網路安全的未來在雲端，這幾乎已經是不爭的事實。

伴隨越來越多的行業、領域企業開始將部分、乃至核心業務搬上雲端，因雲而生的應用、技術也得到越來越廣泛、成熟的落地，雲原生基礎設施不斷完善的同時，也迫切需要一套新的雲安全運維和治理手段，如CASB（雲訪問安全代理）、CSPM（雲安全配置管理）、CWPP（雲工作負載安全防護平臺）、SASE（安全訪問服務邊緣模型）等新興雲安全技術已經出現。

下面就來看看CNAPP誕生的歷史背景和價值。

傳統意義上來講，雲安全大致有三個階段組成：一是CASB（Cloud Access Security Broker ），即使用者和應用程式之間的檢查點；CSPM（Cloud Security Posture Management），即在測試和構建階段防止配置錯誤並支援合規性；CWP（Cloud Workload Protection），即涵蓋了應用程式的部署和操作。

但是，正是由於這些解決方案往往來自不同供應商（有時同一供應商也會出現類似情況）的獨立產品整合，會導致企業客戶的IT團隊犯難，這導致團隊根本無法協同工作。這導致在雲端往往缺乏端到端的可觀測性，給網路攻擊提供了利用的盲點。

為了應對雲原生帶來的種種安全挑戰，越來越多的組織正轉向新的安全技術棧，能夠將CSPM和CWP的優點融為一體。CNAPP雖然不算一個新穎的命題，但它正改變遊戲規則。

對於雲安全市場而言，CNAPP為從構建到執行時間的整個生命週期內雲基礎架構提供了最佳保護等級。

這種整合帶來了諸多好處：由於個人不再需要關聯來自不同分析平臺的資訊，因此技能集變得更容易，它減少了人為錯誤，提供了有關安全威脅的更多環境，並減少了在多個雲安全產品上的成本。這等於是在提供了更安全的雲環境的同時，減少了對已經過度緊張的IT團隊的需求。

對於客戶而言，CNAPP解決方案有以下幾點優勢：一是將CSPM和CWP整合到一個100%雲原生管理控制檯中；二是它結合了機器學習、深度學習、攻擊指示器（IOA）、行為監測與分析的功能，並結合了威脅獵人，以提供持續的執行時保護；三是從端點到雲的端到端可觀測性；四是能夠為本地無伺服器容器提供相同等級的保護。

針對雲原生應用程式的體系結構都需要採用自己獨特的安全性手段來實現對客戶端的策略和控制。但隨著雲部署方式的迅速採用，許多組織仍在以來過時側策略來保護本地託管的網路和相關資產。

保護雲原生環境的關鍵挑戰在於兩點：一是圍繞影子IT（總IT部門以外的部門部署的系統）的使用，由於組織在制定全面的安全策略之前採用和部署的解決方案而造成的“混亂”增加了問題複雜度；二是缺乏容器執行時保護。

如同買保險一樣，安全問題同樣也是防患於未然。正因如此，雲原生的安全性往往從開發的一刻就已經開始了。這種策略的優勢在於，不僅可以降低網路風險，還能夠降低成本。據IBM系統科學研究所的說法，在設計極端解決安全問題的成本比實施過程少6倍，在測試過程中少15倍。

CI/CD作為DevOps的一個重要方面，在生產中得到了廣泛應用。而安全團隊應該將安全流程和工具嵌入到CI/CD中。這一點至關重要。

值得一提的是，知名安全解決方案供應商McAfee不久前就推出了這樣一款平臺MVISION CNAPP。目前來看，經過整合後的McAfee MVISION已經具備了比較完整的雲安全能力。

Gartner所展望的正一步步變成現實。

內容來源：雷鋒網

文章作者：楊麗

公眾號：雷鋒網