FortiCNAPP如何全方位保障云原生应用安全

　　如今，越来越多的企业开始拥抱云原生，因为云原生具备效率、弹性和规模化扩展的潜力。然而，也正是由于这些特性，使得传统的防护措施很难有效保护云原生应用程序。因为在云原生架构中，工作负载是短暂的，部署是自动化的，基础设施则是由代码定义的……传统的安全防护措施几乎失灵。你的安全体系，能适应这些现实情况吗?

　　云原生应用程序保护平台(CNAPP)的出现，化解了这一难题。CNAPP将多种安全能力整合到一个统一的框架中，旨在为云工作负载提供全生命周期的防护。它覆盖了从开发、部署到运行时的每一个阶段。如果实施得当，CNAPP就能够实现全面且可以持续运营的安全防护。一个完整的CNAPP平台应该具备四种核心能力：云安全态势管理(CSPM)、云工作负载保护(CWP)、云基础设施权限管理(CIEM) 以及云检测与响应(CDR)。Lacework FortiCNAPP 将这四种能力整合到一个统一平台中，实现了检测、防护与修复，它可以支持应用程序的全生命周期和不同类型的遥测数据——从基础设施配置到运行时的信号。本文将为您介绍如何利用CNAPP保障云原生工作负载全生命周期的安全，以及Fortinet如何帮助企业在各种环境中落地CNAPP。

　　部署之前：在代码层面筑牢安全防线保障云原生工作负载安全的首要环节是代码本身。如果不进行管控，基础设施即代码(IaC)、容器镜像或应用程序库中的漏洞会很容易被引进生产环境。Lacework FortiCNAPP 可以直接与 CI/CD(持续集成/持续部署/交付)流程集成，在部署前就检测出代码、模板和镜像中的风险。它还能扫描出硬编码密钥、权限配置错误、未授权的基础镜像和过时的库。随后，开发人员就会在他们的工具链中收到反馈，让他们能够及时解决问题，不影响交付进度。为了实现更深度的分析，FortiDevSec提供了静态与动态双重测试能力，可以在软件开发的早期就识别出不安全的函数、逻辑缺陷或注入风险。有了这些工具，安全防护在第一次部署前就开始运行了，可以大幅降低漏洞进入云环境的概率。

　　持续监控：实时把控配置与安全态势有时候云原生应用程序的代码本身并没有问题，但如果被部署到一个配置错误的环境中，这些代码也会产生安全风险。比如暴露在公开环境中的存储桶、权限过于宽松的IAM(身份与访问管理)角色和禁用的日志记录，它们都是常见的而且可以预防的错误，经常会被攻击者利用。Fortinet可以通过 FortiCNAPP内置的CSPM解决这一痛点。CSPM 会持续监控已经部署好的环境，检测配置偏移、安全策略违规与不合规的资源变更。无论工作负载是部署在哪个公有云平台上，还是同时分布在多个云平台中，FortiCNAPP 都能提供集中化的可视性与修复指导。这种实时态势监控还支持主流合规框架，如GDPR、ISO 27001等等，可以帮助安全团队在问题升级成违规行为之前及时做出响应。

　　运行时防护：结合多源信号保护工作负载我们都知道，云原生工作负载不会处于静止状态：容器可以在几秒钟内完成启动和关闭，无服务器函数会按需触发，微服务会在分布式层级间进行交互。因此，运行时防护必须能在这种动态环境中运行。Lacework FortiCNAPP具备CWP功能，可以监控应用程序、容器和无服务器工作负载的运行时行为。它能够建立正常行为基线，检测出异常活动，并标记潜在威胁，例如意外的流程启动、尝试提升权限的行为或在容器之间进行横向移动。但FortiCNAPP的防护不仅限于主机或容器遥测：它还集成了CDR能力，能实时分析 Kubernetes(容器编排平台)和云服务商审计日志，检测出控制平面内未授权的尝试访问行为、权限滥用或入侵迹象。这种广泛的可视性能够检测出仅依靠代理的工具可能漏掉的威胁，且无需用户承担额外的运营成本。 同时，这些来自CWP与CDR的互补信号，会与Fortinet Composite Alerts(Fortinet 复合警报)功能整合起来，进行跨运行时代理与云审计日志的关联分析。随后，系统会生成包含丰富上下文信息的高可信度告警，使安全团队能够及时检测出复杂的入侵行为，并做出精准的响应，从而实现更全面的检测，同时降低误报率。

　　精准防御：强化应用层防护的关键环节除了基础设施，许多云原生攻击还会瞄准应用程序层——尤其是Web应用与API。如业务逻辑滥用、注入攻击、撞库攻击，这些攻击方式往往能完全绕过基础设施级别的防护。FortiWeb与FortiWeb Cloud具备针对应用程序的高级WAF与API防护功能，它们可以和FortiCNAPP运行时风险模型深度集成，构建端到端的防御体系，既能识别传入流量，也能洞察目标工作负载的行为。通过将WAF洞察与工作负载遥测数据进行关联分析，Fortinet可以帮助安全团队做出更明智的决策，进行更快速的响应。例如，一旦检测到恶意的API行为，并且该行为与容器内部的异常活动有关联，安全团队就可以立即隔离那些受到影响的工作负载，并在边缘节点阻断访问行为。

　　全周期安全：实现自动化和统一编排虽然保护从代码到运行时的工作负载非常复杂，但是自动化可以显著降低这种复杂度。FortiCNAPP支持基于策略的控制、自动化修复，并且能与FortiSOAR(Fortinet安全编排、自动化与响应平台)集成，实现跨团队的工作流编排。当FortiCNAPP检测到配置错误时，就会触发纠正操作，或者为相关团队创建工单;如果在运行时出现可疑行为，它还能发出告警、隔离受影响的对象，并将该事件与之前的漏洞或暴露点关联起来，为安全团队与开发运维团队提供完整的上下文信息。对于云规模不断变化的企业来说，这种自动化尤其重要。因为它可以确保安全策略随着环境不断变化，将团队从7*24小时的人工监控中解放出来。

　　按需扩展：构建动态适配的云安全体系保障云原生工作负载安全的核心不仅仅是 “防护”，还有 “适配”。因为环境会变化，团队的效率会提升，每天都会有新的服务被采用。Fortinet的CNAPP方案能够匹配开发节奏，它的防护范围也可以随着企业的基础设施同步演进。通过将IaC扫描、CSPM、工作负载运行时防护、WAF及API安全整合到统一平台，FortiCNAPP能够帮助用户保护云原生技术栈的每一层。更重要的是，它实现了持续且贴合场景的安全防护——从程序员敲下第一行代码开始，到生产环境中流转的最后一个数据包为止，覆盖云原生工作负载的全生命周期。

　　资料来源于网络，详情请点击：Web安全网关（SWG）（https://www.fortinet.com/cn/products/secure-web-gateway）