CNAPP-Studie der Marktforscher von Frost&Sullivan Sicherheitstechniken für 'Cloud Native' auf dem Radar

Anbieter zum Thema

Windhoff Group

Aqua Security

Palo Alto Networks (Germany) GmbH

Frost & Sullivan

TREND MICRO Deutschland GmbH

Den Markt der Sicherheits-Programmpakete für große originäre Cloud-Anwendungen untersuchen die Marktforscher von Frost&Sullivan in ihrer Studie „Cloud Native Application Protection Platforms (CNAPP), 2022“. Hier die wichtigsten Ergebnisse.

Monolithische Anwendungen werden immer mehr abgelöst durch flexible, agil entwickelte und Cloud-basierte Anwendungen, die in (hoffentlich) gut gesicherten Containern verpackt sind und von so genannten Orchestrierungs-Plattformen wie „Kubernetes“ verwaltet werden. Die Modularisierung einerseits und das mittlerweile übliche simultane Zusammenspiel von Entwicklung, Test und Einbringen in den Live-Betrieb anderseits fordert natürlich auch neue Sicherheitskonzepte.

Besser gesagt: Es sind nicht unbedingt neue Konzepte, aber die alten bewährten Konzepte müssen neu angeordnet, besser verzahnt und teilweise sicher auch an neue Gegebenheiten inhaltlich angepasst werden. Ob deswegen dauernd auch neue Abkürzungs-Ungetüme wie CNAPP entwickelt werden müssen, sei dahingestellt. Analysten sind aber eben gern „Taufpaten“, trägt es doch zur eigenen Profilierung und Kundenakquise bei.

Zuerst müssen die Menschen zusammenfinden

Wichtig für den möglichst sicheren Betrieb von großen originären Cloud-Anwendungen ist in erster Linie ein enges Zusammenwirken von Entwicklerinnen, IT-Plattform-Spezialisten und Security-Teams. Gut zusammenpassende Sicherheitsplattformen können ein solch enges Zusammenwirken niemals ersetzen, aber sie können es befördern. Und wenn das Ganze dann noch einen halbwegs aussprechbaren Namen wie CNAPP („Knapp“?) hat, sei´s drum.

Die Frost&Sullivan-Analysten betonen zu Recht, dass die einheitliche Sicherheitsplattform noch lange nicht das Ende einer ganzheitlichen Vorgehensweise ist, müsste diese doch unbedingt auch mit DevOps, sprich der Verschränkung von Entwicklung, Test und Betrieb ihrerseits „verschränkt“ werden. Nur so ließen sich Herausforderungen wie das statische und dynamische Testen der Anwendungssicherheit [SAST/DAST], das Scannen von Anwendungsprogrammierschnittstellen (API-Scanning), die Softwarekompositionsanalyse sowie der Cloud-Risiken ganz allgemein in den Griff bekommen, die mit der Konfiguration, der Analyse des Laufzeitverhaltens und den Compliance-Anforderungen verbunden sind.

KI/ML ist auch bei „CNAPP-Lösungen“ vorne dabei

Die Autoren der hier referierten Studie zu einer ganzheitlichen Sicherheitsplattform für große originäre Cloud-Anwendungen sind sich sicher, dass viele Kunden nach einem breiteren Spektrum an Funktionen suchen, die von der Entwicklung bis zur Produktion reichen und die DevOps und DevSecOps sicherheitsmäßig integrieren. Das bedeute, dass sie CNAPP-Lösungen wünschten, die den gesamten Stack abdecken, also Code, Anwendung, Arbeitslast und Infrastruktur.

Mit solcher Technik ließe sich, so die Analysten weiter, eine ganzheitliche Sicherheitsstrategie entwickeln und ein Zero-Trust-Sicherheitsstatus über verschiedene Cloud-Umgebungen hinweg erreichen. Darüber hinaus nutzten die Unternehmen nach den Erfahrungen von Frost&Sullivan zunehmend die Möglichkeiten von KI im Allgemeinen und von Maschinellem Lernen im Besonderen (AI/ML).

Man verlagere CNAPP-Lösungen in die frühesten Phasen der Code-Erstellung und -Entwicklung und integriere sie mit KI und ML, um bessere Einblicke in das Verhalten der Workloads/Anwendungen und deren Interaktion innerhalb der Cloud-Infrastruktur zu erhalten. Gleichzeitig strebe man eine Automatisierung an, sowohl was das Reagieren auf Probleme als auch die vorausschauende Problembeseitigung angehe.

Innovation und solides Wachstum als Kriterien

Das „Frost-Radar“ der CNAPP-Studie platziert die insgesamt 15 Unternehmen, die man derzeit als ausreichend gerüstet für die oben beschriebenen Aufgabenstellungen ansieht, auf einer vertikalen Achse („Wachstums-Index“) und einer horizontalen Achse („Innovations-Index“). Der Wachstumsindex ist dabei ein „Maß für den bisherigen Erfolg eines Unternehmens sowie dafür, wie es um die „Fähigkeit zur Entwicklung und Umsetzung einer dynamischen Wachstumsstrategie“ bestellt ist, welche die Mitbewerber ebenso im Blick hat wie die potenziellen Kunden.

Der Innovationsindex ist demgegenüber ein Maß dafür, ob ein Unternehmen seine Produkte, Dienstleistungen und Lösungen mit klarem Blick auf die weltweiten technischen Megatrends entwickelt, inwieweit man mehrere regionale Märkte auf dem Globus bedient und ob man sich schnell auf Änderungen beim Kunden-Bedarf einstellen kann. Auf der Innovationsachse sieht man die Firma Aqua Security vorn und auf der Wachstumsachse Trend Micro. Das Beste aus beiden Welten (Wachstum und Innovation) wird durch die Firma Palo Alto Networks repräsentiert. Insgesamt liegen aber auch viele andere der 15 Unternehmen in einem akzeptablen Bereich.

Auch die Entscheidungsfindung muss „ganzheitlich“ sein

Die Frost&Sullivan-Leute weisen darauf hin, dass ihrer Meinung nach „Auswahl und Erwerb eines CNAPP-Produkts keine Entscheidung ist, die ein CISO allein treffen kann“. CNAPP erfordere eine enge Zusammenarbeit von Entwicklungs-, Sicherheits- und Betriebsteams, die jeweils ihre „eigenen Strategien, Präferenzen und Leistungskennzahlen“ hätten.

Das ist sicher ein Resümee, das aufgrund der in der Studie dargestellten Faktenlage erwartbar ist und eigentlich angesichts der Komplexität von größeren originären Cloudanwendungen fast banal anmutet. Die Umsetzung dürfte indes überhaupt nicht banal sein, geht es dabei doch in erster Linie um das Menschliche (oder soll man sagen: das „Menschelnde“) und erst in zweiter Linie um das „Maschinelle“.

(ID:49238491)