什么是云原生应用保护平台 (CNAPP)？

什么是云原生应用保护平台 (CNAPP)？

云原生应用保护平台 (CNAPP) 是一款软件解决方案，确保云原生安全和合规。CNAPP 通常会强制执行安全配置和治理，以保护云工作负载免遭攻击或利用。CNAPP 服务旨在整合其他几种类型的云安全服务所具备的功能，包括：

• 云安全态势管理 (CSPM)
• 云工作负载保护平台 (CWPP)
• 身份和访问管理 (IAM)
• 云基础设施授权管理 (CIEM)

CNAPP 会将源自众多安全和合规功能的数据整合到单个平台。理想情况下，这比必须使用多种不同的工具更易于管理。

由于组织倾向于使用多种不同的云服务来构建应用，因此，其云资源往往比较分散。而且由于需要配置的云资源如此之多，安全配置错误可能会被忽略。使问题更加复杂的是，为本地部署的数据中心设计的传统安全解决方案可能难以适应云部署。相比之下，CNAPP 是一个 1) 云原生以及 2) 整合平台，可识别所有云资源中的安全配置错误。

随着组织转向云原生应用开发，CNAPP 可以提供帮助。当今的许多应用均完全基于云，其基础架构可以按需扩展并定期更改。CNAPP 有助于组织实施云原生安全策略，以保护这些应用。

CNAPP、CSPM 与 CWPP：了解 CNAPP 组件

CNAPP 旨在提供这些产品类别涵盖的功能（可能有所重叠，因此，使用 CNAPP 具有优势）：

• 云安全态势管理 (CSPM) 是对云基础设施是否存在错误配置以及潜在违规行为进行自动检查。
• 云基础设施授权管理 (CIEM) 就像是专门针对云基础设施的访问控制，确保所有组件都不会拥有超出严格必要的访问权限或权利（这会减轻数据泄露的影响）。
• 云工作负载保护平台 (CWPP) 会检测云工作负载内部存在的威胁，包括漏洞、可疑活动、恶意软件，以及入侵。

CNAPP 可能还包括：

• 数据安全态势管理 (DSPM)，用于评估存储的敏感数据是否安全，以及帮助分类数据
• SaaS 安全态势管理 (SSPM)，用于验证软件即服务应用的安全配置
• Kubernetes 安全态势管理 (KSPM)，用于管理 Kubernetes 编排（针对容器）的安全态势
• 人工智能安全态势管理 (AISPM)，用于人工智能和机器学习模型以及应用

CNAPP 还会核实云原生身份和访问管理 (IAM) 角色，确保不会放任角色权限失控。（IAM 会确认用户、服务器和应用并进行身份验证，此外还会控制这些实体可以查看、更改和提取的具体内容。）

CNAPP 将这些功能整合到一个平台，帮助组织从单一面板（即：统一平台或仪表板）管理安全态势。

CNAPP 有哪些优势？

使用 CNAPP 的总体优势是增强云原生环境的安全性，同时降低违规行为的可能性。一些最重要的具体好处如下所述。

1. 在开发过程中识别漏洞

将 CNAPP 纳入开发生命周期，帮助开发人员识别其应用中的漏洞。这会降低不安全或易受攻击的应用组件进入生产环境的几率。随着许多组织采用持续集成和持续部署 (CI/CD) 方法，早期漏洞检测有助于开发人员在构建应用时保护应用安全。（“左移”是指将安全和其他质量控制流程移至应用开发生命周期的早期阶段。）

2. 集中风险管理

CNAPP 提供了一个地方，用于识别并编目组织的整个云基础设施内的风险。可以通过一个集中式工具，来识别所有云资产并审核各项安全措施，而无需单独使用多种工具。

3. 跨多云部署的一体化安全

许多组织依赖于多个公共云提供商。其基础设施可能分布在多个云中，每个云都有各自的攻击面。与一个云兼容的安全工具，可能与另一个云不兼容。CNAPP 能够提供跨多个提供商和多云部署的云安全风险统一视图。

4. （相对）简单易用

数据安全一直是比较复杂的问题，尤其是在涉及网络和云技术的情况下。但是，CNAPP 会将所有描述的功能放入同一个界面，以此来简化数据安全操作，让安全团队能够更轻松地完成本职工作。

Cloudflare 在统一的仪表板中提供全方位云安全服务，包括错误配置检测、访问控制、数据保护，以及合规解决方案。Cloudflare 服务与基础设施无关，可以保护任何云部署。了解 Cloudflare 如何连接并保护云原生基础设施。