性視為跨運營和安全團隊的連續統一體。從這個角度來看，CNAPP 是 DevSecOps 和“左移”安全的合乎邏輯的演變。

為什么擁有 CNAPP 很重要？

多個脫節的解決方案本質上在可見性和集成復雜性方面存在差距。這意味著DevSecOps 團隊需要做更多的工作，并降低跨企業工作負載的可觀察性。通過使用 CNAPP，企業可以解決這些問題并改善其整體安全態勢。

具體而言，CNAPP 方法具有以下優勢：

• “云原生”安全性：為具有明確參數的“城堡和護城河”網絡設計的傳統安全解決方案對于具有云原生工作負載的現代企業來說并不理想。通過與 CI\CD 管道集成并跨公有云和私有云以及本地提供保護，CNAPP 在構建時考慮了現代“云原生”基礎設施——包括容器和無服務器安全性。
• 提高可見性：有許多用于云原生工作負載的安全掃描、監控和可觀察性工具。然而，讓 CNAPP 與眾不同的是能夠將信息上下文化并具有跨企業應用程序基礎架構的端到端可見性。例如，通過端到端的可見性和關于配置、技術堆棧和身份的詳細信息，CNAPP 解決方案可以確定對企業構成最大風險的警報的優先級。
• 更嚴格的控制：機密、云工作負載、容器或Kubernetes (K8s) 集群的錯誤配置是企業應用程序面臨的一些最常見風險。CNAPP 平臺使企業能夠主動掃描、檢測并快速修復由于錯誤配置導致的安全和合規風險。

CNAPP的關鍵組件

總體而言，CNAPP 有 3 個關鍵組成部分：

• 云安全態勢管理 (CSPM)
• 云服務網絡安全 (CSNS)
• 云工作負載保護平臺 (CWPP)

讓我們仔細看看每一個以及 CNAPP 如何將它們結合在一起。

CSPM：可視化和安全評估

云安全態勢管理 (CSPM)使企業能夠使用安全評估和自動合規性監控來自動檢測和修復安全風險。CSPM 還能夠檢測可能導致數據泄露的錯誤配置。此外，CSPM 通過幫助企業跨 IaaS、SaaS 和 PaaS 平臺對資產進行分類和清點，提供深度云可見性。

CSNS：云原生網絡的安全性

云服務網絡安全 (CSNS)——雖然并不總是被引用為 CNAPP 的一部分——但它是整體云原生安全和真正的 CNAPP 解決方案的重要方面。CSNS 提供專為云原生工作負載常見的動態網絡邊界設計的云網絡安全功能。CSNS 提供精細的分段并保護南北和東西流量。CSNS 函數的常見示例包括：

• 下一代防火墻 (NGFW)
• 負載均衡器
• 拒絕服務 (DoS) 保護
• Web 應用程序和 API 保護 (WAAP)
• SSL/TLS 檢查

CWPP：針對工作負載的現代威脅防護

云工作負載保護平臺 (CWPP)解決方案負責保護部署在公有云、私有云和混合云中的工作負載。CWPP 使企業能夠在應用程序開發生命周期的早期——并在整個過程中——將安全性轉移到左側并集成安全解決方案。此類解決方案首先發現企業云和本地基礎架構中的工作負載。然后，他們掃描它們以檢測安全問題并提供解決漏洞的選項。此外，CWPP 還為工作負載提供運行時保護、網絡分段和惡意軟件檢測等安全功能。

集成使 CNAPP 與眾不同

雖然存在許多云原生安全工具，但 CNAPP 的獨特之處在于它集成了跨所有企業工作負載的端到端云原生安全性。例如，這里只是 CNAPP 平臺可能提供的一些不同的安全功能，從“代碼”到跨 CI\CD 管道的“部署”：

• 代碼和提交：基礎架構即代碼掃描（CSPM 功能）和第三方庫掃描（CWPP 功能）
• 構建：容器鏡像保證（CWPP）
• 部署及其他：Kubernetes 運行時保證和虛擬機保護 (CWPP)、狀態管理和實體行為分析 (CSPM)，以及 API 保護和自動微分段(CSNS)

在一個整體平臺中執行所有這些功能可以消除 DevSecOps 流程中的摩擦，實現對上下文的洞察，并改善整體企業安全態勢。