Check Point gibt einen Überblick, welche Tipps beherzigt werden sollten, wenn man nach einer Cloud-Native-Application-Protection-Platform (CNAPP) sucht. Was die Lösung auf jeden Fall können muss: Ende-zu-Ende-Transparenz und dynamische Transparenz vom Code bis zur Cloud, automatisierte Behebung von Fehlkonfigurationen, Bedrohungserkennung und -prävention sowie Shift-Left-Ansatz durch Code-Scanning und API-Schutz.
Diese Eigenschaften sollten nun beachtet werden, da oftmals eine CNAPP-Lösung nicht das hält, was der Hersteller verspricht:
- Umfassender Ansatz und tiefe Integration in die vorhandene IT-Sicherheitsarchitektur des Unternehmens, sowie die Möglichkeit der Zusammenarbeit verschiedener Teams während des Lebenszyklus der Anwendung und über ihr Ökosystem hinweg. Die Plattform muss sich nahtlos in die bestehenden Entwicklungsprozesse und Arbeitsabläufe einfügen lassen und sichere Kodierung sowie kontinuierliche Test während des gesamten Entwicklungszyklus ermöglichen.
- Ende-zu-Ende-Transparenz von Datenströmen und in Cloud-Umgebungen. Die CNAPP-Plattform sollte allen Beteiligten einen zentralen Überblick des Zustandes der Anwendungssicherheit bieten, der umfassend, kontextbezogen ist und in Echtzeit aktualisiert wird. Die erfordert kohärente Sicherheit.
- Least-Privilege-Zugriff, der die Privilegien granular an die Benutzerrolle anpasst, zusammen mit anderen bewährten Verfahren. Auf keinen Fall sollte ein Produkt gewählt werden, das keine Zero-Trust-Sicherheitsstrategie ermöglicht.
- Automatisierung während des gesamten SDLC und in Produktionsumgebungen. Die Plattform muss zeitaufwändige, mühsame und fehleranfällige manuelle Prozesse der Anwendungssicherheit automatisieren. Sie muss in der Lage sein, automatisch und dynamisch die unternehmensinternen Sicherheitskontrollen und branchenüblichen Best-Practices durchzusetzen, sowie Fehlkonfigurationen zu erkennen, zu melden und, wenn möglich, zu beheben.
- Umgebungsunabhängig, damit das Produkt überall funktioniert: vor Ort, über mehrere Cloud-Anbieter hinweg und in hybriden Infrastrukturen. Es muss möglich sein, sämtliche Überwachung und die Behebung von Problemen zu koordinieren.
- Unabhängigkeit von der Workload-Architektur, sodass die CNAPP-Plattform mit allen modernen Architekturen, wie Microservices, Containern und serverlosen Funktionen, arbeiten kann und Sicherheits- sowie Governance-Richtlinien für alle Arten von ephemeren Laufzeit-Workloads automatisch durchsetzt.
- Pipeline-Sicherheit hilft dabei, schneller und sicherer zu entwickeln, indem Vorlagen, Skripte und Bilder auf Sicherheitslücken geprüft werden, bevor sich Schwachstellen in allen Anwendungen oder Laufzeitumgebungen, die diese Pipeline nutzen, ausbreiten können.
- Shift Left als Ansatz durch Einbettung der Sicherheit in Builds bei gleichzeitiger Verkürzung der Entwicklungszyklen und Unterstützung einer DevSecOps-Idee. Das erleichtert kontinuierliches Feedback, sodass die Anwendungssicherheit und der Workload-Schutz im Laufe der Zeit angepasst und optimiert werden können.
- Vorausschauende Bedrohungsabwehr zur Blockierung bösartiger Aktivitäten, bevor Angreifer Schaden anrichten können. Robuste Threat-Intelligence- und Verhaltensanalysefunktionen, die Risiken zuverlässig erkennen und Schutzmaßnahmen sowie andere kompensierende Kontrollen auslösen, müssen zum Repertoire gehören.
- Risikobewertung mit tiefem Kontext ermöglicht es den Fachleuten, sich auf die wesentlichen Aufgaben zu konzentrieren, die nicht übersehen werden dürfen. Wird sogar kontextbezogene KI genutzt, um umsetzbare Empfehlungen zu geben, ermöglicht das, die zahlreichen Warnungen zu priorisieren, die von unverbundenen Cloud-Sicherheitstools stammen.
Kern-Komponenten einer CNAPP-Plattform, die Check Point außerdem als essentiell erachtet:
- Cloud-Security-Posture-Management (CSPM) ist ein unverzichtbarer Aspekt jeder CNAPP-Lösung und bietet automatisierte Governance für zahlreiche Cloud-Assets und -Services. Es identifiziert Fehlkonfigurationen, setzt bewährte Sicherheitspraktiken durch, hält sich an Compliance-Rahmenwerke und bewertet die allgemeine Sicherheitslage.
- Cloud-Service-Network-Security (CSNS) ist wichtig, da herkömmliche, auf einem Perimeter basierende Netzwerkverteidigung in der grenzenlosen Cloud-Umgebung unwirksam ist. Deshalb ist CSNS das Cloud-Äquivalent zu herkömmlichen Firewalls, die zum Schutz der Infrastruktur vor Ort eingesetzt werden. CSNS ermöglicht es Unternehmen, dasselbe Maß an Sicherheitsüberwachung und Bedrohungsabwehr wie in einer lokalen Umgebung zu erreichen, indem es Cloud-Netzwerksicherheit und Zero-Trust-Netzwerksegmentierung nutzt.
- KI-basierte Anwendungssicherheit (AppSec) bietet präzise Bedrohungsabwehr und ersetzt herkömmliche Web-Application-Firewalls (WAFs) durch Automatisierung und Intelligenz. Es stoppt die OWASP Top-10-Angriffe, Bot-Attacken und alle bösartigen Interaktionen mit Apps und APIs in jeder Umgebung.
- Schutz von Cloud-Workloads, da bei der Entwicklung und Bereitstellung von Anwendungen die Sicherheit oft vernachlässigt wird, sodass Schwachstellen häufig vorkommen. Der Cloud-Workload-Schutz kann laufende Workloads in Echtzeit erkennen, einen Schwachstellen-Scan durchführen, um sicherzustellen, dass nichts übersehen wird, und Code-Fehler oder unzureichende Netzwerksegmentierung korrigieren.
- Pipeline-Sicherheit, weil sich die Methode der Kodierung verändert hat. Sie geht weg von der Erstellung einer Anwendung von Grund auf, hin zu deren Zusammenstellung aus verschiedenen Open-Source-Komponenten, Bibliotheken und APIs. Dies führt zu neuen Schwachstellen in der gesamten Software-Lieferkette. Pipeline-Sicherheit vereinfacht den Einbau statischer Anwendungssicherheitstests (SAST) zum Scannen von Quellcode und Infrastructure-as-Code (IaC).
Info: Einkaufsberater von Check Point als Whitepaper mit allen Details: https://resources.checkpoint.com/cloud-security-buyers-guides/the-ultimate-cloud-security-guide
#CheckPoint
