Do zbraně. CNAPP chrání cloud, ať už je jakýkoli
Chránit cloudové prostředí před bezpečnostními riziky může být vzhledem k dynamickému dění v cloudu výzvou. Proto existují takzvaná CNAPP řešení, která společnostem pomáhají s komplexní ochranou aplikací, služeb a řešení, jež firmy v cloudu provozují.
Laicky by se CNAPP řešení dala označit vlastně za takový antivir
pro cloudová prostředí. Ovšem ve skutečnosti je CNAPP, tedy
Cloud-Native Application Platform Protection (cloudově nativní platforma pro ochranu aplikací), komplexnější a složitější záležitostí. Však on vlastně i ten běžný antivir už dnes není jen reaktivní ochranou před viry, ale daleko složitějším bezpečnostním řešením, které hlídá různé druhy hrozeb. CNAPP má v tomto ohledu ještě širší záběr.
Úkolem CNAPP je totiž chránit aplikace a infrastrukturu od samého počátku jejich vzniku, tedy už při jejich vývoji, testování a následném nasazování do praxe. Jde o relativně mladé odvětví, analytická společnost Gartner identifikovala trh s CNAPP řešeními doslova
před několika lety a předpovídá mu velkou budoucnost.
„Optimální zabezpečení cloudových aplikací vyžaduje integrovaný přístup, který začíná již při vývoji a rozšiřuje se na ochranu za běhu,“ napsala společnost ve svém prvním CNAPP reportu z roku 2021.
Podle obdobné zprávy z roku 2024 Gartner předpokládá, že zatímco v roce 2023 běželo v nějakém kontejnerizovaném prostředí asi 15 % podnikových aplikací, do roku 2029 to bude 35 %. A to výrazně zvýší nároky na ochranu těchto prostředí. Tento trend například potvrzuje i Česká spořitelna. „V dohledné době máme v plánu mít v cloudu asi 30 % našich aplikací,“ říká Vilém Markovič, který v České spořitelně zodpovídá za Security Architecture and Governance. Česká spořitelna podle něj pracuje na integraci CNAPP řešení už dva roky a chce být v popředí vývoje v této oblasti.
Ochrana od prvního řádku kódu
Česká spořitelna využívá CNAPP řešení v podstatě tak, jak bylo navrženo. „Naše integrace nám pomáhá odhalit například zranitelnosti v kódu už u samotného vývojáře, který na daném kódu pracuje,“ vysvětluje Markovič. Zranitelnosti se totiž do kódu mohou dostat jak třeba formou nevhodně zvolených proměnných, tak využitím části veřejně dostupného kódu.
Tyto zranitelnosti by se pak nesly dál životním cyklem aplikace. CNAPP řešení Prisma od společnosti Palo Alto ovšem pomáhá díky rozsáhlé databázi zranitelností identifikovat potíže už v rané fázi vývoje aplikací. „Prisma je v tomto ohledu špičkou, navíc my vzhledem ke specifickým potřebám našich aplikací a řešení využíváme i intenzivní korporátní podporu od Palo Alto, takže se nám dovede nástroj v mnoha ohledech přizpůsobit,“ vysvětluje Markovič.
Nasazení řešení umožňuje České spořitelně například snadno upozornit vývojáře už v průběhu tvorby kódu na potřebu odstranit potenciální zranitelnost. „Případně chybu řešení sleduje v dalších fázích vývoje a my o ní máme vždy přehled,“ říká Markovič.
Kromě samotného kódu umí Prisma identifikovat například zranitelnosti v API, včetně například nevhodně zvolených politik zabezpečení při přihlašování do aplikace. To ukazuje, jak komplexní CNAPP řešení v praxi jsou. Krom toho pak CNAPP hlídá cestu vyvíjeného řešení skrz celé vývojové a produkční prostředí a pomáhá s automatizovaným nasazováním vyvíjených řešení do praxe.
„CNAPP řešení doslova sedí na naší CI/CD pipeline a upozorňuje na jakékoli potenciální potíže v kterékoli fázi vzniku aplikace,“ říká Markovič. Všechna potenciální rizika jsou přitom přehledně vidět v jednom nástroji, který umožňuje upozorňovat osoby za dané části zodpovědné a zároveň vytvářet (i automatizovaně) podrobné bezpečnostní reporty.