企业CNAPP建设建设原则与能力有哪些？

CNAPP 的建设路径依赖于企业的建设阶段，企业处在不同的云原生安全建设阶段，其需要构建的 CNAPP 能力也不尽相同。

建设原则：1. 无缝集成。无缝集成指的是在 CNAPP 建设过程中，应力求做到无缝集成，即能够将 CNAPP 涉及的多个方案、 工具等进行有效集成，并能够与本地开发环境紧密配合。具体而言，要做到无缝集成可以从集成的广度 及深度两个指标入手进行衡量。在广度方面，一个有效集成的 CNAPP 应具有覆盖制品安全、基础设施 安全、运行时安全三大方向的能力，通过将多种安全方案与工具做到在一个安全平台内能够对整个云原 生安全应用的各个组成部分进行高可视性的监控并在发生安全事件时以整体为对象帮助安全人员及时进 行补救。在深度层面，无缝集成的 CNAPP 在所覆盖的每一个安全方面上都应能有效触及到全部细分功能， 并自动调度对应的方案与工具进行处理。例如在运行时安全中应能够同时触及 Web 应用和 API 保护、 运工作负载保护及网络微隔离，并针对每个细分问题进行针对型的方案调度。例如在运工作负载保护功 能中针对主机运行时安全及容器运行时安全分别进行针对性处理。 

2. 以应用为中心 。CNAPP 的“以应用为中心”原则强调对云原生应用全生命周期的安全保护。它专注于应用及其运 行环境，包括代码、配置和数据的安全。CNAPP 通过自动化集成到 CI/CD 流程中，实现安全扫描和合 规性检查，同时利用行为分析技术监控应用行为，快速识别并响应安全威胁。此外，CNAPP 提供端到 端的可见性和监控，确保安全团队能够全面了解应用状态。它还支持跨云环境的一致性安全策略，帮助 企业满足合规性要求，同时优化用户和开发者的体验。这一原则确保了云原生应用的安全性，同时提高 了开发和运维的效率。

3. 安全左移。在 CNAPP 的建设过程中应遵循安全左移原则。与常规应用不同，云原生应用因其架构更加灵活与 动态，因此所面临的安全挑战也更为复杂，出现安全问题可能造成的损失也会更严峻。因此在云原生应 用领域安全不应再作为一种事后的补充，而应该作为一个内置的过程嵌入到整个开发运营过程当中。因 此在建设 CNAPP 时不但要保证安全团队使用的便利性，还要保证其能够同时被开发团队接受，并快速 与开发环境相融合。具体而言建设得当的 CNAPP 应该能够在开发过程中就为开发人员提供漏洞检测、 漏洞修复等功能，帮助开发人员将安全性在应用开发的早期就融入到基础设施当中。

4. 自动化。在 CNAPP 的建设过程中，自动化原则分两方面。其一是为了减少开发人员和安全人员的额外精力 投入，还应尽量保证整个过程的自动化水平。例如优质的 CNAPP 产品在安全工具、安全策略的集成过 程中应尽量减少人工介入的需求，做到自动检测，自动整合，自动优化。另一方面是在 CNAPP 的后续 使用过程中，各类功能也都应该尽可能实现自动化以减少安全人员的工作量，特别是对于重复性的低难 度工作，可以根据先前的处理经验及安全人员设置的策略进行自动处理。更进一步还可以将大模型与 CNAPP 重合，降低 CNAPP 使用门槛，提高使用体验并能够对更复杂的安全问题进行自动化处理。

5. 简单化。在 CNAPP 的建设过程中，为了最大化投入产出比，实现降本增效，应遵循简单化原则，包括简化 复杂的安全基础设施和安全概念、为跨团队协同提供更简洁的方式以及降低开发、安全团队的复杂性。 例如利用 CNAPP 的高度集成、高可视性等优点，将原先需要安全人员投入精力去判断相关性的安全事件、 安全问题进行精简呈现，减少所涉及到的安全工具数量；利用其覆盖云原生应用全生命周期的优势连接 开发团队和安全团队使之在统一平台上进行合作，简化跨团队协作的成本；通过自动化来减少不必要的 工作量，精简开发、安全团队的人员复杂性，确保每一个人都发挥最大的价值。

CNAPP 的建设路径依赖于企业的建设阶段，企业处在不同的云原生安全建设阶段，其需要构建的 CNAPP 能力也不尽相同。

1. 建设初期：了解CNAPP基础能力，树立一体化安全意识。在云原生应用保护平台（CNAPP）的建设初期，企业往往面临着一系列挑战。尽管企业可能已经开 始了云原生安全的相关建设，但这些措施往往是孤立的，缺乏一个统一的防护框架。这是因为在云原生 安全技术的早期发展阶段，还没有形成成熟的体系化防护框架，同时，由于资源和技术基础的限制，安 全技术供应商往往只能专注于云原生安全的某个细分领域，开发出早期可落地的产品。 随着云原生技术被应用于更多核心业务，这种分散的安全防护体系显然无法满足日益增长的安全需 求。安全防护体系的一个显著特点是木桶效应，即整体防护效果往往受限于最弱的环节。此外，云环境 下的安全孤岛和整体复杂性的增加，缺乏端到端的可观测性，为网络攻击提供了可利用的盲点，同时也 增加了企业协同运维管理的难度。

因此，企业需要从云原生整体的技术栈出发，从网络安全完整的攻击链出发，构建一个覆盖开发到 运行时流程的一体化云原生安全防护体系。在这个阶段，企业用户需要对自身的云原生安全建设进行深 入剖析，明确关键安全需求，并选择合适的方式开展云原生一体化建设。

2. 建设中期：完善CNAPP全面能力，构建完整CNAPP方案。在建设中期，企业已经明确自身需求，充分了解 CNAPP 基本建设原则和路径，并且内部安全工具 已去繁化简，且已构建相关人员一体化安全防护意识。在该阶段，企业应根据 CNAPP 关键能力列表和 框架，集成现有工具或平台，形成一体化的云原生应用防护。如表 2 所示，CNAPP 所需具备的基础能 力包括五个方面，分别是开发安全、云工作负载保护（CWPP）、云安全态势管理（CSPM），以及云检 测与响应，。 在开发安全方面，企业应对提供源码安全检测和软件成分分析，易于融入 CI/CD 流程，确保代码安全。 同时，我们支持镜像安全扫描、可信镜像管理，以及对制品环境的访问控制和行为审计，实现自动化漏 洞扫描和报告，保障制品安全。

在云工作负载保护（CWPP）方面，企业应当实现风险管理、云原生安全态势管理（KSPM），以及 运行时安全与事件响应。其中，风险管理的基本要求是企业建设的 CNAPP 方案可以实现对所有镜像及 镜像仓库、容器主机和虚拟机实例进行漏洞扫描，同时具备灵活的安全报告输出形式，支持 word、 pdf、excel 等多种形式的报告。另外类似漏洞扫描的风险管理方式应该易于集成到 CI/CD 流程中，帮 助生成自动化的漏洞扫描和报告。其次，风险管理应该具备完善、全面的漏洞情报源，具备统一的漏洞 清单。云原生安全态势管理的基本要求首先是需要提供云原生资产的统一资产清单，这里的资产包括 kubernetes 集群资产和云上资源，同时应当为所有资源创建简单灵活的策略设置和漏洞修复，具备运 行时修复和 IaC 修复能力。运行时安全与事件响应要求企业建设的 CNAPP 方案可以在策略中执行镜像 配置规则和简单实施基础镜像补救措施，同时对工作负载上的恶意活动进行实时检测，具有持续更新的 规则和集成威胁信息源能力。并且在安全事件发生后具备强大的调查和强大的调查和取证能力，如证据 获取、自动化调查 / 取证。此外，企业应该尝试使用 AI 技术增强和提升攻击检测的能力。建设中期阶段 的 CNAPP 应该能够结合 Agent 和 Agentless 通过创建统一解决方案的方式简单快速地部署到本地开发 流程当中。此外，应为威胁检测、漏洞管理等全方位功能提供云工作负载和 Kubernetes 编排的服务的 统一的操作界面，最大程度上增加安全问题的可视性，确保安全人员在处理问题时不必在多个控制面板 之间来回切换以提高使用体验。

在云安全态势管理（CSPM）方面，企业应当能通过 CNAPP 实现态势管理（云 /IaaS）、云漏洞管 理及权限 / 授权管理功能。具体而言在这一阶段态势管理要求企业所构建的 CNAPP 能够检测和配置任 何云中的设置，这需要支持策略即代码的自定义策略，例如 Open Policy Agent [OPA]，以及与行业框 架和合规监管要求一致的现成策略库。此外 CNAPP 还应保证能够实时检测跨云的工作负载和编排服务 中出现的配置漂移以及在受到攻击后循序进行综合多个事件的高级攻击路径分析，并基于其结果生成一 份对所有策略和配置状态进行详细和灵活的报告，应支持 word、pdf、excel 等常见形式并能够允许安 全团队根据需要对报告进行自定义调整。在云漏洞管理方面，本阶段内 CNAPP 应具备通过将运行时上 下文与静态检查相结合，从而为安全漏洞进行排序，便于安全人员快速识别关键问题。最后在权限 / 授 权管理功能上 CNAPP 应具备识别和分析风险配置的用户属性和设置的能力，并根据权限使用情况，并 能够按照最严格的身份和访问策略落地执行。 在云检测与响应方面，建设中期的 CNAPP 应具备绝大部分核心能力。包括能够跨云、容器和 Kubernetes 等多个不同的平台进行实时的恶意活动和恶意行为检测，并不断更新规则集成威胁源，让 安全团队具备更强的及时反应能力及总结备案能力；具备强大的调查和取证能力，能够完成证据捕获、 自动化调查及取证操作，并将获取到的证据及时存档并与第三方安全工具和平台快速对接，构建起全方 位保护机制；能够检测和分析 Kubernetes 网络事件；具备主机、托管容器服务工作负载的检测和响应 能力；以及支持灵活的规则语言允许安全人员根据不同云原生应用的特点进行自定义规则。

3. 建设后期：优化CNAPP进阶能力，追求技术先进性。在云原生应用保护平台（CNAPP）的建设进入后期阶段时，企业应该采取更为细致和深入的策略来 最大化 CNAPP 的价值。这主要可以通过两个方面来实现：一是对现有 CNAPP 进行优化迭代，二是根 据企业自身的特定需求部署 CNAPP 的进阶和可选功能。这样的策略将有助于企业全方位地构建起云原 生安全防护体系。

首先，企业应该基于中期时安全团队和开发团队的实践反馈，对 CNAPP 的各项功能进行评估。这 包括判断这些功能是否真正满足产品的安全需求，以及是否存在资源配置过剩的情况。通过与团队成员 的深入讨论，企业可以有序地调整功能配置，优化资源使用效率，并通过不断的迭代来实现一个更加贴 合企业实际需求的定制化 CNAPP。这种持续的优化过程是至关重要的，因为它确保了 CNAPP 能够随着 企业需求的变化而进化。 其次，企业应该保持对新技术的敏感性，并在发现有价值的技术时及时更新 CNAPP 平台。这种更 新不仅是为了保持技术的先进性，也是为了确保 CNAPP 能够适应不断变化的云原生环境和安全威胁。 通过这种方式，企业能够确保其 CNAPP 平台始终处于行业前沿，从而更好地保护其云原生应用。

通过这些进阶和可选功能的集成，企业不仅能够提升 CNAPP 的功能性，还能够提高其在云原生安 全防护中的整体效益。这样的全方位策略将有助于企业在不断变化的云原生环境中保持领先地位，确保 其应用和数据的安全。