Sie sind hier: Startseite » Markt » Tipps und Hinweise

Was bedeutet eigentlich CNAPP?


Sicherheit von Cloud-Native-Infrastrukturen
Das Ziel von CNAPP ist es, eine vollständige End-to-End-Sicherheit für Cloud-Native-Umgebungen zu bieten



Von Arne Jacobsen, Regional Director EMEA bei Aqua Security

An Abkürzungen mangelt es in der IT-Industrie im Allgemeinen nicht. Ständig werden neue Technologien entwickelt, die dann einen passenden Namen brauchen. Nur selten gelingt das Branding einer neuen Technologie so passend, wie etwa bei der "Cloud". Und selbst wenn man weiß, was sich hinter den Buchstaben der immer länger werdenden Akronyme verbirgt, weiß man noch lange nicht, welches Problem mit der Technologie eigentlich gelöst wird. In der IT-Security mussten wir uns in letzter Zeit beispielsweise an CSPM (Cloud Security Posture Management) und CWPPs (Cloud Workload Protection Platforms) gewöhnen, die die Sicherheit von Cloud-Workloads verbessern sollen.

Doch wie es mit Technologien dieser Art in der schnelllebigen Cloud-Ära oft ist, stehen die neuesten Technologien bereits in den Startlöchern, um die alten abzulösen. Im Bereich IT-Security und Absicherung von Cloud-Workloads ist dies nicht anders – die aktuelle Technologie heißt hier CNAPP. CNAPP steht für Cloud Native Application Protection Platform. Dies ist unkompliziert und beschreibt im Prinzip auch schon direkt, was die Lösung bieten soll. Was einfach klingt, ist "unter der Haube" allerdings deutlich komplexer – und es macht deswegen Sinn, sich einmal genau anzusehen, was es mit der Technologie auf sich hat.

Warum ist CNAPP überhaupt notwendig?
Viele Organisationen bauen heute auf moderne Cloud-Native-Implementierungen. Dies zwingt Unternehmen jedoch dazu, DevSecOps, intelligente Automatisierung, CSPM und CWPPs zu kombinieren, um die Security ihrer Cloud-Native-Umgebungen effizient und schnell zu machen. In der Praxis ist dies jedoch alles andere als einfach. Anstatt die Entwicklung und die Laufzeit als getrennte Probleme zu behandeln – die mit einer Sammlung von separaten Tools gesichert und überprüft werden –, sollten Unternehmen Sicherheit und Compliance als ein Kontinuum über Entwicklung und Betrieb hinweg betrachten und versuchen, Tools zu konsolidieren, wo immer dies möglich ist.

Die Vorteile von CNAPP
Das Ziel von CNAPP ist es, eine vollständige End-to-End-Sicherheit für Cloud-Native-Umgebungen zu bieten. Anstatt verschiedene Einzellösungen zu verwenden, die nur bestimmte Sicherheitsprobleme lösen und manuell zusammengefügt werden müssen, können Unternehmen einen integrierten Plattformansatz verwenden. Daraus ergeben sich mehrere wichtige Vorteile: Durch die gemeinsame Nutzung des Kontexts zwischen Entwicklung und Produktion ist CNAPP in der Lage, einen vollständigen Überblick über das Anwendungsrisiko zu gewinnen, um Anwendungen über ihren gesamten Lebenszyklus hinweg konsistent zu sichern. CNAPP ist eine einheitliche Plattform, die die Fähigkeiten mehrerer bestehender Cloud-Sicherheitskategorien kombiniert, vor allem "Shift Left"-Artefakt-Scanning, Cloud Security Posture Management (CSPM) und Kubernetes Security Posture Management (KSPM), IaC-Scanning, Cloud Infrastructure Entitlements Management (CIEM) und Runtime Cloud Workload Protection Platform (CWPP).

Die Merkmale einer CNAPP-Lösung

"CN" steht für Cloud Native
Es mag offensichtlich klingen, aber Lösungen, die nicht für Cloud Native entwickelt wurden, können nicht als CNAPPs betrachtet werden. Die Realität ist, dass man sich in einer Cloud-Native-Umgebung nicht auf irgendeine alte EDR-, Host-basierte oder Firewall-Lösung verlassen kann. Aufgrund des verteilten Charakters nativer Cloud-Anwendungen werden ephemere Workloads dynamisch orchestriert, wodurch herkömmliche netzwerkbasierte Sicherheitstools schlichtweg irrelevant werden. Cloud-Native zu sein bedeutet, dass die Lösung verschiedene Arten von Cloud-Native-Workloads – wie Container, serverlose Funktionen und VMs – kennt und analysieren, verfolgen, überwachen und kontrollieren kann. Außerdem muss sie mit dem gesamten Stack der Cloud-Native-Infrastruktur zusammenarbeiten und eine Schnittstelle zu dieser bilden – Kubernetes, Infrastructure-as-Code(IaC)-Tools, mehrere öffentliche Cloud-Anbieter und mehr. Per Definition muss eine CNAPP selbst Cloud-Native sein.

"A" steht für Application
CNAPPs schützen Anwendungen. Zu diesem Zweck müssen CNAPPs den Anwendungskontext identifizieren und verstehen. Das bedeutet, dass das Artefakt während des gesamten Lebenszyklus der Anwendung verfolgt und Sicherheitskontrollen angewendet werden müssen, die das kontextbezogene Risiko berücksichtigen. In der Praxis reicht es nicht aus, nur festzustellen, dass "Container 4c01db0b339c ps ausgeführt hat". Man muss wissen, zu welcher Anwendung dieser Container gehört, aus welchem Image er stammt, ob die Ausführung von ps für diesen Container in der spezifischen Anwendung normal ist oder nicht und ob die Ausführung von ps in diesem Kontext legitim oder ein IoC (Indicator of Compromise) ist. Um diese Dinge zu wissen, muss eine Lösung in die CI/CD-Pipeline eingebettet sein und mit einer breiten Palette moderner DevOps-Tools integriert werden. Das Scannen von Artefakten in der Build-Phase und die Aufrechterhaltung ihrer Integrität vom Build bis zum Deployment sind entscheidend für den Anwendungskontext, was wiederum hilft, granulare Entscheidungen über ihre Bereitstellung zu treffen (z. B. zu verhindern, dass ungeprüfte Images in der Produktion laufen).

Das eine "P" steht für Protection
Es gibt einen Grund, warum hier "Protection" verwendet wird. CNAPPs sind nicht einfach Lösungen zur Sichtbarkeit, Überwachung oder Beobachtbarkeit. Einfach ausgedrückt bedeutet Protection, dass eine CNAPP in der Lage sein sollte, Angriffe zu stoppen, sobald sie geschehen. Selbst der solideste "Shift Left"-Schutz und die Härtung der Umgebung schützen nicht vor Zero-Day-Exploits oder Laufzeitangriffen mit ausgefeilten Umgehungstechniken. Prävention allein reicht nicht aus, und eine CNAPP sollte in der Lage sein, laufende Angriffe in Echtzeit zu erkennen und darauf zu reagieren. Die hohe Geschwindigkeit von DevOps und Code, der die CI/CD-Pipeline durchläuft, ist der Grund, warum herkömmliche, ältere Sicherheitstools nicht in der Lage sind, mit Cloud-Native-Anwendungen umzugehen. Leider bewegen sich Cloud-Native-Angriffe mit der gleichen Geschwindigkeit wie die Cloud-Native-Anwendungen selbst. Es reicht nicht aus, heute zu wissen, dass man gestern angegriffen wurde. Die Laufzeitkomponente ist der Bereich, in dem die meisten CNAPPs heute versagen und in dem sich die besten Lösungen durch granulare Laufzeitkontrollen auszeichnen, wie z. B. Drift Prevention.

Und das andere "P" steht für Plattform
Ja, es gibt zwei P in CNAPP. Aufgrund des Umfangs der von einer CNAPP geforderten Funktionen – sowohl über den gesamten Anwendungslebenszyklus hinweg als auch bei der Unterstützung verschiedener Arten von Workloads, Stacks und Cloud-Umgebungen – muss es sich um eine Plattform mit mehreren Integrationen handeln, die in mehrere Teams und Prozesse innerhalb des Unternehmens eingebunden ist. Eine Plattform muss ein einheitliches, konsistentes Erlebnis bieten. Viele bestehende Lösungen auf dem Markt sind entweder unvollständig und decken nur ein Teil des Puzzles ab (nur Laufzeit, nur Scannen, nur Infrastruktur) oder bestehen aus mehreren erworbenen Produkten, die nicht integriert sind und keine wirklich nahtlose Erfahrung bieten können. Darüber hinaus muss eine Plattform als SaaS oder "on-prem" verfügbar sein, um den Anforderungen stark regulierter Branchen wie des Finanz- und Gesundheitswesens gerecht zu werden.

Fazit: CNAPP - integrierte Plattform anstatt Einzellösungen
Eine Cloud Native Application Protection Platform (CNAPP) ist eine neue Kategorie von Sicherheitslösungen, die im Idealfall vollständige End-to-End-Sicherheit für Cloud-Native-Umgebungen bieten kann. Eine solche Plattform unterstützt bei Identifizierung, Bewertung, Priorisierung und Anpassung von Risiken in Cloud-Native-Applications, Infrastruktur und Konfigurationen. Organisationen können so eine integrierte Plattform anstatt verschiedener Einzellösungen verwenden, die nur bestimmte Sicherheitsprobleme lösen und manuell zusammengefügt werden müssen. Es gibt bereits zahlreiche Angebote mit einem breiten Leistungsspektrum auf dem Markt. Unternehmen sind gut beraten, die Lösungen verschiedener Anbieter darauf zu prüfen, ob sie alle Attribute einer echten CNAPP beinhalten, um ihre Cloud-Native-Umgebungen so gut wie möglich abzusichern.

Über Arne Jacobsen
Arne Jacobsen ist Regional Director EMEA bei Aqua Security. Der Diplom-Kaufmann verfügt über 20 Jahre Erfahrung in der IT- und Sicherheitsbranche und hatte im Verlauf seiner Karriere verschiedene Positionen im führenden Management bei von Security-Anbietern sprechen inne. Sein Schwerpunkt ist Cybersecurity und Vulnerability Management. Bevor er zu Aqua kam, war Jacobsen Sales Director EMEA bei IBM Resilient.
(Aqua Security: ra)

eingetragen: 11.07.22
Newsletterlauf: 10.08.22

Aqua Security: Kontakt und Steckbrief

Der Informationsanbieter hat seinen Kontakt leider noch nicht freigeschaltet.


Meldungen: Tipps und Hinweise

  • Mythos der maßgeschneiderten Entwicklung

    Der gezielte und flexible Einsatz von Technologie ist ein zentraler Erfolgsfaktor für Unternehmen. Digitalisierung ist für viele Unternehmen weiterhin eine Priorität, der sie eine substantielle Menge an Ausgaben einräumen: Einem Bericht des IDC zufolge, werden die weltweiten Investitionen in IT-Transformationsinitiativen voraussichtlich 4 Billionen US-Dollar bis 2027 übersteigen. Jedoch erreichen weniger als die Hälfte (48?Prozent) aller Digitalisierungsprojekte die angestrebten Ziele. Laut McKinsey scheitern sogar sieben von zehn Unternehmenstransformationen.

  • Migration in lokale Cloud-Rechenzentren

    Digitale Souveränität in und mit der Cloud - dafür sind Unternehmen gefordert, die entscheidenden Weichen zu stellen. Aus der Projekterfahrung von Yorizon, Vorreiterin für Open Source Edge-Cloud-Services, sind es fünf entscheidende Faktoren, die eine unabhängige und zukunftsfähige Cloud-Strategie sicherstellen.

  • Agentische KI im Retail-Bereich

    KI revolutioniert wie wir Ideen und Produkte entwickeln, Handel treiben und Informationen sammeln. Die menschliche Genialität bekommt dabei einen Kompagnon: die KI. Doch obwohl die generative KI häufig den größten Hype erzeugt, wird es die agentische KI sein, die Händlern den größten Nutzen bringt.

  • IT-Resilienz als Überlebensfaktor

    Angesichts der vom Bundesamt für Sicherheit in der Informationstechnik als "besorgniserregend" eingestuften Cybersicherheitslage gewinnen automatisierte Ansätze für die Stärkung der IT-Resilienz zunehmend an Bedeutung, wie aktuelle Implementierungen zeigen.

  • Backup-Lücke von Microsoft 365

    Unternehmen nutzen Microsoft 365 als Grundlage für ihre Produktivität. Doch neben den Vorteilen solcher Produktivitätsplattformen wird immer wieder eine Lücke in der Datenschutzstrategie übersehen: das Prinzip der geteilten Verantwortung. Diese Nachlässigkeit setzt wichtige Geschäftsinformationen erheblichen Risiken aus, die sich in Ausfallzeiten und wirtschaftlichen Verlusten niederschlagen können.

  • KI und digitale Souveränität

    Die europaweite Debatte rund um digitale Souveränität fokussiert sich in den vergangenen Wochen überwiegend auf das Thema "KI" (AI-Gigafactory etc.). Dabei gerät ein anderer Aspekt gerade etwas in den Hintergrund: Cyberresilienz und die Kontrolle über kritische Daten innerhalb Europas.

  • DMS und digitale Souveränität

    Die Welt ordnet sich neu und Europa steht unter wachsendem Druck, seine digitale Unabhängigkeit zu stärken. Laut einer Bitkom-Studie (2025) fordern 84 Prozent der Unternehmen, dass die neue Bundesregierung der digitalen Souveränität höchste Priorität einräumt. Gerade im Umgang mit vertraulichen Dokumenten und geschäftskritischen Informationen zeigt sich, wie entscheidend die Kontrolle über digitale Prozesse ist. Die easy software AG beleuchtet, welche Rolle das Dokumentenmanagement dabei spielt - und worauf es jetzt ankommt.

  • MDR - meist mehr Schein als Sein

    Managed Detection and Response (MDR) ist der neue Hype der IT-Sicherheitsbranche. Kaum ein Systemhaus, das nicht plötzlich MDR im Portfolio hat. Was sich hinter diesem Label verbirgt, ist oft enttäuschend: vollautomatisierte EDR- oder XDR-Lösungen mit dem Etikett "Managed", das in Wahrheit kaum mehr bedeutet, als dass ein Dienstleister Herstellerlösungen lizenziert - nicht aber selbst Verantwortung übernimmt.

  • Einblicke in die Sichtweise der Kunden

    Online-Händler erhalten täglich eine unzählige Menge an Anfragen. Ein Großteil davon wird mit KI-Agenten gelöst, da sie immer wieder ähnliche Themen wie Lieferzeiten, Rücksendungen oder Produktspezifikationen betreffen. Zum einen sind KI-Agenten damit eine Arbeitserleichterung bei wiederkehrenden Anfragen, besonders wenn diese Lösungen einfach zu bedienen sind, und den Unternehmen schnellen Mehrwert bieten. Doch hinter diesen Wiederholungen verbirgt sich zum anderen auch eine bislang oft ungenutzte Quelle strategischer Erkenntnisse: die Daten, die bei jeder einzelnen Interaktion entstehen.

  • Modernisierung birgt auch ein Risiko

    Der Trend zur Cloud-Migration setzt Vermögensverwalter zunehmend unter Druck, ihre digitale Transformation voranzutreiben. Einer der strategischen Pfeiler einer Cloud-Strategie ist dabei der Wechsel von On-Premise- zu SaaS-Lösungen. Für größere, traditionelle Institutionen stellt sich jedoch die Frage: Sollten sie direkt auf SaaS umsteigen oder lieber einen mehrstufigen Ansatz über PaaS wählen? Alberto Cuccu, COO von Objectway, erklärt, warum ein schrittweiser Migrationsprozess für bestimmte Geschäftsfälle eine sinnvolle Option sein kann, welche Rolle DORA dabei spielt und welche typischen Fehler Banken bei ihrer IT-Transformation machen.

Wir verwenden Cookies um unsere Website zu optimieren und Ihnen das bestmögliche Online-Erlebnis zu bieten. Mit dem Klick auf "Alle akzeptieren" erklären Sie sich damit einverstanden. Erweiterte Einstellungen