CNAPP란
CNAPP는 Cloud Native Application Protection Platform의 약자로 클라우드 네이티브 환경에서 실행되는 애플리케이션을 보호하는 플랫폼을 의미한다.
CNAPP의 등장배경
기존의 클라우드 보안 솔루션인 CWPP, CSPM, CIEM들으로는 클라우드 네이티브 환경에서 발생하는 보안문제들을 충족시키기 어려워졌다. 이를 해결하기위해서 개발 초기부터 보안적인 요소를 고려하는 DevSecOps 환경으로 클라우드 보안을 옮겨가야했다.
이러한 아이디어를 통해서 가트너에서 2020년에 정의한 개념이 CNAPP이다. 개발 프로세스 전과정에서 보안적인 요소를 고려하는 DevSecOps 환경을 구상하여 클라우드 보안환경을 개선하고, 기존의 파편화된 클라우드 보안을 CNAPP라는 하나의 플랫폼에서 통합관리하여 개선해나가야한다는 것을 의미한다.
정리하자면 CNAPP 등장배경은 클라우드 보안솔루션(CWPP, CSPM, CIEM등)의 통합과 DevSecOps의 환경으로 전환이다.
CNAPP의 구성요소
CNAPP와 자주 등장하는 개념인 CIEM, CWP, CSPM위주로 정리해 보았다.
1. CIEM
누가 어떤 클라우드를 자원 사용할수 있는지에 대한 권한 관리를 해주는 기능을 한다. 유사한 서비스로는 AWS에 IAM이 존재하는데, CIEM는 멀티클라우드 환경에서 IAM을 관리해준다는 측면에서 차이점이 존재한다.
예를들어 클라우드 보안에서 핵심은 최소권한부여인데, 특정 사용자가 필요이상의 데이터베이스 접근권한을 가지고 있으면, 이를 감지하여 알려주거나 자동으로 권한을 수정해주는 역할을 할수있다.
2. CWPP 또는 CWP
애플리케이션 워크로드(호스트, 컨테이너, 쿠버네티스, 서버리스)에서 발생하는 보안위협으로부 보호하기 위한 솔루션을 의미한다.
CWP를 통해 애플리케이션 워크로드에서 발생할수 있는 제로데이 공격, 멀웨어, 취약성 익스플로잇드을 CWPP라는 플랫폼을 통해서 보호받을수 있다.
3. CSPM, KSPM(클라우드 형상관리)
CSPM은 클라우드의 보안적인 부분이 현재 어떤 상태인지 체크할수있는 솔루션이다. KSPM은 쿠버네티스에서의 보안적인 부분을 체크하는것을 의미한다.
CSPM을 통해 멀티 클라우드 환경에서 발생하는 구성오류와 컴플라이언스 문제들을 가시성있게 확인하기 위한 위험평가 및 시각화 기능등을 제공한다.
참고자료