Ma már elfogadjuk, hogy a felhőalapú technológiák nem csökkentették, hanem nagy mértékben növelték az IT-rendszerek komplexitását. A komplexitás magasabb szintje pedig nagyobb kiberbiztonsági kockázatokat jelent: gyakoribbá válnak a konfigurációs és a felhasználói hibák egyaránt.

Az ellenszert a vezető biztonsági megoldásszállítók többsége a védelem "platformizálásában" találta meg. Ennek egyik eszköze az ún. SASE (Secure Access Service Edge) architektúra, amely biztosítja a technológiai konvergencia lehetőségét (közös szolgáltatások, egységes szabályzat, folyamatos elérhetőség stb.) azáltal, hogy a hálózatot és a biztonságot egyetlen felhőalapú szolgáltatásban egyesíti. Lényegében központosított védelmet nyújt az on-premise legacy rendszerektől a legújabb felhős szolgáltatásokig. Ma valószínűleg a SASE architektúra és az alkalmazásoknak és munkaterheléseknek teljes életciklusuk alatt védelmet biztosító CNAPP (Cloud-Native Application Protection Platform) integrációja jelenti a legátfogóbb és konzisztens védelmet hibrid munkakörnyezetben.

Ennek a védelmi ökoszisztémának fontos ígérete, hogy költségcsökkentés (a jelentős automatizációs potenciál, kisebb erőforrásigény, transzparencia, vakfoltok felszámolása stb.) mellett lehet növelni a biztonsági szintet, miáltal a CISO-k könnyebben tudják "eladni" a felső vezetésnek.

De nem csupán ez tereli a CNAPP irányába a cégeket. A Gartner a 2025-ös Market Guide for Cloud-Native Application Protection Platforms című elemzésében három tényezőt emel ki.

1. A vállalatok szeretnék megszüntetni a gapet az IaaS, a PaaS és az alkalmazások életciklusa alatt jelentkező kockázatok láthatósága között. Ezt különálló, szigetszerű védelmekkel lehetetlen megoldani.

2. Azt remélik, hogy csökken a védelmi rendszerek bonyolultsága, és kevesebb lesz a biztonsági vakfolt, ha a védelmi arzenált egymást átfedő módon egyetlen, integrált platformon konszolidálják.

3. Úgy integrálhatják a biztonságot a DevOps munkafolyamatokba (»DevSecOps), hogy az ne csökkentse a szállítás sebességét, és már a kódolásnál kielégítse a biztonsági igényeket.
 

Így ágyazódik be a DevOps folyamatokba a CNAPP (Forrás: Gartner)

A választás nehézségei

Mindezek után nem meglepő, hogy a Gartner kutatásai szerint a szervezetek azokat a CNAPP megoldásokat keresik, melyek átfogó védelmet biztosítanak mind a funkcionalitás, mind a beágyazhatóság mélységét tekintve, valamint zökkenőmentesen integrálhatók a DevOps folyamatokba. (A kutatócég jóslata, hogy 2029-re a zero trust biztonságot felhős környezetben sikeresen megvalósító cégek 40 százaléka CNAPP-ot fog használni.)

Egy komplex védelmet biztosító CNAPP egyesíti a CSPM-et (Cloud Security Posture Management), a CIEM-et (Cloud Infrastructure Entitlement Management) és a CWPP-t (Cloud Workload Protection Platform), valamint biztosít eszközöket a nyilvános felhőalkalmazások védelméhez, illetve az alkalmazásszállításhoz hibrid környezetben. De nem csak az tereli a CNAPP felé a cégeket, hogy egyesíti a végfelhasználók, az eszközök, a fejlesztői környezeteket és az adatok védelmét. Az is nagy vonzerő, hogy a platformszerű működés miatt jól bővíthető új funkciókkal, például generatív vagy ágensalapú mesterséges intelligencia képességekkel.

Ám ez a szolgáltatásbőség egyben nehézséget okozhat a megfelelő eszköz kiválasztásában. Még az eladásban érdekelt cégek is arra figyelmeztetnek, hogy érdemes a feladathoz és a célhoz szabni az eszközt. "Amennyiben nem többfelhős (multicloud) környezetet üzemeltetünk, a felhőszolgáltató platformok által kínált natív biztonsági megoldások is elegendőek lehetnek egy bizonyos szintig..." – írja például egy céges blogbejegyzésében a Clico szakértője, Werner Obring.
 

Az azonban általánosan elmondható, hogy a kódbiztonsággal kapcsolatos funkciók egyre inkább a CNAPP alapszolgáltatásai lesznek, ami így a DevSecOps folyamatok központi elemévé válik. Befolyásolja a fejlesztői élményt és a szállítás sebességét. Körültekintő implementálása pedig gördülékenyebb fejlesztési folyamatot, a kockázatok hatékonyabb azonosítását, a téves riasztások csökkentését eredményezi.

Ezeket a célokat azonban csak olyan átfogó CNAPP-stratégiával lehet elérni, amely a felhőbiztonságot, a konténerbiztonságot, az alkalmazásbiztonságot, a felhőarchitektúrát és a biztonsági műveleteket is lefedi.

Közös rákészülés, megosztott felelősség

A fenti, Gartner által összeállított táblázat jó kiindulópont az első lépéshez: a fejlesztésnek és biztonsági csapatnak közösen kell azonosítani és rangsorolni azokat a funkciókat, melyekre az alap szolgáltatásokon felül szükség lehet (a CNAPP által megkívánt DevSecOps modellben a felhőbiztonságért megosztott lesz a felelősség, de a fejlesztő az, aki orvosolja az azonosított kockázatokat). A választható megoldások körét leginkább a fenti táblázat "opcionális" kategóriába sorolható funkciói befolyásolják. Az egyes megoldások ezekben térnek el leginkább, mert minden gyártó más filozófiát követ, és annak megfelelően más extra funkció fejlesztésére koncentrál (értsd: másban erős).

Fel kell mérni a meglévő biztonsági DevSecOps eszközportfóliót, és össze kell vetni az egyes csapatok igényeivel. Ebből előáll egy olyan mátrix, amely megmutatja a meglévő eszközök és igények átfedéseit, valamint feltárja a vakfoltokat. Ez a mátrix lehet az alapja az eszközkonszolidációnak is.

A lehetséges megoldások közül csak alapos pilot után szabad választani. A CNAPP ugyanis hat az alkalmazásokra, és hat a fejlesztők munkájára. Emiatt csak a napi használat során szerzett tapasztalat alapján lehet eldönteni, hogy adott megoldás funkcionalitása és az általa nyújtott felhasználói élmény megfelelő. A pilotban felhőalapú alkalmazások fejlesztésére (és nem migrációra) célszerű koncentrálni, mert ott különösen kritikus a fejlesztési sebesség és a kockázatok azonosíthatósága.

Szakértők szerint ha a teljes CNAPP-funkcionalitást nem is lehet implementálni a DevSecOps folyamatokba, a CSPM-t és CIEM-et mindenképpen érdemes, mert a felhőalapú alkalmazások kockázatainak jelentős része a helytelen konfigurációra és a szükségesnél szélesebb körű engedélyekre vezethető vissza.

A platformmegoldás lesz a jövő

A felmérések szerint egyre több cég konszolidálja biztonságát CNAPP segítségével. A kódbiztonság beépülése ezekbe a platformokba pedig újabb jelentős lökést adhat a piacnak, mivel felhős környezetben is maximálisan támogatja a DevSecOps filozófiát, azaz a gyors és biztonságos alkalmazásfejlesztést és üzemeltetést.

Bár a jelenlegi CNAPP-piac nagyságát illetően a piackutatók mérései nagy eltérést mutatnak, a jövőbeni növekedés mértékében nagy az egyetértés. Szinte minden kutatócég 25-30 százalékos átlagos éves növekedést vár az évtized végéig.

Ez a cikk független szerkesztőségi tartalom, mely a Clico Hungary támogatásával készült. Részletek »