云安全
CNAPP(云原生应用保护平台)
别称: 云原生应用保护
定义
一种集成式安全平台,融合 CSPM、CWPP、CIEM、IaC 扫描与运行时检测,用于保护云原生应用从构建到运行时的全过程。
CNAPP 是 Gartner 提出的一种安全类别,把过去分散销售的能力整合在一起:云账户姿态管理、虚拟机与容器工作负载保护、IAM 权限分析、基础设施即代码扫描、凭据检测和运行时威胁检测。通过对发现进行关联——例如把一个含漏洞的容器、一个公开的负载均衡器、一个高权限角色和可触达的敏感数据串联起来——CNAPP 优先暴露真实的“攻击路径”,而不是给出长长的扁平清单。覆盖范围涵盖开发流水线、镜像仓库、Kubernetes 集群和在用云账户。CNAPP 已成为企业云安全架构的主流蓝图。
示例
- Wiz、Prisma Cloud、Orca Security 和 Lacework 是当前主流的 CNAPP 套件。
- 攻击路径图显示:暴露在公网的 Pod → CVE → 拥有 S3 管理员权限的 IAM 角色。
相关术语
CSPM(云安全姿态管理)
一类持续将云账户与最佳实践和合规基线进行比对,以发现并修复配置错误的工具。
CWPP(云工作负载保护平台)
一种保护云端工作负载(虚拟机、容器和无服务器函数)从构建到运行时整个生命周期的平台。
CIEM(云基础设施权限管理)
一种用于发现、分析并精简云环境中身份与权限的安全实践及工具类别。
云安全
用于保护托管在公有云、私有云或混合云环境中的数据、应用和基础设施的一整套策略、控制措施和技术。
容器安全
保护容器镜像、镜像仓库、编排平台以及容器运行时环境的一整套实践。
Kubernetes 安全
对 Kubernetes 集群(API Server、控制平面、节点、工作负载与网络)的保护,防止配置错误、被攻陷以及横向移动。