CNAPP-Kaufratgeber

Posted on by
Cloud Sec Specialist 16z9

Gorodenkoff | shutterstock.com

Cloud Security bleibt ein diffiziles Thema und die Tools, mit denen sie sich gewährleisten lässt, werden zunehmend komplexer und schwieriger zu durchschauen – auch dank der ungebrochenen Liebe der Branche zu Akronymen. Mit CNAPP kommt nun ein weiteres hinzu.

CNAPP – Definition

Die Abkürzung steht für Cloud-Native Application Protection Platform – und kombiniert die Funktionen von vier separaten Cloud-Security-Werkzeugen:   

  • Cloud Infrastructure Entitlement Management (CIEM), um sämtliche Zugriffskontrollmaßnahmen und Risikomanagement-Tasks zu managen.
  • Cloud Workload Protection Platform (CWPP), um Code in allen cloudbasierten Repositories abzusichern sowie Laufzeitschutz für die gesamte Entwicklungsumgebung und alle Code-Pipelines zu gewährleisten.
  • Cloud Access Security Broker (CASB) für Authentifizierungs- und Encryption-Aufgaben.
  • Cloud Security Posture Management (CSPM), das Threat Intelligence und Abhilfemaßnahmen kombiniert.

Über diese vier „klassischen“ Elemente hat sich CNAPP inzwischen auch auf andere Bereiche ausgeweitet. Zum Beispiel:

  • API-, Skript-, Supply-Chain– sowie Infrastructure-as-Code (IaC)-Sicherheit,
  • Container– und Serverless-Security, sowie
  • weitere Posture-Management-Tools, einschließlich Daten- und SaaS-Applikationen.

Aus Anwendersicht ist CNAPP damit sowohl schwer zu verstehen als auch diffizil zu evaluieren – und entsprechend schwer einzukaufen, wie Forrester-Chefanalyst Andras Cser in einem Blogbeitrag zum Thema nahelegt. Weil teilweise auch Security-Optionen außerhalb der Cloud abgedeckt würden, sei jede CNAPP-Kaufentscheidung und -Implementierung auch eine Team- oder abteilungsübergreifende Aufgabe, so der Analyst.

Anders ausgedrückt: Geht‘s um CNAPP, muss eine ganze Menge Software abgestimmt, gemanagt, integriert und verstanden werden. Um Ihnen den Überblick zu erleichtern, haben wir die Details zu den wichtigsten Anbietern und Angeboten in diesem Kaufratgeber zusammengetragen.

Der CNAPP-Markt

Geprägt hat die Produktkategorie – beziehungsweise das Akronym – einmal mehr Gartner. Das Analystenhaus verwendete den Begriff CNAPP erstmals in seinem „Innovation Insight“-Report aus dem August 2021.

Der Schlüssel zum Verständnis dieser Produktkategorie liegt in den Integrationsherausforderungen für Unternehmensanwender: Im „State of Observability Report“ von VMware geben 57 Prozent der Befragten an, dass innerhalb einer typischen Cloud-Anwendung bis zu 50 verschiedene Technologien zum Einsatz kommen – die im Schnitt mit zehn Monitoring-Tools gemanagt werden.

Und laut dem „Observability Report 2024“ von Dynatrace besteht eine typische Enterprise-Umgebung im Schnitt aus einem Dutzend unterschiedlichen Cloud-Plattformen, wobei regelmäßig ein Mix aus Private-, Public- und Hybrid-Cloud-Strategien zur Anwendung kommt. Hinzu kommen dann noch verschiedene Instanzen virtueller Maschinen, Kubernetes-Container sowie Serverless- und Microservices-Tools.   

Diese erhebliche Integrationsbelastung könnte auch ein Grund dafür sein, dass der CNAPP-Markt im zweiten Quartal 2024 ein Gesamtvolumen von 700 Millionen Dollar erreicht hat und damit im Jahresvergleich um 42 Prozent gewachsen ist – wie die Analysten der Dell’Oro Group berichten.

CNAPP-Anbieter und ihre Angebote

Im Idealfall sollte eine CNAPP-Lösung:

  • Fehlkonfigurationen reduzieren,
  • das Security-Niveau der Entwicklungspipeline optimieren, sowie
  • effektiv automatisieren.

Die Anbieter verfolgen mit Blick auf CNAPP zwei unterschiedliche Ansätze: Entweder sie fokussieren die DevSecOps– oder die traditionelle IT-Security-Perspektive. Ersteres hat einen stärkeren Fokus auf den Schutz der Applikationen selbst zur Folge (CIEM/CWPP), letzteres eine Ausweitung traditioneller Schutzmaßnahmen auf Netzwerkebene (CASB/CSPM). Bislang deckt kein CNAPP-Offering wirklich konsequent alle vier Bereiche ab.

Natürlich spielt künstliche Intelligenz (KI) auch in diesem Bereich zunehmend eine Rolle: Diverse CNAPP-Anbieter integrieren, beziehungsweise kombinieren KI-Agenten und agentenlose Lösungen in ihren Produkten, um ein umfassenderes Monitoring und eine möglichst breite Abdeckung und Scalability zu bieten. 

Aqua Security Platform

Fokus: DevSecOps

Form: Einheitliche Plattform mit verschiedenen Produkten;

Besondere Features/Integrationen: „(No-)Breach-Garantie“ bis zu einer Million Dollar;

Preisgefüge: kostenlose Trial-Version; ab 850 Dollar pro Monat;

CrowdStrike Falcon Cloud Security

Fokus: DevSecOps / IT-Security

Form: Einheitliche Plattform mit verschiedenen Produkten;

Besondere Features/Integrationen: Cloud Detection and Response (CDR), AppSec, Schwachstellenanalyse für Container-Images;

Preisgefüge: Abonnement-Preis richtet sich nach den gewählten Produkten;

Data Theorem

Fokus: DevSecOps

Form: Separate Produkte für Cloud, Web und Supply Chain;

Besondere Features/Integrationen: Headliner Attack Policies, Artifact Scanning, zentrale Analyse-Engine, Kubernetes-Support;

Preisgefüge: komplex und teuer; unterschiedliche Tarife für jedes Produkt;

Lacework FortiCNAPP

Fokus: IT-Security

Form: Einheitliche Plattform mit verschiedenen Produkten;

Besondere Features/Integrationen: Verhaltensbasierte Schutzregeln, SOAR, AppSec, Scans für Build- und Deployment-Pipelines;

Preisgefüge: kostenlose Probeversion; richtet sich nach der Nutzungsdauer sowie den in Anspruch genommenen vCPUs;

Orca CNAPP

Fokus: IT-Security

Form: Einheitliche Plattform mit verschiedenen Produkten;

Besondere Features/Integrationen: Side Scanning, Risikopriorisierung, AppSec-Pipelines, KI-Features;

Preisgefüge: orientiert sich an Workloads, Storage Buckets und Datenbank-Scans sowie den eingesetzten Sensoren;

Palo Alto Networks Cortex Cloud

Fokus: IT-Security

Form: Einheitliche Plattform mit verschiedenen Produkten;

Besondere Features/Integrationen: CDR, AppSec-Integration, Laufzeitschutz und DSPM, Support für IBM und Akamai Clouds geplant;

Preisgefüge: komplex und teuer; richtet sich nach den gewählten Modulen und abgesicherten Workloads;

Qualys Total Cloud CNAPP

Fokus: IT-Security

Form: Einheitliche Plattform;

Besondere Features/Integrationen: CDR, Container und IaC-Security, SaaS Posture Management, KI-Funktionen;

Preisgefüge: kostenlose Probeversion; Abo-Modell auf Workload-Basis;

Sysdig Secure

Fokus: DevSecOps

Form: Einzelprodukt;

Besondere Features/Integrationen: „Next Generation“ CDR, Risikopriorisierung, KI-Funktionen und-Analysen;

Preisgefüge: Festpreis pro Host Model; ab circa 500 Dollar pro Monat;

Tenable Cloud Security

Fokus: IT-Security

Form: Standalone-Lösung oder als Bestandteil der Exposure-Management-Plattform Tenable One;

Besondere Features/Integrationen: Exposure Management, DSPM, KI Security, Kubernetes- und IaC-Support;

Preisgefüge: kostenlose Probeversion; komplexes Preismodell, das sich an Nodes oder Workloads ausrichten lässt; 

Tigera Calico Cloud

Fokus: DevSecOps

Form: Einzelprodukt;

Besondere Features/Integrationen: fokussiert in erster Linie auf Container- und Kubernetes-Security;

Preisgefüge: kostenlose Open-Source-Version; kommerzielle Optionen mit Abo-Abrechnungsmodell oder pro Node-Stunde;

Uptycs

Fokus: IT-Security

Form: Einheitliche Plattform;

Besondere Features/Integrationen: XDR, AppSec, DSPM, KI- und ML-Funktionen;

Preisgefüge: diverse Optionen; ab circa 5.000 Dollar pro Jahr (200 Cloud Assets);

Wiz

Fokus: IT-Security

Form: Einheitliche Plattform mit verschiedenen Produkten;

Besondere Features/Integrationen: Risikopriorisierung mit Graph-basierten Visualisierungen und Analysen von Code zu Cloud zu Runtime, KI-Funktionen, Container- und Kubernetes-Support;

Preisgefüge: verschiedene Preispläne, die sich nach den Workloads richten;

5 Fragen vor dem CNAPP-Investment

Bevor Sie sich für einen dieser CNAPP-Anbieter entscheiden, sollten Sie sich folgende Fragen stellen:

  1. Welche Cloud-Artefakte lassen sich mit der gewählten Lösung scannen? Einige Produkte (Lacework) fokussieren auf die drei großen IaaS-Anbieter, andere (Tigera) unterstützen nur die Kubernetes-Dienste der Hyperscaler. Wieder andere (Sysdig) nehmen vor allem Container und die verschiedenen Linux-Server, auf denen diese laufen, in den Fokus. Vor allem kommt es jedoch darauf an, die Artefakte kontinuierlich und (nahezu) in Echtzeit überwachen zu können.
  2. Wie werden Sicherheitsvorfälle gemeldet? Gibt es separate Zugriffsregeln, damit sich verschiedene Mitarbeiter auf bestimmte Bereiche konzentrieren können? Gibt es separate oder kombinierte, vordefinierte Sicherheitsrichtlinien, um Daten mit und ohne Agenten zu erfassen? Wie aussagekräftig sind die Dashboards und die Visualisierungen, die diese liefern?
  3. Inwieweit werden die vier Management-Tool-Bereiche abgedeckt? Einige Angebote bieten CWPP- und CSPM-Elemente, müssen aber, etwa für Kubernetes-Support, erweitert werden.
  4. Welche DevOps-Frameworks werden unterstützt? Wie sieht es mit Blick auf Open-Source-Repositories aus?
  5. Wie viel kostet die Lösung konkret? Nur wenige CNAPP-Anbieter bieten eine wirklich transparente Preisgestaltung. Insbesondere bei komplexen Preismodellen (Data Theorem, Qualys, Orca) besteht deshalb Klärungsbedarf.

(fm)

Sie wollen weitere interessante Beiträge rund um das Thema IT-Sicherheit lesen? Unser kostenloser Newsletter liefert Ihnen alles, was Sicherheitsentscheider und -experten wissen sollten, direkt in Ihre Inbox.