Zscaler ergänzt Plattform um CNAPP

Cloud-Apps von Anfang an sicher

19. Juli 2022, 7:00 Uhr | Wilhelm Greiner
© Zscaler

Der US-amerikanische Security-Spezialist Zscaler hat auf seiner Hausmesse Zenith in Las Vegas die neue Lösung Posture Control angekündigt. Die CNAPP-Software (Cloud-Native Application Protection Platform) soll es DevOps- und Security-Teams ermöglichen, Risiken in Cloud-nativen Anwendungen schon früh im Entwicklungszyklus zu erkennen, zu priorisieren und zu beheben.

Ist eine Anwendung sicher geschrieben, senkt dies den Security-Aufwand später beim Betrieb – klingt logisch, ist aber leider oft nicht der Status quo. Eine Folgerung aus der mitunter etwas gebrechlichen Applikations-Sicherheitslage war es deshalb, von der nachträglichen Absicherung von Applikationen abzurücken und Security schon möglichst früh im Entwicklungszyklus zu verankern. Auf der Zeitachse verschiebt sich die Berücksichtigung von Sicherheitaspekten damit nach links, weshalb der Ansatz „Shift Left“ („nach links verschieben“) heißt.

Um das Übel unsicherer Apps an der Wurzel zu packen, benötigen Unternehmen einen Security-Werkzeugkasten, der den gesamten CI/CD-Lebenszyklus (Continuous Integration/Continuous Delivery) abdeckt und sich möglichst glatt in die Arbeitsabläufe von Entwicklungs- und DevOps-Teams einfügt. Für die Betriebsphase wiederum brauchen sie die Möglichkeit einer echtzeitnahen Überwachung in den diversen Betriebsumgebungen. Im Fall moderner, also Cloud-nativer Anwendungen bedeutet dies: auf den Cloud-Plattformen der Hyperscaler. Diese Scheibe des großen Security-Kuchens, die sich der Absicherung von Cloud-Anwendungen über deren gesamten Lebenszyklus widmet, nennt sich CNAPP, kurz für Cloud-Native Application Protection Platform.

Um derlei CNAPP-Funktionalität hat nun Zscaler seine Angebotspalette erweitert – ein naheliegender Schritt, sorgt doch der US-amerikanische Anbieter mit seiner Cloud-basierten Security-Plattform Zero Trust Exchange bereits für die sichere Nutzung von Multi-Cloud-Umgebungen. Die neue Lösung namens Posture Control basiert auf den Sicherheitsfunktionen von Zscalers Workload-Protection-Lösung, die für den Schutz von Cloud-Anwendungen konzipiert ist, und integriert die Software von Trustdome, einem CIEM-Anbieter (Cloud-Infrastructure-Entitlement-Management, Überwachung von Zugriffsrisiken in Cloud-Umgebungen). Zscaler hat Trustdome im Frühjahr 2021 akquiriert.

Anbieter zum Thema

zu Matchmaker+
„Der Zscaler-Deception-Ansatz ist in Zscaler Private Access integriert“, betont Zscaler-VP Nathan Howe.
„Dies ist die nächste Schicht der IT-Sicherheit“, sagt Zscaler-VP Nathan Howe.
© Zscaler

Anwendungen werden laut Nathan Howe, Vice President Emerging Technologies bei Zscaler, heute immer weniger für den lokalen Betrieb entwickelt und immer mehr für die Cloud. Zugleich gebe man die Entwicklung häufig an externe Dienstleister heraus. Vor diesem Hintergrund war es laut Howe Zscalers Ziel, die diversen Bausteine für Cloud-Sicherheit, -Compliance, -Sichtbarkeit und -Integration in einem einzigen Werkzeug zusammenzuführen: ein Tool für CSPM (Cloud-Security-Posture-Management), DLP (Data Leakage Protection), Bedrohungskorrelation, Schwachstellenscans und eben CIEM.

Posture Control dient dazu, alle namhaften Cloud-Umgebungen in einer einzigen Ansicht abzudecken, während es die Entwicklungs- und Laufzeitsicherheit Cloud-nativer und VM-basierter Anwendungen mit einem einheitlichen Datenmodell zusammenführt. „Die Kunden haben damit eine umfassende Sichtbarkeit und Kontrolle“, sagt Howe und meint damit: von der Entwicklungsumgebung bis zur Zuweisung von Zugriffsrechten für Cloud-Applikationen.

Die Integration in die Applikationsumgebungen der Anwenderunternehmen erfolgt dabei per APIs, um der Zscaler-Software die nötigen Informationen zu Konfiguration und Zustand der Apps zu verschaffen. Das Resultat: „Wir geben ihnen (den Unternehmen, d.Red.) den High-Level-Überblick, was sich in ihrem Applikations-Ökosystem tut, und zwar live“, sagt Nathan Howe. Zscalers Bedrohungs- und Risikokorrelation zeige alles von Fehlkonfigurationen bis zu verdächtigen Aktivitäten an – beispielsweise Prozesse, die auffällig viele Ressourcen verbrauchen, was auf einen Cryptominer hinweisen könnte.

Schon im Entwicklungsstadium weise Zscalers IaC-Scanning (Infrastructure as Code) auf Softwarerisiken hin, zum Beispiel auf eine falsch gesetzte Variable, die den Einsatz unverschlüsselter statt verschlüsselter Datenspeicherung bedeute. Ergänzend kommen Workload-Scans hinzu. Howe betont, dass es sich um agentenlose Scans handelt: Da die Kommunikation zwischen Anwendungen und Zscaler-Plattform komplett über APIs läuft, erübrige sich der Aufwand, Softwareagenten zu installieren. Die API-basierte Sicherheitskontrolle ergänze damit herkömmliche Vulnerability-Scans, so Howe. Zugleich nutze die Software APIs, um den Soll-Zustand der Zugriffssicherheit mit dem Ist-Zustand abzugleichen, um dann auf Inkonsistenzen hinzuweisen.

„Dies ist die nächste Schicht der IT-Sicherheit“, sagt Nathan Howe. Um sie unters Volk zu bringen, schule Zscaler derzeit Vertriebspersonal für den Umgang mit nicht IT- oder gar IT-Security-affinen Zielgruppen. „Wir arbeiten mit Bestandskunden zusammen, um zu identifizieren, mit welchen Personen wir sprechen müssen“, so Howe. Sprich: Auch Zscalers Vertriebsaktivitäten müssen nun „nach links“ wandern.


Lesen Sie mehr zum Thema


Jetzt kostenfreie Newsletter bestellen!

Weitere Artikel zu Zscaler GmbH

Weitere Artikel zu Security-Service-Provider

Weitere Artikel zu Security-Management

Weitere Artikel zu Security-Services

Weitere Artikel zu Konica Minolta Business Solutions Deutschland GmbH

Weitere Artikel zu Datto

Weitere Artikel zu Razorcat

Matchmaker+