Sie sind hier: Startseite » Markt » Tipps und Hinweise

Was bedeutet eigentlich CNAPP?


Sicherheit von Cloud-Native-Infrastrukturen
Das Ziel von CNAPP ist es, eine vollständige End-to-End-Sicherheit für Cloud-Native-Umgebungen zu bieten


Von Arne Jacobsen, Regional Director EMEA bei Aqua Security

An Abkürzungen mangelt es in der IT-Industrie im Allgemeinen nicht. Ständig werden neue Technologien entwickelt, die dann einen passenden Namen brauchen. Nur selten gelingt das Branding einer neuen Technologie so passend, wie etwa bei der "Cloud". Und selbst wenn man weiß, was sich hinter den Buchstaben der immer länger werdenden Akronyme verbirgt, weiß man noch lange nicht, welches Problem mit der Technologie eigentlich gelöst wird. In der IT-Security mussten wir uns in letzter Zeit beispielsweise an CSPM (Cloud Security Posture Management) und CWPPs (Cloud Workload Protection Platforms) gewöhnen, die die Sicherheit von Cloud-Workloads verbessern sollen.

Doch wie es mit Technologien dieser Art in der schnelllebigen Cloud-Ära oft ist, stehen die neuesten Technologien bereits in den Startlöchern, um die alten abzulösen. Im Bereich IT-Security und Absicherung von Cloud-Workloads ist dies nicht anders – die aktuelle Technologie heißt hier CNAPP. CNAPP steht für Cloud Native Application Protection Platform. Dies ist unkompliziert und beschreibt im Prinzip auch schon direkt, was die Lösung bieten soll. Was einfach klingt, ist "unter der Haube" allerdings deutlich komplexer – und es macht deswegen Sinn, sich einmal genau anzusehen, was es mit der Technologie auf sich hat.

Warum ist CNAPP überhaupt notwendig?
Viele Organisationen bauen heute auf moderne Cloud-Native-Implementierungen. Dies zwingt Unternehmen jedoch dazu, DevSecOps, intelligente Automatisierung, CSPM und CWPPs zu kombinieren, um die Security ihrer Cloud-Native-Umgebungen effizient und schnell zu machen. In der Praxis ist dies jedoch alles andere als einfach. Anstatt die Entwicklung und die Laufzeit als getrennte Probleme zu behandeln – die mit einer Sammlung von separaten Tools gesichert und überprüft werden –, sollten Unternehmen Sicherheit und Compliance als ein Kontinuum über Entwicklung und Betrieb hinweg betrachten und versuchen, Tools zu konsolidieren, wo immer dies möglich ist.

Die Vorteile von CNAPP
Das Ziel von CNAPP ist es, eine vollständige End-to-End-Sicherheit für Cloud-Native-Umgebungen zu bieten. Anstatt verschiedene Einzellösungen zu verwenden, die nur bestimmte Sicherheitsprobleme lösen und manuell zusammengefügt werden müssen, können Unternehmen einen integrierten Plattformansatz verwenden. Daraus ergeben sich mehrere wichtige Vorteile: Durch die gemeinsame Nutzung des Kontexts zwischen Entwicklung und Produktion ist CNAPP in der Lage, einen vollständigen Überblick über das Anwendungsrisiko zu gewinnen, um Anwendungen über ihren gesamten Lebenszyklus hinweg konsistent zu sichern. CNAPP ist eine einheitliche Plattform, die die Fähigkeiten mehrerer bestehender Cloud-Sicherheitskategorien kombiniert, vor allem "Shift Left"-Artefakt-Scanning, Cloud Security Posture Management (CSPM) und Kubernetes Security Posture Management (KSPM), IaC-Scanning, Cloud Infrastructure Entitlements Management (CIEM) und Runtime Cloud Workload Protection Platform (CWPP).

Die Merkmale einer CNAPP-Lösung

"CN" steht für Cloud Native
Es mag offensichtlich klingen, aber Lösungen, die nicht für Cloud Native entwickelt wurden, können nicht als CNAPPs betrachtet werden. Die Realität ist, dass man sich in einer Cloud-Native-Umgebung nicht auf irgendeine alte EDR-, Host-basierte oder Firewall-Lösung verlassen kann. Aufgrund des verteilten Charakters nativer Cloud-Anwendungen werden ephemere Workloads dynamisch orchestriert, wodurch herkömmliche netzwerkbasierte Sicherheitstools schlichtweg irrelevant werden. Cloud-Native zu sein bedeutet, dass die Lösung verschiedene Arten von Cloud-Native-Workloads – wie Container, serverlose Funktionen und VMs – kennt und analysieren, verfolgen, überwachen und kontrollieren kann. Außerdem muss sie mit dem gesamten Stack der Cloud-Native-Infrastruktur zusammenarbeiten und eine Schnittstelle zu dieser bilden – Kubernetes, Infrastructure-as-Code(IaC)-Tools, mehrere öffentliche Cloud-Anbieter und mehr. Per Definition muss eine CNAPP selbst Cloud-Native sein.

"A" steht für Application
CNAPPs schützen Anwendungen. Zu diesem Zweck müssen CNAPPs den Anwendungskontext identifizieren und verstehen. Das bedeutet, dass das Artefakt während des gesamten Lebenszyklus der Anwendung verfolgt und Sicherheitskontrollen angewendet werden müssen, die das kontextbezogene Risiko berücksichtigen. In der Praxis reicht es nicht aus, nur festzustellen, dass "Container 4c01db0b339c ps ausgeführt hat". Man muss wissen, zu welcher Anwendung dieser Container gehört, aus welchem Image er stammt, ob die Ausführung von ps für diesen Container in der spezifischen Anwendung normal ist oder nicht und ob die Ausführung von ps in diesem Kontext legitim oder ein IoC (Indicator of Compromise) ist. Um diese Dinge zu wissen, muss eine Lösung in die CI/CD-Pipeline eingebettet sein und mit einer breiten Palette moderner DevOps-Tools integriert werden. Das Scannen von Artefakten in der Build-Phase und die Aufrechterhaltung ihrer Integrität vom Build bis zum Deployment sind entscheidend für den Anwendungskontext, was wiederum hilft, granulare Entscheidungen über ihre Bereitstellung zu treffen (z. B. zu verhindern, dass ungeprüfte Images in der Produktion laufen).

Das eine "P" steht für Protection
Es gibt einen Grund, warum hier "Protection" verwendet wird. CNAPPs sind nicht einfach Lösungen zur Sichtbarkeit, Überwachung oder Beobachtbarkeit. Einfach ausgedrückt bedeutet Protection, dass eine CNAPP in der Lage sein sollte, Angriffe zu stoppen, sobald sie geschehen. Selbst der solideste "Shift Left"-Schutz und die Härtung der Umgebung schützen nicht vor Zero-Day-Exploits oder Laufzeitangriffen mit ausgefeilten Umgehungstechniken. Prävention allein reicht nicht aus, und eine CNAPP sollte in der Lage sein, laufende Angriffe in Echtzeit zu erkennen und darauf zu reagieren. Die hohe Geschwindigkeit von DevOps und Code, der die CI/CD-Pipeline durchläuft, ist der Grund, warum herkömmliche, ältere Sicherheitstools nicht in der Lage sind, mit Cloud-Native-Anwendungen umzugehen. Leider bewegen sich Cloud-Native-Angriffe mit der gleichen Geschwindigkeit wie die Cloud-Native-Anwendungen selbst. Es reicht nicht aus, heute zu wissen, dass man gestern angegriffen wurde. Die Laufzeitkomponente ist der Bereich, in dem die meisten CNAPPs heute versagen und in dem sich die besten Lösungen durch granulare Laufzeitkontrollen auszeichnen, wie z. B. Drift Prevention.

Und das andere "P" steht für Plattform
Ja, es gibt zwei P in CNAPP. Aufgrund des Umfangs der von einer CNAPP geforderten Funktionen – sowohl über den gesamten Anwendungslebenszyklus hinweg als auch bei der Unterstützung verschiedener Arten von Workloads, Stacks und Cloud-Umgebungen – muss es sich um eine Plattform mit mehreren Integrationen handeln, die in mehrere Teams und Prozesse innerhalb des Unternehmens eingebunden ist. Eine Plattform muss ein einheitliches, konsistentes Erlebnis bieten. Viele bestehende Lösungen auf dem Markt sind entweder unvollständig und decken nur ein Teil des Puzzles ab (nur Laufzeit, nur Scannen, nur Infrastruktur) oder bestehen aus mehreren erworbenen Produkten, die nicht integriert sind und keine wirklich nahtlose Erfahrung bieten können. Darüber hinaus muss eine Plattform als SaaS oder "on-prem" verfügbar sein, um den Anforderungen stark regulierter Branchen wie des Finanz- und Gesundheitswesens gerecht zu werden.

Fazit: CNAPP - integrierte Plattform anstatt Einzellösungen
Eine Cloud Native Application Protection Platform (CNAPP) ist eine neue Kategorie von Sicherheitslösungen, die im Idealfall vollständige End-to-End-Sicherheit für Cloud-Native-Umgebungen bieten kann. Eine solche Plattform unterstützt bei Identifizierung, Bewertung, Priorisierung und Anpassung von Risiken in Cloud-Native-Applications, Infrastruktur und Konfigurationen. Organisationen können so eine integrierte Plattform anstatt verschiedener Einzellösungen verwenden, die nur bestimmte Sicherheitsprobleme lösen und manuell zusammengefügt werden müssen. Es gibt bereits zahlreiche Angebote mit einem breiten Leistungsspektrum auf dem Markt. Unternehmen sind gut beraten, die Lösungen verschiedener Anbieter darauf zu prüfen, ob sie alle Attribute einer echten CNAPP beinhalten, um ihre Cloud-Native-Umgebungen so gut wie möglich abzusichern.

Über Arne Jacobsen
Arne Jacobsen ist Regional Director EMEA bei Aqua Security. Der Diplom-Kaufmann verfügt über 20 Jahre Erfahrung in der IT- und Sicherheitsbranche und hatte im Verlauf seiner Karriere verschiedene Positionen im führenden Management bei von Security-Anbietern sprechen inne. Sein Schwerpunkt ist Cybersecurity und Vulnerability Management. Bevor er zu Aqua kam, war Jacobsen Sales Director EMEA bei IBM Resilient.
(Aqua Security: ra)

eingetragen: 11.07.22
Newsletterlauf: 10.08.22

Aqua Security: Kontakt und Steckbrief

Der Informationsanbieter hat seinen Kontakt leider noch nicht freigeschaltet.


Meldungen: Tipps und Hinweise

  • Datenqualität entscheidend

    Künstliche Intelligenz, kurz KI, gehört derzeit zu den meistdiskutierten Themen. Die Entwicklungen sind rasant, die Möglichkeiten scheinen fast unbegrenzt. Viele Unternehmen arbeiten deshalb schon mit KI oder sind aktuell dabei, Tools zu implementieren. "KI als Katalysator für Optimierung, Standardisierung und Digitalisierung wird von Unternehmen bereits vielfältig eingesetzt. Doch es fehlen in vielen Branchen, wie etwa im Retail-Bereich, noch Use Cases - es kann noch nicht alles mit KI-Tools gelöst werden. Vor der Implementierung gilt es in vielen Fällen deshalb noch zu prüfen, ob sich der Einsatz von KI in jedem Fall lohnt", sagt Andreas Mohr, SAP Senior Development Consultant bei retailsolutions.

  • Sicherheitsrisiken in der Cloud

    Es gibt gute Gründe, Daten und Dienste in eine Cloud-Umgebung zu verlagern: Flexibilität, Skalierbarkeit und Kosteneffizienz sprechen eindeutig für die Cloud. Es sind jedoch auch die Risiken zu bedenken und zu managen. Ein wichtiger Aspekt ist die Datensicherheit: Da die Daten in externen Rechenzentren gespeichert werden, sind sie potenziell Angriffen ausgesetzt - sensible Informationen können abgefangen oder manipuliert werden.

  • Was Unternehmen beachten müssen

    Künstliche Intelligenz gehört für immer mehr Unternehmen ganz selbstverständlich zum Geschäftsalltag dazu. Insbesondere die generative KI (GenAI) erlebt einen Boom, den sich viele so nicht vorstellen konnten. GenAI-Modelle sind jedoch enorm ressourcenhungrig, sodass sich Firmen Gedanken über die Infrastruktur machen müssen. NTT DATA, ein weltweit führender Anbieter von digitalen Business- und Technologie-Services, zeigt, warum die Cloud der Gamechanger für generative KI ist.

  • SAP mit umfassender Cloud-Strategie

    Für die digitale Transformation von Unternehmen setzt SAP auf eine umfassende Cloud-Strategie. Hier bietet SAP verschiedene Lösungen an. Neben der SAP Public Cloud, die sehr stark auf den SME-Markt zielt, bedient die Industry Cloud als Kombination aus Private Cloud und industriespezifischen Cloud-Lösungen eher den LE-Markt.

  • Warum steigende IT-Kosten das kleinere Übel sind

    Es gibt Zeiten, in denen sind CIOs wirklich nicht zu beneiden. Zum Beispiel dann, wenn sie der Unternehmensführung wieder einmal erklären müssen, warum erneut höhere Investitionen in die IT nötig sind. Eines der größten Paradoxe dabei: Kosten steigen auf dem Papier auch dann, wenn eigentlich aus Kostengründen modernisiert wird. Der Umstieg vom eigenen Server im Keller in die Cloud? Mehrkosten. Neue SaaS-Lösungen?

  • Optimierung von Java-Workloads in der Cloud

    Cloud-Infrastrukturen versprechen Skalierbarkeit, Effizienz und Kostenvorteile. Doch um Engpässe zu vermeiden, überprovisionieren viele Unternehmen ihre Cloud-Kapazitäten - und bezahlen so oftmals für Ressourcen, die sie gar nicht nutzen. Wie lässt sich das ändern? Ein zentraler Hebel ist die Optimierung von Java-Workloads in der Cloud. Cloud-Infrastrukturen bringen viele Vorteile, aber auch neue Komplexität und oft unerwartet hohe Kosten mit sich. Bei vielen Unternehmen nehmen Java-Umgebungen und -Anwendungen große Volumina in gebuchten Cloud-Kapazitäten ein, denn Java gehört noch immer zu den beliebtesten Programmiersprachen: Laut dem aktuellen State of Java Survey and Report 2025 von Azul geben 68 Prozent der Befragten an, dass über 50 Prozent ihrer Anwendungen mit Java entwickelt wurden oder auf einer JVM (Java Virtual Machine) laufen.

  • Wer Cloud sagt, muss Datensouveränität denken

    Die Cloud hat sich längst zu einem neuen IT-Standard entwickelt. Ihr Einsatz bringt allerdings neue Herausforderungen mit sich - insbesondere im Hinblick auf geopolitische Risiken und die Gefahr einseitiger Abhängigkeiten. Klar ist: Unternehmen, Behörden und Betreiber kritischer Infrastrukturen benötigen eine kompromisslose Datensouveränität. Materna Virtual Solution zeigt, welche zentralen Komponenten dabei entscheidend sind.

  • KI-Herausforderung: Mehr Daten, mehr Risiko

    Künstliche Intelligenz (KI) revolutioniert weiterhin die Geschäftswelt und hilft Unternehmen, Aufgaben zu automatisieren, Erkenntnisse zu gewinnen und Innovationen in großem Umfang voranzutreiben. Doch es bleiben Fragen offen, vor allem wenn es um die Art und Weise geht, wie KI-Lösungen Daten sicher verarbeiten und bewegen. Einem Bericht von McKinsey zufolge gehören Ungenauigkeiten in der KI sowie KI-Cybersecurity-Risiken zu den größten Sorgen von Mitarbeitern und Führungskräften.

  • Sichere Daten in der Sovereign Cloud

    Technologie steht im Mittelpunkt strategischer Ambitionen auf der ganzen Welt, aber ihr Erfolg hängt von mehr als nur ihren Fähigkeiten ab. Damit Dienste effektiv funktionieren, braucht es eine Vertrauensbasis, die den Erfolg dieser Technologie untermauert und eine verantwortungsvolle Speicherung der Daten, Anwendungen und Dienste gewährleistet.

  • Integration von Cloud-Infrastrukturen

    Cloud-Technologien werden zum Schlüsselfaktor für Wachstum und verbesserte Skalierbarkeit über das Kerngeschäft hinaus - auch bei Telekommunikationsanbietern (Telcos). Auch hier ist der Wandel zur Nutzung von Produkten und Dienstleistungen "On-Demand" im vollen Gange, sodass Telcos ihre Geschäftsmodelle weiterentwickeln und zunehmend als Managed-Service-Provider (MSPs) und Cloud-Service-Provider (CSPs) auftreten.

Zuverlässiger Schutz kritischer Daten Warum sich eine Cloud-Migration lohnt

Wir verwenden Cookies um unsere Website zu optimieren und Ihnen das bestmögliche Online-Erlebnis zu bieten. Mit dem Klick auf "Alle akzeptieren" erklären Sie sich damit einverstanden. Erweiterte Einstellungen