Qu’est-ce que le CNAPP ? [Plate-forme de protection des applications cloud-native]

Une plate-forme de protection des applications cloud-native (CNAPP) est une solution de sécurité qui unifie toutes les fonctionnalités de sécurité du cloud pour protéger les environnements cloud.

Équipe d'experts Wiz
14 minutes lues

Qu’est-ce qu’un CNAPP ?

CNAPP est une solution de sécurité cloud native de bout en bout qui combine des fonctionnalités clés telles que la gestion de la posture, la protection des charges de travail, la protection du temps d’exécution et la sécurité des données.

CNAPP représente une consolidation et une évolution de plusieurs technologies de sécurité cloud, notamment Cloud Security Posture Management (CSPM), Plates-formes de protection des charges de travail dans le cloud (CWPP), la gestion des droits d’utilisation de l’infrastructure cloud (CIEM), l’analyse de l’infrastructure en tant que code (IaC), etc.

En outre CNAPP renforce le DevOps et DevSecOps en intégrant la sécurité dans le cycle de vie du développement, en automatisant les tâches de sécurité et en assurant une sécurité et une conformité continues.

Le terme « CNAPP » a été inventé par Gartner, le définissant comme un « ensemble unifié et étroitement intégré de fonctionnalités de sécurité et de conformité conçues pour sécuriser et protéger les applications cloud natives tout au long du développement et de la production ».

D’ici 2029, 60 % des entreprises qui ne déploient pas de solution CNAPP unifiée au sein de leur architecture cloud ne disposeront pas d’une visibilité étendue sur la surface d’attaque du cloud et, par conséquent, ne parviendront pas à atteindre leurs objectifs Zero Trust.

Les défis de la sécurité du cloud résolus par CNAPP

Le cloud a introduit de nouveaux types de risques de sécurité

Les environnements cloud sont complexes. Le cloud permet aux entreprises d’ajouter de nouvelles ressources à la demande, des machines virtuelles aux fonctions serverless en passant par les conteneurs. De nouveaux types de services sont constamment introduits dans un environnement dynamique et évolutif. Il est donc difficile de sécuriser un environnement qui peut évoluer et changer en quelques minutes.

Le cloud simplifie également les actions, par exemple en permettant d’exposer une ressource à Internet en un clic, ce qui entraîne d’autres risques d’erreurs de configuration. Avec autant de types de services et de configurations différents, les entreprises ont besoin d’une solution pour les aider à garantir leur sécurité à mesure que leur environnement évolue. Cette complexité introduit également de nouveaux types de chemins d’attaque sur le cloud, ce qui oblige les entreprises à mettre en place une stratégie de détection et de réponse aux menaces conçue pour les attaques natives du cloud.

Lacunes de visibilité et angles morts

Pour gagner en visibilité sur cet environnement complexe, les entreprises utilisent souvent des outils de sécurité qui s’appuient sur des agents pour leur fournir une visibilité sur leurs workloads. Les solutions basées sur des agents entraînent des angles morts dans l’environnement, car les ressources qui n’ont pas l’agent configuré ne sont tout simplement pas protégées par l’outil. Ces lacunes de visibilité dans la posture de sécurité peuvent faire en sorte que des problèmes critiques passent inaperçus et conduisent à une violation.

Outillage cloisonné et défis opérationnels

Pour établir une base de sécurité sur le cloud, les organisations utilisent souvent des outils de sécurité autonomes tels que la gestion des vulnérabilités, la gestion de la posture de sécurité des données, la gestion de la posture de sécurité Kubernetes, la gestion de la posture de sécurité cloud, etc. Gartner parle de cette approche de la sécurité dans le Guide du marché CNAPP 2023:

Ce manque d’intégration crée des points de vue fragmentés sur le risque avec un contexte individuel insuffisant, ce qui rend difficile la hiérarchisation du risque réel.

Comme nous l’avons décrit, l’utilisation d’outils autonomes crée des silos dans la posture de sécurité et les défis opérationnels, car chaque outil nécessite une expertise et un processus uniques pour chaque outil. De plus, pour comprendre la criticité des risques, les entreprises doivent corréler manuellement les risques entre les différents outils, ce qui entraîne des frais généraux opérationnels supplémentaires.

Fatigue liée aux alertes

Les outils cloisonnés n’ont pas le contexte de chaque risque, par exemple, une solution de gestion des vulnérabilités peut identifier si une machine est vulnérable, mais elle ne sait pas si la machine est également exposée à Internet ou si elle dispose de privilèges élevés.

Le manque de contexte entraîne l’incapacité des outils à identifier les risques plus critiques que d’autres et les conduit à créer beaucoup de bruit et de lassitude face aux alertes. Il est donc difficile pour les équipes d’identifier les risques critiques réels dans leur environnement et de les hiérarchiser.

Écarts entre l’équipe de sécurité et les développeurs

L’équipe de sécurité est chargée d’assurer la sécurité de l’environnement cloud, mais ce sont les développeurs qui font tourner les ressources dans le cloud. Il en résulte que la sécurité ralentit l’innovation. De plus, les développeurs n’ont souvent pas de visibilité sur les risques liés à leurs ressources, et même lorsqu’ils en ont, ils ne sont pas en mesure de les hiérarchiser avec succès car ils manquent de contexte et de hiérarchisation.

Avantages du CNAPP

  • Suppression des angles morts : CNAPP offre une visibilité sans agent et une réduction des risques, en détectant et en protégeant automatiquement les nouvelles workloads cloud sans nécessiter de configuration d’agent. Cela garantit une couverture complète et élimine les angles morts de votre posture de sécurité.

  • Déploiement plus rapide : L’application CNAPP sans agent permet aux entreprises de protéger l’ensemble de leur environnement en quelques minutes, en utilisant le fournisseur de cloud's API pour rechercher des ressources

  • Amélioration de l’efficacité opérationnelle : Les agents sont coûteux à maintenir et peuvent ralentir les workloads, ce qui entraîne des défis opérationnels qui entravent l’innovation. Les équipes DevOps les rejettent souvent, et la valeur de la visibilité d’exécution sur les workloads éphémères peut ne pas l’emporter sur la surcharge de gestion des agents. Un CNAPP avec une visibilité sans agent et une réduction des risques réduit les coûts opérationnels et la complexité.

  • Moteur de gestion des risques unifié : Une CNAPP doit être une plate-forme unique qui couvre tous les facteurs de risque, y compris les vulnérabilités, les expositions réseau, les secrets, les logiciels malveillants, les identités et les données sensibles, ainsi que la détection des menaces en temps réel. Grâce à un moteur de risque unifié, le CNAPP peut évaluer la criticité des risques en comprenant comment ils se combinent pour créer des chemins d’attaque dans votre environnement. Le CNAPP met automatiquement en corrélation tous les risques en matière de prévention et de détection, ce qui élimine le besoin de corrélation manuelle et permet aux organisations de se concentrer sur la résolution des risques critiques.

  • Contexte basé sur les graphes : Un CNAPP doit fournir un contexte basé sur des graphiques autour des risques. La structure de nœud et d’arête est une bonne pratique pour les graphes, ce qui rend beaucoup plus intuitive la définition de requêtes qui représentent des risques. Le fait de disposer d’une vue graphique permet également à toute personne, quel que soit son niveau de compétence, de comprendre facilement les relations entre les ressources et le contexte des risques, afin de pouvoir réagir plus rapidement aux problèmes.

  • Hiérarchisation : Une CNAPP dotée d’un ensemble de fonctionnalités entièrement intégrées peut mieux hiérarchiser les risques en corrélant tous les risques et en identifiant les chemins d’attaque critiques. Un CNAPP doit fournir une file d’attente unique de risques hiérarchisés pour permettre aux équipes de se concentrer sur les problèmes les plus importants et de réduire le bruit.

  • Activation du décalage vers la gauche : Une fois les risques identifiés et hiérarchisés en production, un CNAPP doit permettre aux organisations de : Décalage vers la gauche pour faire évoluer la sécurité tout au long du cycle de vie du développement. En fournissant une intégration avec les pipelines CI/CD, un CNAPP permet aux organisations d’identifier les risques dès le début du développement et de s’assurer qu’ils n’atteignent pas la production dès le départ. Cela réduit le nombre de problèmes que l’équipe de sécurité doit résoudre en production et lui permet de se concentrer sur des initiatives plus larges.

  • Détection et réponse contextualisées : Pour disposer d’une stratégie de détection et de réponse efficace, les défenseurs doivent comprendre les chemins d’attaque dans leur environnement. Cela les aide à évaluer l’impact potentiel d’une attaque. Avant qu’une attaque ne se produise, un CNAPP peut aider les défenseurs à supprimer de manière proactive les chemins d’attaque grâce à la réduction des risques contextuels. Après une attaque, une CNAPP peut aider les défenseurs à détecter les menaces en temps réel en fonction des événements cloud et des signaux d’exécution. Cela peut également les aider à limiter le rayon d’explosion d’une attaque en fonction du contexte du cloud. En corrélant les signaux d’exécution, les événements cloud et les risques liés au cloud et à l’infrastructure, un CNAPP permet aux défenseurs de répondre rapidement aux menaces et de minimiser l’impact d’un incident potentiel.

Fonctionnement du CNAPP

Visibilité complète sur les environnements cloud

  • Visibilité sur tous les clouds : Un CNAPP doit fournir une visibilité complète sur votre environnement cloud, quel que soit le cloud dans lequel vos workloads s’exécutent, qu’il s’agisse d’AWS, de GCP, d’Azure, d’Alibaba, d’OCI ou d’autres clouds dans lesquels vous vous trouvez.

  • Visibilité sur l’ensemble des ressources : Une CNAPP doit être complète dans sa couverture et fournir une visibilité sur chaque ressource de votre environnement, y compris les machines virtuelles, les fonctions sans serveur, les conteneurs, les bases de données, les services gérés et tout autre service cloud que vous utilisez. Une CNAPP doit également normaliser les différents types de ressources provenant des différents clouds afin que vous puissiez disposer d’une plate-forme cohérente avec une visibilité cohérente couvrant tous les clouds.

  • Visibilité sur tous les facteurs de risque, de la prévention à la détection : CNAPP doit fournir une visibilité cohérente sur tous les facteurs de risque, y compris les vulnérabilités, les expositions réseau, les secrets, les logiciels malveillants, les identités et les données sensibles, ainsi qu’une visibilité sur les menaces en temps réel, afin de vous donner une image complète de votre posture de sécurité.

  • Éliminez les angles morts grâce à la visibilité sans agent : Une CNAPP doit garantir une couverture complète et aucun angle mort dans la posture de sécurité en utilisant une approche sans agent pour fournir une visibilité sur les environnements cloud, en utilisant les API du fournisseur de services cloud (CSP) pour détecter et analyser les ressources et les workloads, plutôt que de s’appuyer sur des agents qui doivent être configurés et maintenus.

Unifiez les solutions de sécurité cloud indépendantes

  • Approche unifiée de la sécurité : Un CNAPP vous fournit une plate-forme, un processus unique et des contrôles cohérents dans tous les environnements. D’après le guide du marché CNAPP de Gartner, lors de l’évaluation d’un CNAPP, « tous les services doivent être entièrement intégrés, et non des modules indépendants faiblement couplés ». Un CNAPP entièrement intégré remplace toutes les solutions ponctuelles par une plate-forme unique qui couvre tous les aspects de la sécurité, éliminant ainsi le besoin d’un processus unique par outil et réduisant les frais opérationnels.

  • Moteur de gestion des risques unifié : Un CNAPP utilise un moteur de risque unifié pour identifier les risques dans les domaines de CSPM, CWPP, CIEM, Kubernetes Security Posture Management (KSPM (en anglais seulement)), la gestion de la posture de sécurité des données (Le DSPM) et l’analyse IaC.

  • Stratégie de défense en profondeur : Un CNAPP complet fournit une stratégie complète de sécurité du cloud pour une défense en profondeur. Cela commence par la prévention, en passant par la visibilité sans agent et la réduction des risques, jusqu’à la dernière ligne de défense qui est la détection et la protection contre les menaces provenant de l’intérieur de la charge de travail, grâce à un agent léger. Un CNAPP avec une défense en profondeur offre une visibilité complète de bout en bout sur les attaques, ce qui permet une réponse plus rapide et plus efficace.

  • Vitre simple : Un CNAPP offre non seulement une visibilité sur tous les facteurs de risque, mais aussi une corrélation entre tous les risques pour comprendre comment les risques se combinent pour aboutir à une combinaison toxique dans un environnement qui peut créer un chemin d’attaque. CNAPP modélise les risques sur un Security graph pour fournir le contexte complet des risques. Garner recommande également qu’une CNAPP dispose d’une console frontale unique avec un modèle de données back-end unifié afin de réduire le basculement entre plusieurs consoles.

Hiérarchisation des risques en fonction du contexte

  • Contexte: Un CNAPP entièrement intégré peut identifier le contexte des risques et trouver des chemins d’attaque dans un environnement, ce qui permet aux organisations de comprendre la criticité réelle des risques dans leur environnement. À l’aide d’un Security graph, CNAPP est également en mesure de fournir une compréhension approfondie des relations entre tous les éléments de l’environnement cloud.

  • Hiérarchisation : Un CNAPP contextuel est capable de hiérarchiser les risques en fonction de leur criticité et de ne mettre en évidence que les problèmes auxquels vous devez vraiment prêter attention afin que votre équipe puisse se concentrer sur les risques qui comptent. Gartner recommande qu’un CNAPP dispose d’une « analyse avancée intégrée qui est combinée avec le graphique pour hiérarchiser les risques » La hiérarchisation permet aux équipes de passer moins de temps à répondre aux bruits gênants et plus de temps à remédier aux problèmes critiques.

Passerelle entre les équipes de développement et de sécurité

  • Réduisez le temps consacré à la résolution des problèmes en production : Un CNAPP peut intégrer des contrôles de sécurité dans les pipelines CI/CD pour détecter les risques pendant le développement. Il vous permet d’appliquer des politiques de sécurité unifiées à l’ensemble de la production et du pipeline CI/CD afin d’éviter que les problèmes n’atteignent la production en premier lieu. Dans le CNAPP Market Guide, Gartner recommande de « réduire la complexité et d’améliorer l’expérience des développeurs en choisissant des offres CNAPP intégrées qui offrent une visibilité et une protection complètes sur le cycle de vie des applications cloud natives tout au long du développement, de la préproduction et de l’exécution ».

  • Permettez aux développeurs d’expédier plus rapidement et en toute sécurité : CNAPP fournit aux développeurs le contexte, la hiérarchisation et les conseils de correction spécifiques dont ils ont besoin pour résoudre les problèmes liés aux ressources qu’ils possèdent. Le contexte et la hiérarchisation permettent aux développeurs de rester agiles et d’agir rapidement tout en restant sécurisés.

Principales fonctionnalités de CNAPP

Un CNAPP intégré consolide de manière transparente les outils de sécurité suivants au sein d’une plate-forme unifiée, englobant et corrélant les fonctionnalités décrites ci-dessous :

Gestion de la posture de sécurité du cloud (CSPM)

Le CSPM offre un aperçu de la configuration des ressources cloud et une surveillance continue de ces ressources. Il évalue les ressources cloud par rapport aux règles de configuration appropriée, en identifiant les cas de mauvaise configuration. Le système garantit la conformité grâce à des normes et des cadres intégrés et personnalisés, corrigeant automatiquement les ressources non conformes. En évaluant les ressources pendant le développement, CSPM empêche les erreurs de configuration de se propager aux environnements de production.

Plate-forme de protection des workloads dans le cloud (CWPP)

Le PPCV garantit la visibilité sur les workloads cloud et l’atténuation des risques sur les machines virtuelles, les conteneurs et les fonctions sans serveur sans dépendre d’agents. Il effectue des analyses à la recherche de vulnérabilités, de secrets, de logiciels malveillants et de configurations sécurisées au sein des workloads. En outre, CWPP prend en charge l’identification des erreurs de configuration et des vulnérabilités des workloads pendant les pipelines CI/CD. En tant que dernière ligne de défense, CWPP utilise un agent léger pour la détection des menaces en temps réel, enrichissant les données grâce à une visibilité sans agent et à la réduction des risques.

Gestion des droits d’accès à l’infrastructure cloud (CIEM)

Le CIEM supervise les droits d’accès au sein des configurations cloud, en guidant les Mise en œuvre du moindre privilège tout en optimisant l’accès et les droits dans l’ensemble de l’environnement. Le système analyse les autorisations effectives pour les principaux et les ressources, en détectant les fuites potentielles de secrets ou d’informations d’identification qui pourraient compromettre l’accès aux ressources sensibles.

Gestion de la posture de sécurité Kubernetes (KSPM)

KSPM (en anglais seulement) automatise la sécurité et la conformité des composants Kubernetes, offrant une visibilité complète sur les conteneurs, les hôtes et les clusters. Le système évalue les risques liés aux vulnérabilités, aux mauvaises configurations, aux autorisations, aux secrets et à la mise en réseau, en corrélant ces risques pour offrir des informations contextuelles et une hiérarchisation. KSPM facilite également une approche de décalage vers la gauche, en identifiant et en prévenant les problèmes de sécurité Kubernetes pendant la phase de développement.

Gestion de la posture de sécurité des données (DSPM)

Le DSPM Protège les données sensibles dans l’environnement cloud. Il identifie les données sensibles et offre une visibilité sur leur emplacement dans les compartiments, les volumes de données, les environnements OS et non-OS, ainsi que les bases de données gérées et hébergées. DSPM met en corrélation les données sensibles avec le contexte cloud sous-jacent et d’autres facteurs de risque pour comprendre la configuration, l’utilisation et le déplacement des ressources de données. Un DSPM entièrement intégré peut même identifier les voies d’attaque potentielles sur les données sensibles, ce qui permet de hiérarchiser les problèmes de manière proactive afin d’éviter les violations.

Détection et réponse dans le cloud (CDR)

Détection et réponse dans le cloud Permet la détection, l’investigation et la réponse aux menaces basées sur le cloud en surveillant l’activité au sein de l’environnement cloud et en identifiant les événements suspects. Alors que la réduction proactive des risques sans agents élimine les voies d’attaque potentielles, la détection des menaces en temps réel reste essentielle. Le CDR identifie les menaces et les activités suspectes en temps réel, y compris l’exécution de code à distance, les logiciels malveillants, le minage de cryptomonnaies, les mouvements latéraux, l’élévation de privilèges et l’évasion de conteneurs. Le système offre une visibilité complète, en corrélant automatiquement les menaces à travers les signaux en temps réel, l’activité dans le cloud et les journaux d’audit pour suivre les mouvements des attaquants. Cela permet une réponse rapide et limite l’impact des incidents potentiels.

CNAPP RFP TemplateTélécharger maintenant

L’avenir du CNAPP

Detailed view of CNAPP capabilities (Source: Gartner)

Au fil du temps, CNAPP deviendra le moyen standard pour les développeurs de cloud de s’assurer qu’ils se débrouillent bien sur le front de la sécurité. Les CNAPP sont utilisables et consommables par les développeurs et les équipes d’exploitation, ce qui leur permettra d’être plus proactives en matière de sécurité de leurs ressources.

Aujourd’hui, les équipes de sécurité ont très peu de moyens de savoir si elles sont en bon état de sécurité. Ils n’ont pas'Il n’y a pas d’autre moyen de savoir s’ils'ont pris les bonnes mesures pour sécuriser le cloud, ou s’ils'J’ai laissé certaines zones grandes ouvertes. Les CNAPP permettront à tout développeur cloud de voir qu’il prend les bonnes mesures pour sécuriser ses applications et ses ressources, et aux équipes de sécurité de valider l’état de sécurité de leurs applications cloud sans lacunes.

Comme tout espace naissant, il'Il est donc plus facile de commercialiser que de livrer, alors assurez-vous que tout CNAPP que vous envisagez est en mesure de répondre de manière adéquate aux facteurs et aux changements sous-jacents qui amènent votre équipe à explorer une telle solution.

Wiz's Approche du CNAPP

(Source: G2)

Wiz'L’approche du CNAPP repose sur les piliers suivants :

  • Architecture sans agent :Wiz ne nécessite pas l’installation d’agents sur vos ressources cloud, ce qui facilite le déploiement et la gestion, et évite tout impact sur les performances.

  • Visibilité complète :Wiz offre une visibilité à 100 % sur l’ensemble de vos ressources et de tous vos risques cloud, sur l’ensemble des fournisseurs et services cloud.

  • Sécurité illustrée par un graphique :Wiz construit un graphique de toutes vos ressources cloud et de leurs relations, ce qui lui permet d’identifier les chemins d’attaque et de hiérarchiser les risques les plus critiques.

  • Hiérarchisation impitoyable des risques :Wiz'L’approche de sécurité basée sur des graphes permet au service informatique d’identifier les chemins d’attaque complexes et de hiérarchiser les risques plus efficacement, afin que vous puissiez vous concentrer d’abord sur les problèmes les plus importants.

  • Plate-forme unifiée :Wiz fournit une plate-forme unique pour tous vos besoins en matière de sécurité du cloud, y compris la gestion des vulnérabilités, la gestion des erreurs de configuration, la gestion des secrets et l’analyse du cloud.

Wiz CNAPP prend en charge la sécurité de nos environnements cloud en un seul endroit. Toutes nos informations de sécurité se trouvent au même endroit, et la solution est suffisamment flexible pour que les différentes équipes puissent se concentrer uniquement sur les détails dont elles ont besoin.

Wiz'offre une visibilité sur l’ensemble de vos ressources et de tous vos risques infonuagiques, de l’infrastructure aux données. Il fournit également des informations et des recommandations exploitables pour vous aider à hiérarchiser et à remédier aux risques.

Continuer la lecture

Vulnerability Prioritization in the Cloud: Strategies + Steps

Vulnerability prioritization is the practice of assessing and ranking identified security vulnerabilities based on critical factors such as severity, potential impact, exploitability, and business context. This ranking helps security experts and executives avoid alert fatigue to focus remediation efforts on the most critical vulnerabilities.

AI Risk Management: Essential AI SecOps Guide

AI risk management is a set of tools and practices for assessing and securing artificial intelligence environments. Because of the non-deterministic, fast-evolving, and deep-tech nature of AI, effective AI risk management and SecOps requires more than just reactive measures.

SAST vs. SCA: What's the Difference?

SAST (Static Application Security Testing) analyzes custom source code to identify potential security vulnerabilities, while SCA (Software Composition Analysis) focuses on assessing third-party and open source components for known vulnerabilities and license compliance.