CNAPP란 무엇입니까?
CNAPP는 포스처 관리, 워크로드 보호, 런타임 보호 및 데이터 보안과 같은 주요 기능을 결합한 엔드 투 엔드 클라우드 네이티브 보안 솔루션입니다.
CNAPP는 CSPM(Cloud Security Posture Management)을 비롯한 여러 클라우드 보안 기술의 통합 및 진화를 나타냅니다. 클라우드 워크로드 보호 플랫폼(CWPP), CIEM(Cloud Infrastructure Entitlement Management), IaC(Infrastructure as Code) 스캔 등
더욱이 CNAPP는 DevOps를 강화하고 데브섹옵스(DevSecOps) 개발 라이프사이클에 보안을 통합하고, 보안 작업을 자동화하고, 지속적인 보안 및 규정 준수를 가능하게 합니다.
"CNAPP"라는 용어는 다음과 같습니다. 가트너(Gartner)가 만든 용어에서는 IT를 "개발 및 프로덕션 전반에 걸쳐 클라우드 네이티브 애플리케이션을 보호하고 보호하도록 설계된 통합되고 긴밀하게 통합된 보안 및 규정 준수 기능 세트"로 정의합니다.
2029년까지 클라우드 아키텍처 내에 통합 CNAPP 솔루션을 구축하지 않는 기업의 60%는 클라우드 공격 표면에 대한 광범위한 가시성이 부족하여 원하는 제로 트러스트 목표를 달성하지 못할 것입니다.
2024 Gartner® Market Guide for Cloud-Native Application Protection Platforms (CNAPP)
In this report, Gartner offers insights and recommendations to analyze and evaluate emerging CNAPP offerings.
Download Report
CNAPP로 해결한 클라우드 보안 과제
클라우드는 새로운 유형의 보안 위험을 도입했습니다
클라우드 환경은 복잡합니다. 클라우드를 통해 조직은 가상 머신에서 서버리스 기능, 컨테이너에 이르기까지 온디맨드 방식으로 새로운 리소스를 추가할 수 있습니다. 역동적이고 확장 가능한 환경에 지속적으로 새로운 유형의 서비스가 도입되고 있습니다. 이로 인해 몇 분 안에 성장하고 변화할 수 있는 환경을 확보하기가 어렵습니다.
또한 클라우드는 버튼 클릭 한 번으로 리소스를 인터넷에 노출할 수 있도록 하는 등의 작업을 단순화하여 잘못된 구성의 추가 위험을 초래합니다. 다양한 유형의 서비스와 구성으로 인해 조직은 환경이 변경됨에 따라 보안을 유지하는 데 도움이 되는 솔루션이 필요합니다. 또한 이러한 복잡성으로 인해 클라우드에 새로운 유형의 공격 경로가 발생하며, 이를 위해서는 조직이 클라우드 네이티브 공격을 위해 구축된 위협 탐지 및 대응 전략을 마련해야 합니다.
가시성 격차와 사각지대
이러한 복잡한 환경에 대한 가시성을 확보하기 위해 조직은 에이전트에 의존하여 워크로드에 대한 가시성을 제공하는 보안 도구를 사용하는 경우가 많습니다. 에이전트 기반 솔루션은 에이전트가 설정되지 않은 리소스가 도구에 의해 보호되지 않기 때문에 환경에 사각지대를 초래합니다. 보안 태세의 이러한 가시성 격차로 인해 중요한 문제가 눈에 띄지 않고 위반으로 이어질 수 있습니다.
사일로화된 툴링 및 운영 과제
클라우드에 보안 기반을 구축하기 위해 조직은 취약성 관리, 데이터 보안 태세 관리, 쿠버네티스 보안 태세 관리, 클라우드 보안 태세 관리 등과 같은 독립형 보안 도구를 사용하는 경우가 많습니다. Gartner는 보안에 대한 이러한 접근 방식에 대해 이야기합니다. CNAPP 마켓 가이드:
이러한 통합의 부족은 불충분한 컨텍스트와 함께 위험에 대한 단편적인 관점을 생성하여 실제 위험의 우선 순위를 지정하기 어렵게 만듭니다.
설명된 대로 독립형 도구를 사용하면 각 도구마다 고유한 전문 지식과 프로세스가 필요하기 때문에 보안 태세 및 운영 문제에 사일로가 발생합니다. 또한 위험 중요도를 이해하기 위해 조직은 서로 다른 도구 간에 위험을 수동으로 상호 연관시켜야 하므로 추가 운영 오버헤드가 발생합니다.
경보 피로
사일로 도구는 각 위험에 대한 컨텍스트가 부족합니다(예: 취약성 관리 솔루션)는 시스템이 취약한지 식별할 수 있지만 시스템이 인터넷에도 노출되어 있는지 또는 높은 권한을 가지고 있는지 여부는 인식하지 못합니다.
컨텍스트가 부족하면 도구가 다른 위험보다 더 중요한 위험을 식별할 수 없으며 이로 인해 많은 소음과 경고 피로가 발생합니다. 이로 인해 팀이 환경에서 실제 중요한 위험을 식별하고 우선 순위를 지정하기가 어렵습니다.
보안 팀과 개발자 간의 격차
보안 팀은 클라우드 환경의 보안을 보장할 책임이 있지만 개발자는 클라우드에서 리소스를 생성하는 사람입니다. 이로 인해 보안이 혁신을 늦추는 결과를 낳습니다. 또한 개발자는 리소스와 관련된 위험에 대한 가시성을 확보하지 못하는 경우가 많으며, 가시성이 있더라도 컨텍스트와 우선 순위가 부족하여 우선 순위를 성공적으로 지정할 수 없습니다.
CNAPP의 이점
사각지대 제거: CNAPP는 에이전트 없는 가시성과 위험 감소를 제공하여 에이전트 구성 없이 새로운 클라우드 워크로드를 자동으로 감지하고 보호합니다. 이를 통해 전체 커버리지를 보장하고 보안 태세의 사각지대를 제거할 수 있습니다.
더 빠른 배포: Agentless CNAPP를 통해 조직은 클라우드 제공업체를 사용하여 몇 분 만에 전체 환경을 보호할 수 있습니다'리소스를 스캔하는 API
운영 효율성 향상: 에이전트는 유지 관리 비용이 많이 들고 워크로드 속도를 늦출 수 있어 혁신을 방해하는 운영 문제로 이어질 수 있습니다. DevOps 팀은 종종 이를 거부하며, 임시 워크로드에 대한 런타임 가시성의 가치는 에이전트 관리의 오버헤드보다 크지 않을 수 있습니다. 에이전트 없는 가시성과 위험 감소 기능을 갖춘 CNAPP는 운영 비용과 복잡성을 줄여줍니다.
통합 리스크 엔진: CNAPP는 실시간 위협 탐지뿐만 아니라 취약성, 네트워크 노출, 기밀, 멀웨어, ID 및 민감한 데이터를 포함한 모든 위험 요소를 포괄하는 단일 플랫폼이어야 합니다. CNAPP는 통합 리스크 엔진을 통해 리스크가 어떻게 결합되어 사용자 환경에서 공격 경로를 생성하는지 파악하여 리스크의 심각성을 평가할 수 있습니다. CNAPP는 예방 및 탐지 전반의 모든 위험을 자동으로 상관 분석하므로 수동 상관 관계의 필요성을 없애고 조직이 중요한 위험을 해결하는 데 집중할 수 있습니다.
그래프 기반 컨텍스트: CNAPP는 위험에 대한 그래프 기반 컨텍스트를 제공해야 합니다. node-and-edge 구조는 그래프에 대한 모범 사례로, 위험을 나타내는 쿼리를 훨씬 더 직관적으로 정의할 수 있습니다. 또한 그래프 기반 보기를 사용하면 기술 수준에 관계없이 누구나 리소스와 위험 관련 컨텍스트 간의 관계를 쉽게 이해할 수 있으므로 문제에 더 빠르게 대응할 수 있습니다.
우선 순위 지정: 완전히 통합된 기능 세트를 갖춘 CNAPP는 모든 위험의 상관 관계를 파악하고 중요한 공격 경로를 식별하여 위험의 우선 순위를 보다 효과적으로 지정할 수 있습니다. CNAPP는 팀이 가장 중요한 문제에 집중하고 소음을 줄일 수 있도록 우선 순위가 지정된 단일 위험 대기열을 제공해야 합니다.
Shift-left 활성화: 생산에서 위험을 식별하고 우선 순위를 지정한 후에는 CNAPP를 통해 조직이 다음을 수행할 수 있어야 합니다. 왼쪽으로 이동 개발 수명 주기 전반에 걸쳐 보안을 확장할 수 있습니다. CNAPP는 CI/CD 파이프라인과의 통합을 통해 조직이 개발 초기에 위험을 식별하고 처음부터 생산에 도달하지 않도록 할 수 있습니다. 그 결과 보안 팀이 프로덕션에서 수정해야 하는 문제가 줄어들고 더 광범위한 이니셔티브에 집중할 수 있습니다.
상황에 맞는 탐지 및 대응: 효과적인 탐지 및 대응 전략을 수립하기 위해 방어자는 해당 환경의 공격 경로를 이해해야 합니다. 이를 통해 공격의 잠재적 영향을 평가할 수 있습니다. 공격이 발생하기 전에 CNAPP는 방어자가 상황별 위험 감소를 통해 공격 경로를 선제적으로 제거할 수 있도록 지원합니다. 공격이 발생한 후 CNAPP는 방어자가 클라우드 이벤트 및 런타임 신호를 기반으로 실시간으로 위협을 탐지할 수 있도록 지원합니다. 또한 클라우드 컨텍스트에 따라 공격의 폭발 반경을 제한하는 데 도움이 될 수 있습니다. CNAPP는 런타임 신호, 클라우드 이벤트, 클라우드 및 인프라 위험을 상호 연관시킴으로써 방어자가 위협에 신속하게 대응하고 잠재적 인시던트의 영향을 최소화할 수 있도록 지원합니다.
CNAPP의 작동 방식
클라우드 환경에 대한 완벽한 가시성
모든 클라우드에 대한 가시성: CNAPP는 AWS, GCP, Azure, Alibaba, OCI 또는 기타 클라우드 등 워크로드가 실행되는 클라우드에 관계없이 클라우드 환경에 대한 완벽한 가시성을 제공해야 합니다.
모든 리소스에 대한 가시성: CNAPP는 적용 범위가 포괄적이어야 하며 가상 머신, 서버리스 기능, 컨테이너, 데이터베이스, 관리형 서비스 및 기타 사용하는 클라우드 서비스를 포함하여 환경의 모든 리소스에 대한 가시성을 제공해야 합니다. 또한 CNAPP는 모든 클라우드에 걸쳐 일관된 가시성을 갖춘 일관된 플랫폼을 가질 수 있도록 서로 다른 클라우드의 다양한 유형의 리소스를 정규화해야 합니다.
예방에서 감지에 이르기까지 모든 위험 요인에 대한 가시성: CNAPP는 취약성, 네트워크 노출, 기밀, 멀웨어, ID 및 민감한 데이터를 포함한 모든 위험 요소에 대한 응집력 있는 가시성과 위협에 대한 가시성을 실시간으로 제공하여 보안 태세에 대한 전체적인 그림을 제공해야 합니다.
에이전트 없는 가시성으로 사각지대 제거: CNAPP는 구성 및 유지 관리가 필요한 에이전트에 의존하는 대신 에이전트 없는 접근 방식을 사용하여 클라우드 환경에 대한 가시성을 제공하고, CSP(Cloud Service Provider)의 API를 활용하여 리소스와 워크로드를 탐지하고 스캔함으로써 보안 태세의 전체 적용 범위와 사각지대를 보장해야 합니다.
독립적인 클라우드 보안 솔루션 통합
보안에 대한 통일된 접근 방식: CNAPP는 모든 환경에서 하나의 플랫폼, 하나의 프로세스, 일관된 제어 기능을 제공합니다. 가트너(Gartner)의 CNAPP 마켓 가이드(Market Guide)에 따르면, CNAPP를 평가할 때 "모든 서비스는 느슨하게 결합된 독립적인 모듈이 아니라 완전히 통합되어야 합니다." 완전히 통합된 CNAPP는 모든 포인트 솔루션을 모든 보안 측면을 포괄하는 단일 플랫폼으로 교체하여 도구별 고유한 프로세스의 필요성을 없애고 운영 오버헤드를 줄입니다.
통합 리스크 엔진: CNAPP는 통합 리스크 엔진을 사용하여 CSPM, CWPP, CIEM, 쿠버네티스 보안 태세 관리((주)케이에스피엠), 데이터 보안 태세 관리((주)디에스엠) 및 IaC 스캐닝.
심층 방어 전략: 포괄적인 CNAPP는 완벽한 심층 방어 클라우드 보안 전략을 제공합니다. 에이전트 없는 가시성 및 위험 감소를 통한 예방에서 시작하여 경량 에이전트를 통해 워크로드 내부의 위협을 탐지하고 보호하는 마지막 방어선에 이르기까지 다양합니다. 심층 방어 기능을 갖춘 CNAPP는 공격에 대한 완전한 엔드 투 엔드 가시성을 제공하여 더 빠르고 효율적인 대응을 가능하게 합니다.
단일 창: CNAPP는 모든 위험 요인에 대한 가시성을 확보할 뿐만 아니라 모든 위험의 상관 관계를 파악하여 위험이 결합되어 공격 경로를 생성할 수 있는 환경에서 독성 조합을 생성하는 방법을 이해합니다. CNAPP는 보안 그래프에서 위험을 모델링하여 위험에 대한 완전한 컨텍스트를 제공합니다. Garner는 또한 CNAPP에 여러 콘솔 간의 전환을 줄이기 위해 통합 백엔드 데이터 모델을 갖춘 단일 프론트엔드 콘솔을 사용할 것을 권장합니다.
상황에 맞는 우선순위 지정 위험
문맥: 완전히 통합된 CNAPP는 위험을 둘러싼 컨텍스트를 식별하고 환경에서 공격 경로를 찾을 수 있으므로 조직은 환경에서 위험의 실제 중요성을 이해할 수 있습니다. CNAPP는 보안 그래프를 사용하여 클라우드 환경의 모든 요소 간의 관계에 대한 심층적인 이해를 제공할 수도 있습니다.
우선 순위 지정: 상황별 CNAPP는 중요도에 따라 위험의 우선 순위를 지정할 수 있으며, 팀이 중요한 위험에 집중할 수 있도록 실제로 주의를 기울여야 하는 문제만 표면화할 수 있습니다. Gartner는 CNAPP에 "위험의 우선 순위를 지정하기 위해 그래프와 결합된 통합 고급 분석"을 갖추어야 한다고 권장합니다. 우선순위 지정을 통해 팀은 방해가 되는 소음에 대응하는 데 소요되는 시간을 줄이고 중요한 문제를 해결하는 데 더 많은 시간을 할애할 수 있습니다.
개발 팀과 보안 팀 간의 다리 놓기
프로덕션에서 문제를 해결하는 데 소요되는 시간 단축: CNAPP는 보안 검사를 CI/CD 파이프라인에 통합하여 개발 중 위험을 스캔할 수 있습니다. 이를 통해 프로덕션 및 CI/CD 파이프라인 전반에 걸쳐 통합 보안 정책을 적용하여 애초에 문제가 프로덕션에 도달하는 것을 방지할 수 있습니다. CNAPP 마켓 가이드에서 Gartner는 "개발 및 스테이징 및 런타임 운영 전반에 걸쳐 클라우드 네이티브 애플리케이션의 완전한 수명 주기 가시성과 보호를 제공하는 통합 CNAPP 제품을 선택하여 복잡성을 줄이고 개발자 경험을 개선"할 것을 권장합니다.
개발자가 더 빠르고 안전하게 출시할 수 있도록 지원: CNAPP는 개발자가 소유한 리소스와 관련된 문제를 해결하는 데 필요한 컨텍스트, 우선 순위 지정 및 특정 수정 지침을 제공합니다. 컨텍스트 및 우선 순위 지정을 통해 개발자는 보안을 유지하면서 민첩성을 유지하고 빠르게 이동할 수 있습니다.
CNAPP의 핵심 기능
통합 CNAPP는 다음과 같은 보안 도구를 통합 플랫폼 내에 원활하게 통합하여 아래에 요약된 기능을 포괄하고 상호 연관시킵니다.
클라우드 보안 태세 관리(CSPM)
증권 시세 표시기 클라우드 리소스의 구성과 이러한 리소스의 지속적인 모니터링에 대한 통찰력을 제공합니다. 적절한 구성을 위한 규칙에 따라 클라우드 리소스를 평가하여 잘못된 구성 인스턴스를 식별합니다. 이 시스템은 내장된 맞춤형 표준 및 프레임워크를 통해 규정 준수를 보장하고 규정을 준수하지 않는 리소스를 자동으로 수정합니다. CSPM은 개발 중에 리소스를 평가하여 잘못된 구성이 프로덕션 환경으로 전파되는 것을 방지합니다.
클라우드 워크로드 보호 플랫폼(CWPP)
CWPP (주)씨엔피 클라우드 워크로드에 대한 가시성을 보장하고 에이전트에 의존하지 않고 VM, 컨테이너 및 서버리스 기능 전반에서 위험을 완화합니다. 워크로드 내의 취약성, 비밀, 맬웨어 및 보안 구성에 대한 검사를 수행합니다. 또한 CWPP는 CI/CD 파이프라인 중에 워크로드 구성 오류 및 취약성을 식별할 수 있도록 지원합니다. 최후의 방어선인 CWPP는 실시간 위협 탐지를 위해 경량 에이전트를 사용하여 에이전트 없는 가시성과 위험 감소를 통해 데이터를 강화합니다.
클라우드 인프라 권한 관리(CIEM)
증권 시세 표시기 클라우드 설정 내에서 권한을 감독하여 다음을 안내합니다. 최소 권한 구현 환경 전체에서 액세스 및 권한을 최적화하는 동안 권한. 이 시스템은 보안 주체 및 리소스에 대한 효과적인 권한을 분석하여 중요한 자산에 대한 액세스를 손상시킬 수 있는 비밀 또는 자격 증명의 잠재적 유출을 감지합니다.
쿠버네티스 보안 태세 관리(KSPM)
(주)케이에스피엠 Kubernetes 구성 요소에 대한 보안 및 규정 준수를 자동화하여 컨테이너, 호스트 및 클러스터에 대한 포괄적인 가시성을 제공합니다. 시스템은 취약성, 구성 오류, 권한, 비밀 및 네트워킹과 관련된 위험을 평가하여 이러한 위험의 상관 관계를 파악하여 상황에 맞는 통찰력과 우선 순위를 제공합니다. 또한 KSPM은 시프트 레프트 접근 방식을 촉진하여 개발 단계에서 쿠버네티스 보안 문제를 식별하고 예방합니다.
데이터 보안 태세 관리(DSPM)
(주)디에스엠 클라우드 환경 내에서 민감한 데이터를 보호합니다. 민감한 데이터를 식별하고 버킷, 데이터 볼륨, OS 및 비 OS 환경, 관리 및 호스팅된 데이터베이스 전반에서 해당 위치에 대한 가시성을 제공합니다. DSPM은 민감한 데이터를 기본 클라우드 컨텍스트 및 기타 위험 요소와 상호 연결하여 데이터 자산 구성, 사용 및 이동을 이해합니다. 완전히 통합된 DSPM은 민감한 데이터에 대한 잠재적인 공격 경로를 정확히 찾아낼 수 있으므로 사전 예방적 문제 우선 순위를 지정하여 위반을 방지할 수 있습니다.
클라우드 탐지 및 대응(CDR)
클라우드 탐지 및 대응 클라우드 기반 위협에 대한 탐지, 조사 및 대응을 가능하게 하여 클라우드 환경 내의 활동을 모니터링하고 의심스러운 이벤트를 식별할 수 있습니다. 에이전트 없이 사전 예방적으로 위험을 줄이면 잠재적인 공격 경로를 제거할 수 있지만 실시간 위협 탐지는 여전히 필수적입니다. CDR은 원격 코드 실행, 멀웨어, 크립토 마이닝, 수평 이동, 권한 상승 및 컨테이너 이스케이프를 포함한 위협 및 의심스러운 활동을 실시간으로 식별합니다. 이 시스템은 포괄적인 가시성을 제공하여 실시간 신호, 클라우드 활동 및 감사 로그에서 위협을 자동으로 상호 연관시켜 공격자의 움직임을 추적합니다. 이를 통해 신속한 대응이 가능하고 잠재적인 사고의 영향을 제한할 수 있습니다.
CNAPP의 미래
시간이 지남에 따라 CNAPP는 클라우드 개발자가 보안 측면에서 잘 수행하고 있는지 확인하는 표준 방법이 될 것입니다. CNAPP는 개발자와 운영 팀이 사용하고 사용할 수 있으므로 해당 팀이 리소스 보안에 보다 능동적으로 대처할 수 있습니다.
오늘날 보안 팀은 보안 상태가 양호한지 확인할 수 있는 방법이 거의 없습니다. 그들은 하지 않습니다'그들이 있는지 알 수 있는 방법이 있습니다.'클라우드를 보호하기 위해 올바른 조치를 취했거나'일부 영역을 활짝 열어 두었습니다. CNAPP를 통해 모든 클라우드 개발자는 애플리케이션과 리소스를 보호하기 위해 올바른 조치를 취하고 있는지 확인할 수 있으며, 보안 팀은 클라우드 애플리케이션 전반에서 빈틈 없이 보안 상태를 검증할 수 있습니다.
여느 초기 공간과 마찬가지로'제공하는 것보다 시장에 내놓기가 더 쉽기 때문에 고려하는 CNAPP가 팀이 이러한 솔루션을 탐색하게 만드는 기본 동인과 변경 사항을 적절하게 해결할 수 있는지 확인하십시오.
대단한'CNAPP에 대한 접근 방식
대단한'CNAPP에 대한 의 접근 방식은 다음과 같은 핵심 요소를 기반으로 합니다.
에이전트 없는 아키텍처:Wiz는 클라우드 리소스에 에이전트를 설치할 필요가 없으므로 배포 및 관리가 쉽고 성능에 미치는 영향을 피할 수 있습니다.
포괄적인 가시성:Wiz는 모든 클라우드 제공업체 및 클라우드 서비스 전반에 걸쳐 모든 클라우드 리소스와 위험에 대한 100% 가시성을 제공합니다.
그래프 기반 보안:Wiz는 모든 클라우드 리소스와 그 관계에 대한 그래프를 구축하여 복잡한 공격 경로를 식별하고 위험의 우선 순위를 보다 효과적으로 지정할 수 있습니다.
무자비한 위험 우선 순위 지정:대단한'그래프 기반 보안 접근 방식을 통해 IT 부서는 복잡한 공격 경로를 식별하고 위험의 우선 순위를 보다 효과적으로 지정할 수 있으므로 가장 중요한 문제에 먼저 집중할 수 있습니다.
통합 플랫폼:Wiz는 취약성 관리, 구성 오류 관리, 비밀 관리 및 클라우드 포렌식을 포함한 모든 클라우드 보안 요구 사항을 충족하는 단일 플랫폼을 제공합니다.
Wiz CNAPP은 클라우드 환경 전반의 보안을 한 곳에서 지원합니다. 모든 보안 정보가 한 곳에 있으며, 솔루션은 여러 팀이 필요한 세부 정보에만 집중할 수 있을 만큼 충분히 유연합니다.
대단한'CNAPP 솔루션은 인프라에서 데이터에 이르기까지 모든 클라우드 리소스와 위험에 대한 가시성을 제공합니다. 또한 위험의 우선 순위를 지정하고 해결하는 데 도움이 되는 실행 가능한 통찰력과 권장 사항을 제공합니다.
