クラウドネイティブアプリケーション保護プラットフォームとは?
Gartnerは、クラウドネイティブアプリケーション保護プラットフォーム(CNAPP)を、「開発と運用の全体にわたって、クラウドネイティブアプリケーションを安全に保ち、保護するために設計された、セキュリティとコンプライアンス機能の統合セット」と定義しています。CNAPPは、クラウドセキュリティプラットフォームの新しいカテゴリーを備え、以下の機能を組み合わせています:
なぜ今日CNAPPが必要なのか?
端的に言えば、CNAPPソリューションは、現在の環境に完全に対応できるため、今日、重要なものとなっています。従来のセキュリティアプローチやツールは、クラウドネイティブアプリケーションやサービスではなく、オンプレミスのデータセンタやエンドポイントを保護するために設計されています。そのため、クラウドネイティブテクノロジーや最新の開発の実践(例えば、Infrastructure as Code [IaC]、CI/CDパイプライン、コンテナ、サーバーレス機能、Kubernetes)へのシフトにより、それら従来のセキュリティツールでは不十分となっています。
クラウドサービスがセキュリティのベストプラクティスとコンプライアンス義務を確実に満たし、同時にスピードを維持するためには、組織は開発の早期段階でリスクを特定し、即座の修復を提供し、継続的な保証を実現するアプリケーションセキュリティを必要としています。さらに、開発はさまざまなクラウドインフラで行われているため、そのセキュリティは一貫している必要があります。あらゆるものの相互接続と相互依存の性質が、従来のアプローチを利用したセキュリティ上の問題や脆弱性の特定と修復を困難なものにしています。
クラウド環境を安全に保つとは、クラウドサービスの構成と本番環境を安全に保つということです。
ダイナミックで一時的な環境、より速度を増したリリースサイクル、クラウドにデプロイされたアプリケーションやテクノロジー(SaaSやIaaSなど)すべてが、サイバーセキュリティの新たな課題をもたらしています。クラウド環境を安全に保つとは、クラウドサービスの構成と本番環境のセキュリティを最低限確保することであり、ランタイム保護は追加の保護の貴重なレイヤーになります。セキュリティチームは、クラウドセキュリティとコンプライアンスを最適化し、DevOps をサポートして摩擦を最小限に抑える必要があります—そのためには、インフラストラクチャの保護から、ワークロード上で実行されるアプリケーションの保護へと進化する必要があります。
共通点の無い複数のツールの利用における課題
組織がオーガニック成長するにつれて、多様なクラウド環境で異種のセキュリティコントロールを使用する、さまざまなテクノロジが混在することになります。セキュリティチームは、 CSPM, CIEM, CWPP などを含む複数のツールをデプロイし、クラウドインフラと本番環境を安全に保っています。しかし、このアプローチでは、セキュリティチームは、リスクを効果的に集中し、優先順位をつけ、是正することはできません。それは以下のような理由からです。
- 可視性のギャップとセキュリティの死角
- 複数のデータポイントのソースと真実の単一のソースとの比較
- 情報のオーバーフローと時間のかかるデータ照合プロセス
- 早急な対応が必要な重大な問題を通知しないことによるアラートによる疲弊
- 各ツールに関するリソース、技術的な専門知識、トレーニングが限定的
- 各ツールを個別に管理することによる運用の複雑さとオーバーヘッドの増加
複雑な複数の環境にまたがって共通点の無い複数ツールを使って適切な管理を維持しようとすると、多くの時間、リソース、手作業が必要になります。効果的にリスクを管理するために、セキュリティチームは、クラウドインフラストラクチャと本番環境全体を通じた可視性を得て、一貫したセキュリティポリシーを定義するため、様々な要素を一目で見ることを必要としています。
理想的には、CNAPPのような包括的なセキュリティソリューションが、複雑さとオーバーヘッドを削減しながら、一時的で、コンテナ化された、サーバーレス環境に対応するための完全なセキュリティカバレッジを提供できることです。
アナリストの視点と提言
「Innovation Insight for Cloud-Native Application Protection Platforms」の中で、Gartnerは以下のようにアドバイスしています:「企業は、開発とランタイムを別々の問題として扱い、別々のツールを組み合わせて安全を保ちスキャンするのではなく、セキュリティとコンプライアンスを開発と運用の連続体として扱い、可能な限りツールの統合を目指すべきです。」
推奨される対策として以下が挙げられます:
- クラウドネイティブアプリケーションの開発から本番環境への拡張までのライフサイクル全体をカバーする統合的なセキュリティアプローチを実装する。
- 開発の成果物やクラウド構成を包括的にスキャンし、これをランタイムの可視性や構成の認識と組み合わせて、リスク修復の優先順位を決定する。
- CSPMとCWPPの契約満了に伴い、新たに登場するCNAPPを評価し、この機会を利用して、複雑さを軽減し、ベンダーを統合する。
CNAPPの仕組みは?
CNAPPプラットフォームは、複数のセキュリティツールや機能を統合し、複雑さとオーバーヘッドを軽減し、以下を実現します:
- CSPM、CIEMおよびCWPPツールを組み合わせた機能
- 開発ライフサイクルにおける脆弱性、コンテキスト、関係性の相関
- 豊富なコンテキストを持つ優先度の高いリスクの特定
- 脆弱性と構成ミスを修復するためのガイド付き自動修復
- 不正なアーキテクチャ変更を防止するガードレール
- SecOpsエコシステムと容易に連携し、ほぼリアルタイムでアラートを送信
図1: CNAPPが包含するもの(画像はガートナーの"How to Protect Your Clouds with CSPM, CWPP, CNAPP, and CASB," 2021年5月6日から引用)
CWPPとCSPMの機能を組み合わせることにはシナジー効果があり、複数のベンダーがこの戦略を追求しています。この組み合わせにより、開発中のワークロードや構成をスキャンし、実行時にワークロードや構成を保護するCloud-Native Application Protection(CNAP)という新しいカテゴリが誕生します。
CNAPPの主な機能
非常に多くのセキュリティとコンプライアンスツールが集中しているため、CNAPPには数十もの特別な機能が存在します。CNAPPを利用することで組織は何をできるようになるかその大まかな流れを見ていきましょう。
マルチクラウドインフラストラクチャを安全に保つ
すべてのアプリ、API、クラウドリソース、アイデンティティ、および機密データを検出します。AWS、Azure、Google Cloudにまたがるコンプライアンスとコンプライアンス違反のリソースを完全に可視化し、リスクに基づいて修復のための優先付けを行います。
本番環境を安全に保つ
開発プロセスの早期段階でセキュリティを確保します(すなわち「シフトレフト」 )。DevOps専門家に脅威や脆弱性をより早く検出し、より迅速に修正する権限を与え、アプリケーションとデータのコンプライアンスを確保します。
ワークロードを安全に保つ
脆弱性やセキュリティの構成ミスをより簡単に検出、管理し、併せてネットワークベースの動作モニタリング、ポリシー適用、IDベースのクラウドワークロードセグメンテーションを実行します。
継続的なガバナンスとコンプライアンス
データ、構成と権限の継続的なコンプライアンスとガバナンスのための自動化されたセキュリティコントロールを使用して、監査による疲弊を最小限に抑えます。
チームのコラボレーションプラットフォーム
共通のワークフロー、データ相関、有意義な考察と修復を組み込むことで、摩擦を減らし、DevSecOps、DevOps、クラウドセキュリティ運用の間のチームコラボレーションを醸成します。
CNAPPアプローチの最も大きなメリットは、クラウドネイティブアプリケーションのリスクの可視化とコントロールを改善することです。
ZscalerとCNAPP
Zscaler Cloud Protection は、CNAPPプラットフォームに対するニーズの高まりに対する強力なソリューションであり、クラウドワークロードセキュリティから運用の複雑さを取り除く新たなアプローチを提供します。ゼットスケーラーの革新的なゼロトラストアーキテクチャは、セキュリティギャップを自動的に修復し、攻撃対象領域を最小化し、脅威の水平移動を排除することで、ビジネスリスクを軽減します。
サードパーティベンダーやクラウドプロバイダーのさまざまなツールにまたがって断片化したパブリッククラウドのセキュリティスタックが課題となっているのであれば、Zscaler Cloud Protectionがお使いのクラウドセキュリティインフラストラクチャをどのように簡素化し、ゼロトラストアプローチによるセキュリティ向上を実現するか、ぜひご覧ください。
詳細はここをクリック 。