クラウドネイティブのアプリケーション開発は、特定の仮定を多かれ少なかれ事実としてとらえることができるところまで成熟しました。 初期の認識のXNUMXつは、クラウド環境は本質的に多様で、異種であり、分散しているということでした。 これらの動的で複雑な環境の管理を担当する専門家にとって、自然な対応は、向きを変えて一貫性と均一性を課すことでした。 論理は、特定の要件のセットに適したポイント製品の大規模なセットを調整する場合、これらの環境でのリスクの管理がより困難になるということです。
この一連の推論が、セキュリティコミュニティの先見の明のあるメンバーが、当初から統合されたクラウドネイティブセキュリティプラットフォームに焦点を合わせてきた理由です。 最近の導入で クラウドネイティブアプリケーション保護プラットフォーム(CNAPP) ガートナーのカテゴリーでは、このトレンドがついに主流のアプローチになりつつあります。
クラウドネイティブアプリケーション保護プラットフォーム(CNAPP)は、クラウドセキュリティポスチャ管理(CSPM)、クラウドワークロード保護プラットフォーム(CWPP)、クラウドインフラストラクチャエンタイトルメント管理(CIEM)、およびCI / CDセキュリティの機能を単一のシームレスなソリューションに組み合わせて、クラウドを保護します-アプリケーションのライフサイクル全体にわたるネイティブアプリケーション。 これらの統合された機能により、DevOps、クラウドインフラストラクチャ、およびセキュリティチームは、より効果的かつ効率的にクラウドセキュリティの成果をより成功させることができます。
CNAPPの利点
多くの組織にとっての問題は、クラウドネイティブセキュリティへの対応がプロアクティブではなくリアクティブであるということです。つまり、クラウドセキュリティをより包括的に扱うのではなく、問題をXNUMX回限りの問題として扱います。 彼らは、発生する問題ごとに個別のソリューションまたはツールを採用しており、最終的にはパッチワークアプローチになり、次のようなさらに多くの問題が発生します。
- ポイントソリューションはより多くの仕事を生み出します: 増え続けるツールのスタックを管理することは、最終的には独自のワークストリームになります。 また、ほとんどのソリューションは、さらに多くの作業を行わないと相互に通信できないため、チームの可視性と保護は制限されます。
- 一貫した保護を適用することはできません。 数十のセキュリティツールが、アプリケーションのライフサイクルの単一のポイントでチェックを実行できます。 しかし、開発、展開、実行時の一貫した制御がなければ、セキュリティとリスクのチームは、異なる脆弱性と設定ミスの結果を比較することに固執しています。
- 分離は死角を作成します: ほとんどのクラウドセキュリティチームは、クラウドサービス、ワークロードまたはアプリケーション、ネットワーク、データ、およびアクセス許可全体の脅威を分析する必要があります。 単一のツールがないと、ソリューション間のギャップに死角が生じます。
これらすべてに対して、CNAPPには多くの明確な利点があります。
分散型の問題には統合ソリューションが必要
包括的で統合されたセキュリティプラットフォームの主な推進力のXNUMXつは、クラウドセキュリティでは、機能領域全体で詳細な職務と重複する職務の両方の困難な組み合わせをナビゲートするために複数のチームが必要になることです。
-インフラストラクチャー
チームは、責任の共有モデルに関して、責任の始まりと終わりを理解する必要があります— データは一貫して示しています 組織は、CSPが組織に代わって提供する保護とアラートを過大評価する傾向があります。 さらに、CSPMのネットワーク、ストレージ、およびコンピューティングインスタンスからの重複するニーズがありますが、これらの各環境には、CIEMに由来するアクセスとアクセス許可の制御も必要です。
- ワークロードとアプリケーション
同様に、そのインフラストラクチャ上のワークロードとアプリケーションには、脆弱性管理、コンプライアンスモニタリング、ポリシー施行、およびランタイム保護が必要です。 これらは伝統的に、セキュリティチームまたはDevOpsチームのいずれかが保護を確実に実施することが期待される領域です。 ただし、これらのツールは、CI / CDパイプラインからのデータと統合し、WebアプリケーションおよびAPIのランタイムに拡張する必要があります。
- ネットワーク
これらのアプリケーションには、信頼性が高く安全な接続を提供するネットワークが必要です。 ネットワーク通信を保護するには、他のワークロードにアクセスするワークロードの最小特権アクセスとインライン脅威防止が必要です。
- IDと権限
これらすべての領域の根底にあるのは、クラウドインフラストラクチャとサービスの資格とアクセス許可で、分散アクセスの必要性とリスク管理のバランスを取り、他のすべての取り組みを損なうような過度または古いアクセス許可がないようにする必要があります。
- コーディングと開発
開発者とDevOpsチームは、高品質のコードを提供する責任があります。これは、ほとんどの場合、安全なコードも意味します。 ただし、DevOpsが安全なコードを作成するために必要な洞察を提供するのはセキュリティチーム次第です。 セキュリティガードレールをできるだけ早く注入するには、アプリケーションのライフサイクル全体を横断できるまとまりのあるツールが必要です。
各チームは、これらの保護が一貫して実施されるように緊密に連携する必要があります。CNAPPは、現在それらを分離しているサイロを解消するのに役立つ統合ツールです。
CNAPPの詳細な調査
ガートナーは最近、「2023年までに、すべてのエンタープライズワークロードの70%がクラウドインフラストラクチャとプラットフォームサービスに導入され、40年の2020%から増加する」と述べました。 これらのクラウド環境を保護する際の課題は、クラウド自体の性質に起因します。 クラウド内のワークロードとリソースは広く分散されており、非常に短命です。 XNUMXつの新しいクラウドアカウントがワークロード、アプリケーション、およびデータに接続し、各ポイントが潜在的な攻撃ベクトルを示します。
クラウドネイティブアプリケーションとインフラストラクチャを保護するために、組織はより機敏で統合されるように適応する必要があります。 開発から始まる脅威にプロアクティブに対処し、開発ライフサイクル全体からランタイム環境に至るまで継続的なセキュリティを提供できる必要があります。 この俊敏性を実現するには、クラウドネイティブ環境向けに設計された新しいツールが必要です。このツールは、アプリケーション開発のライフサイクル全体にまたがり、適切なタイミングで重要なセキュリティ情報を提供できます。
CNAPPのニーズを浮き彫りにする業界トレンドの詳細については、 2021Gartner®InnovationInsightforCloud-Native Application Protection Platforms.
著者について
Palo AltoNetworksのPrismaCloud製品担当シニアバイスプレジデントであるAnkurShahは、革新的なセキュリティ、コラボレーション、仮想化テクノロジーを市場に投入するために16年以上を費やしてきました。 彼はRedLockの買収を通じてパロアルトネットワークスに加わり、パブリッククラウドを保護するための製品管理を実行しました。 現在の職務では、パブリッククラウドセキュリティの製品戦略、ロードマップ、および実行を推進する責任があります。
