Die CNAPP: Ein Multitool zur Kontrolle der Cloud-Plattform

CNAPP: Multitool für Cloud-Governance

Cloud-native Application Protection Platform: Werkzeug zur Stärkung der Cloud-Compliance

Keyfacts:

  • Mit der zunehmenden Nutzung von Cloud-Diensten wächst bei Banken, Versicherungen und anderen Finanzdienstleistern der Bedarf an einer effektiven Cloud-Governance.
  • Mit einer Cloud-native Application Protection Platform (CNAPP) können die Cloud-Umgebungen der Nutzenden nicht nur sicherer gemacht werden – die Anwendung vereinfacht auch das Compliance-Management.
  • Bei der Auswahl sollten im Vorfeld zahlreiche Fragen geklärt werden, um die beste Lösung für die eigene Sicherheitsstrategie zu finden.

    Die Cloud-native Application Protection Platform (CNAPP) rückt zunehmend in den Fokus von Banken und Finanzdienstleistern. Denn sie bietet einen umfassenden Schutz für die gesamte Cloud-Infrastruktur und cloudbasierte Anwendungen, indem sie Bedrohungen frühzeitig identifiziert und abwehrt.

    Markus Tomanek und Felix Flohr (beide KPMG) erläutern im Interview, aus welchen Komponenten eine CNAPP besteht, für wen sie sich eignet und welche Herausforderungen bei der Auswahl einer geeigneten Lösung bestehen.

    Was sind die Vorteile einer CNAPP und aus welchen Komponenten besteht sie typischerweise?

    Markus Tomanek: Ziel der CNAPP ist es, die Cloud-Umgebungen der Nutzenden sicherer zu machen und das Compliance-Management von Cloud-Umgebungen zu vereinfachen. Die CNAPP bietet eine Plattform, die Funktionen und Werkzeuge zur Konfiguration der Cloud und ihrer Dienste konsolidiert und vereinheitlicht.

    Eingeordnet im Paradigma der Cloud-Transformation, ist es – richtig eingesetzt – das derzeit mächtigste Werkzeug für eine umfassende Cloud-Governance. Das gilt erst recht aufgrund der technischen Spezifika, die anwendergerecht aufbereitet sind. Es braucht keine jahrelange Expertise, um das Tool richtig anwenden zu können. Aber es braucht eine erfahrene Hand, um es auf die spezifischen Bedürfnisse anzupassen.

    Felix Flohr: Die im Detail wichtigsten Komponenten einer CNAPP sind dabei das Cloud Security Posture Management (CSPM) und die Cloud Workload Protection Platform (CWPP). Darüber hinaus beinhaltet die CNAPP weitere Funktionalitäten wie Runtime Protection oder DevSecOps-Tools.

    Das Bündeln dieser Funktionen auf einer Plattform verringert die hohe Komplexität des Themas Cloud Security. Unserer Meinung nach werden die Begriffe CSPM und CWPP bald keine Rolle mehr spielen. Sie werden künftig konzeptionell unter CNAPP zusammengefasst.

    Gut zu wissen: Weitere Informationen zu CNAPP und was sie vom klassischen Cloud Security Posture Management unterscheidet, erfahren Sie in unserem Webcast „Operative Cloud Security“.

    Für wen ist eine CNAPP interessant?

    Felix Flohr: Eine CNAPP ist vor allem für Unternehmen relevant, die umfangreiche cloudbasierte Anwendungen betreiben und ein hohes Maß an Sicherheit benötigen. Da das im Finanzsektor fast regelmäßig der Fall ist, sollten grundsätzlich alle Banken, Versicherungen und andere Finanzdienstleister die Implementierung einer CNAPP in Erwägung ziehen.

    Das gilt insbesondere vor dem Hintergrund des Digital Operational Resilience Act (DORA) und der zweiten EU-Richtlinie zur Netzwerk- und Informationssicherheit (NIS-2): Sie haben die regulatorischen Anforderungen zur Erhöhung der Cyber-Resilienz weiter verschärft und erfordern den Einsatz leistungsfähiger und aufeinander abgestimmter Tools, die in jeder Bedrohungslage Abhilfe versprechen.

    Markus Tomanek: Eine CNAPP ist wie ein Schweizer Taschenmesser: Sie ist ein Multitool und bietet Hilfe für die unterschiedlichsten Situationen. Und: Die CNAPP lässt sich sehr individuell an die jeweiligen Bedürfnisse und vorhandenen Rahmenbedingungen anpassen. Werden zum Beispiel hauptsächlich Software-as-a-Service (SaaS)-Dienste genutzt, reicht oft eine Compliance- und Sicherheitsüberwachung aus.

    Wird jedoch vermehrt auf Platform-as-a-Service (PaaS)-Dienste zurückgegriffen, sollte ein leistungsfähiges Schwachstellen-Scanning vorhanden sein und auf Funktionen wie Policy-as-a-Code-Überwachung und automatisierte Behebung von Sicherheitslücken zurückgegriffen werden können. Das alles lässt sich mit einer CNAPP abbilden.

    Wie bewältigen Finanzdienstleister die Herausforderungen von Cloud-Compliance und DORA? Wir haben 100 GRC- und IT-Verantwortliche aus Banken, Kapitalanlagegesellschaften und Versicherungen befragt.

    Hier geht's zur Studie

    Was sind die Herausforderungen bei der Auswahl einer CNAPP-Lösung?

    Felix Flohr: Die derzeit erhältlichen CNAPP-Lösungen unterscheiden sich zum Teil deutlich, da es verschiedene Hersteller gibt, welche häufig unterschiedliche Schwerpunkte setzen und sich auch gezielt voneinander differenzieren wollen.

    Bei der Auswahl einer CNAPP sollten daher vor allem folgende Fragen im Vorfeld geklärt werden: Welche einzelnen Features und welche User Interfaces werden genau benötigt? Wie leistungsfähig sollen die einzelnen Anwendungen jeweils sein? Und wie intensiv sollen manuelle Kontrollen und manuelles Eingreifen möglich sein? Dabei gilt natürlich: Die Anforderungen sollten systematisch aus der eigenen allgemeinen Sicherheitsstrategie abgeleitet werden.

    Markus Tomanek: Um die richtige Auswahlentscheidung zu treffen, ist es zunächst wichtig zu verstehen, was das jeweilige Hersteller-Portfolio beinhaltet und was diese Komponenten können und was nicht. Die CNAPP bietet zudem eine leistungsfähige Kollaborationsplattform zwischen Anwendern, Sicherheitsfachkräften und den Cloud-Administratoren.

    Allerdings muss man hier festhalten: Die CNAPP ersetzt weder ein dediziertes Bedrohungsanalysetool noch ein klares, einheitliches Operating Model, bestehend aus Architektur und Kontrollen. Bevor einzelne am Markt verfügbare Lösungen bewertet und ausgewählt werden, sollte daher Klarheit über die Möglichkeiten, aber auch die Grenzen einer CNAPP bestehen.

    Vielen Dank für das Gespräch.

    Einblicke aus der Cloud-Praxis in der Finanzindustrie hat die KPMG Cloud-Konferenz 2024 am 17. Oktober in Frankfurt am Main geboten. Wir diskutierten mit unseren Gästen und Panel-Teilnehmenden Erfahrungsberichte und Lösungen für die Umsetzung von Cloud-Projekten.