《Check Point：云原生应用程序保护平台(CNAPP) 终极购买指南（16页）.pdf》由会员分享，可在线阅读，更多相关《Check Point：云原生应用程序保护平台(CNAPP) 终极购买指南（16页）.pdf（16页珍藏版）》请在三个皮匠报告上搜索。

1、云原生应用程序云原生应用程序 保护平台保护平台(CNAPP)(CNAPP)终极购买指南终极购买指南 2 2云原生应用程序 保护平台引言：发现应用程序安全的最薄弱环节古谚有云：“链条的坚固程度取决于其最薄弱的一环。”那么，软件开发供应链安全中最薄弱的环节是什么？作为当今应用程序开发中的常见实践，开源软件、API 和其他第三方组件的运用不断增加，日益引发业内外对于应用程序安全性的关注。世界各地的企业和政府都开始认识到，即使只有某个组件遭到入侵（比如开源日志框架 Apache Log4j 中的 Log4shell 漏洞），也可能会将数亿台设备置于危险之中。随着人们对软件供应链漏洞的恐慌加剧，美国政府

2、安全机构于 2022 年 9 月发布了面向开发人员的联合指南，旨在严厉制裁这一不法行为。指南指出，“供应链入侵使恶意行为者似乎不被察觉地游走于网络。为了应对这种威胁，网络安全社区需要关注软件开发生命周期 SDLC 的安全防护。”目前最广泛采用的 SDLC 保护方式是“左移”，这种方法将 SDLC 中的安全防护开始实施的时间节点不断前移，但常常导致部门之间推诿责任，结果问题只是被踢向其他部门，而并未得到解决。这种情况已成为难题，因为大多数组织无法满足自己的应用程序安全需求：39%的组织表示他们面临严重的技能缺口，没有合格的人员来实施协调一致的应用程序安全防护措施；35%的组织则声称整个组织缺乏安

3、全意识。行业已迈入持续开发、持续集成和持续发布的时代，我们需要采取不间断、全天候的方法来保障应用程序安全。这种方法必须适用于当今松散结合的高度分布式云应用程序，而这些应用程序本质上具有复杂性和不可预测性。这意味着，现有应用程序安全防护方法大大落后，彻底的变革却迟迟缺席。静态安全检查已力有不逮，如今的整个 SDLC 比以往更容易出错，问题点更为密集，影响也更加明显。3 3云原生应用程序 保护平台Log4shell 和其他漏洞已有前车之鉴，更不用说热门 Linux 开源代码库 PyPi 中曝出越来越多的恶意软件包，显而易见，如果组织未能适当保护应用程序并抵御这些风险，便要付出比以往更沉重的代价：不

4、但会对业务和用户造成经济损失和声誉损害，也会为组织带来触犯一系列监管准则的风险。此外，无论在哪些位置或是在 SDLC 流程的哪一环节采取保护措施，仅凭一层保护并不够。应用程序运行所在的整个基础设施包括网络流量、应用层代码和工作负载层（虚拟机、容器、无服务器），安全与合规管理是其中一项必要的业务条件。由于情况错综复杂，许多供应商已开始为云原生工作负载提供安全扫描、监控和可观测性工具，他们摒弃了松散集成的一组单一用途产品，改为通过独立的统一平台来提供所有这些功能。“云原生应用程序保护平台”(CNAPP)一词最早由 Gartner 提出，指的是“一组集成的安全与合规功能，旨在帮助组织在开发和生产过程

5、中保护云原生应用程序。”CNAPP 解决方案承诺能够基于整个应用程序基础设施的端到端可见性来对信息进行情景化分析。不过，CNAPP 的承诺与供应商实际提供的内容通常不太相符。为了帮助您选定适合自身业务的解决方案，本购买指南将概述在选择第三方企业 CNAPP 解决方案时需要考虑的事项和注意的问题。整体性可见性最小特权适用于多种工作负载架构管道安全自动化适用于多种环境更合理的左移前瞻式威胁防护风险评分十大考虑事项4 4云原生应用程序 保护平台评估 CNAPP 解决方案的 十大考虑事项如果您正在市场上寻找 CNAPP 解决方案，除非所选解决方案能够提供以下十大优势，否则请不要轻易在合同上签字。5 5

6、云原生应用程序 保护平台整体性。整体性。组织寻求“一站式”方法，希望既能保护森林（整个应用程序），又能保护树木（工作负载），同时可与组织现有堆栈进行集成。应用程序工作负载安全是由多个团队执行的一组复杂活动，涉及从编码到运行时的整个开发生命周期。团队使用自有安全工具的情况不在少数，诸如适用于开发人员的静态和动态测试工具，以及适用于运营团队的一系列运行时漏洞扫描程序。不同团队在工作中多半也各自为战，这种割裂使得安全团队很难落实无缝的端到端应用程序安全流程。CNAPP 平台必须解决这一问题，能够与组织现有应用程序安全堆栈深度集成，并在整个应用程序的生命周期和生态系统中促进跨团队协作安全流程。可见性。