CNAPP (CWPP/SCPM/CIEM)

클라우드 도입이 확대되고 애플리케이션 개발 시의 보안 위협이 늘어나면서 각 위협에 대응하는 각각의 솔루션들(CWPP, CSPM, CIEM 등)이 발달해왔다. 여러 솔루션들을 통합해 간편하고 일관된 시점에서 클라우드와 애플리케이션 개발 시의 보안 위협을 효율적으로 관리하할 수 있도록 하기위해 CNAPP가 등장했습니다.

CNAPP(클라우드 네이티브 애플리케이션 보안 플랫폼 )

End-to-End 보안을 목표로 일부 문제만 해결하는 포인트 솔루션이 아니라 통합적 플랫폼 상에서의 접근을 제공.

잠재적인 보안 위협 및 취약성에 대한 모니터링, 탐지 및 조치를 간소화하고 통합 기능을 통해 클라우드 네이티브 애플리케이션의 안전성을 강화합니다.

 

 

가트너에서 정의한 CNAPP 범주

아티팩트 스캐닝과 IaC 스캐닝이 새로운 기능이고 CIEM, CSPM, CWPP는 기존 솔루션의 통합이라고 볼 수 있습니다.

• Artifact scanning(아티팩트 스캐닝)
  패키지, 컨테이너, 구성 파일, 이미지 등 소프트웨어 개발 프로세스에 의해 생성된 파일에 대해 SAST/ DAST, API 스캐닝, 소프트웨어 구성 분석, CVE, 기밀·민감정보, 멀웨어 탐지, 공격 경로 분석 등 노출 검사(Exposure Scanning)를 수행함.
• CIEM (Cloud Infrastructure Entitlement Manage: 클라우드 인프라스트럭처 권한 관리)
  클라우드 환경에서 사용자 권한 및 권한을 관리하는 프로세스를 자동화. 최소 권한의 액세스 제어를 시행하도록 설계된 ID및 액세스 거버넌스 제어 기능을 제공함.
• CSPM (Cloud Security Posture Management) & KSPM
  CSPM은 클라우드 서비스 구성, 보안 설정, 규정 준수, 클라우드 거버넌스 등 클라우드 문제를 기록, 감지, 보고함. CSPM 도구는 모니터링, 분석, 인벤토리, 자산 분류, 비용 관리 및 리소스 구성 등의 기능을 제공함. KSPM은 쿠버네티스와 도커의 CIS 벤치마크, 최소 권한 RBAC, 침투 테스트 및 Pod 배포 정책을 통해 지속적인 보안 구성을 보장함.
• IaC 스캐닝(InfraStructure as Code)
  일반적인 클라우드 네이티브 템플릿 형식을 구문 분석한 후 보안 모범 사례를 기반으로 규칙을 적용함. 환경의 보안을 강화하기 위해 추가적인 강화가 필요할 수 있는 부분에 대한 이해를 사용자에게 제공함.
• CWPP (Cloud Workload Protection Platform: 클라우드 워크로드 보호 플랫폼)
  조직이 클라우드 전반에서 워크로드를 지속적으로 보호하고 관리해 복잡한 클라우드 환경을 보호할 수 있도록 지원함. 관리 및 보안정책 정의를 중앙집중화하고 환경 전반에 걸쳐 가시성을 유지하며 확장된 보안 제어를 제공함. CWPP 시스템의 일반적인 기능에는 시스템 무결성 모니터링, 취약성 관리(어플리케이션 제어, 악성코드 탐지), 시스템 강화(방화벽, IPS 등) 및 호스트 기반 세분화가 포함됨.

 

* Cloud Workload

컴퓨팅에서 워크로드는 일정량의 메모리와 컴퓨팅 성능을 사용하는 프로그램 또는 애플리케이션입니다.

클라우드 컴퓨팅에서의 워크로드도 클라우드 컴퓨팅 환경에서 실행되는 작업이나 프로세스를 의미합니다.

클라우드에서 실행되는 애플리케이션, 서비스, 데이터 처리 등을 포함.