Daha fazla kuruluş, yeni iş özelliklerini ve dijital dönüşüm girişimlerini desteklemek için bulutta yerel uygulama geliştirmeye geçtikçe, yazılım tedarik zinciri sorunları daha görünür hale geldi. Bulutta yerel geliştirme, büyük ölçüde açık kaynaklı yazılıma dayandığından, kuruluşların bu uygulamalara giren bileşenleri düşünmeye başlaması gerekir.
Geliştiriciler, bu yerel bulut uygulamalarını oluşturmak için çevik uygulama geliştirme uygulamalarını ve hızlı yayın döngülerini benimsedi ve kapsayıcılarını ve sunucusuz işlevlerini oluşturmak için büyük ölçüde açık kaynak koduna ve geniş çapta dağıtılmış ve genellikle geniş bir topluluktan mikro hizmetlere güveniyorlar. Kaynak kodu öncelikle yerleşik bir ekosistemden gelse de, bazılarının bilinmeyen kaynaklardan veya eskimiş projelerden gelmesi yaygın bir durumdur.
Geleneksel güvenlik yaklaşımları, özellikle modern bulut bilgi işlem ve sunucusuz mimariler için uygulama geliştirmeye yönelik bu yeni yaklaşımı ele alacak şekilde tasarlanmamıştır. Bu, bulutta yerel uygulama koruma platformlarının ele almak üzere evrimleştiği alandır. Gartner, CNAPP’yi “geliştirme ve üretim genelinde bulutta yerel uygulamaların güvenliğini sağlamaya ve korumaya yardımcı olmak için tasarlanmış entegre bir güvenlik ve uyumluluk yetenekleri seti” olarak tanımlıyor.
Yakın tarihli bir Frost & Sullivan raporuna göre, CNAPP satışları 2021’de 1,7 milyar doları aşarak 2020’den yaklaşık %49 daha yüksek. Frost & Sullivan, CNAPP gelirlerinin 2021’den 2026’ya kadar yaklaşık %26’lık yıllık bileşik büyüme oranında artacağını tahmin ediyor. raporun yazarı, küresel siber güvenlik endüstri müdürü Anh Tien Vu, “bulut altyapı güvenliğini güçlendiren ve uygulamaları ve verileri yaşam döngüleri boyunca koruyan birleşik bir bulut güvenlik platformuna yönelik artan talep nedeniyle” 2026 yılına kadar gelirlerin 5,4 milyar doları aşacağını tahmin ediyor.
Geliştirme Sırasında Sorunları Önleyin
Saldırganlar, yazılım tedarik zincirine giren güvenlik açıklarından yararlanmak için bulutta yerel hedeflere giderek daha fazla yöneliyor. Geçen yıl, yaygın olarak dağıtılan Log4j Java çalışma zamanı kitaplığındaki Log4Shell güvenlik açığı, böyle bir güvenlik açığının uygulama ekosistemi üzerinde yaratabileceği geniş etkiyi gösterdi. Java uygulamalarının yaygın olarak dağıtılmış dağıtımı göz önüne alındığında, kuruluşlar, Apache Foundation’ın kamuya ifşa edilmesinden sonra bunları bulmak ve yamalamak için uğraşmak zorunda kaldı.
Enterprise Strategy Group kıdemli analisti Melinda Marks, “Log4j ile insanlar bu kitaplıkların kullanımda olup olmadığını bilmiyorlardı” diyor. Uzmanlar, Log4j’den sık sık, yazılım geliştirme yaşam döngülerinin daha yakın işbirliği yapması ve sola kayması gereken CISO’lara ve CIO’lara yönelik bir uyandırma çağrısı olarak bahseder.
Marks, CNAPP’nin kuruluşların, uygulama çalışma zamanlarını üretime dağıtmadan önce yazılım geliştiricilerin koddaki potansiyel kusurları keşfetmede başı çektiği DevSecOps süreçleri oluşturmasına olanak sağladığını söylüyor, ancak aynı zamanda daha da ileri gidiyor. Marks, “Uygulamalarınızı buluta dağıtmadan önce güvenlik sorunlarını önlemek için bu önemlidir, çünkü bunları bir kez dağıttığınızda bilgisayar korsanları tarafından kullanılabilirler” diyor.
Öncelikleri Belirlemek için Çalışma Zamanını İzleyin
CNAPP’ler, kapsayıcılar ve kod olarak altyapı (IaC), bulut güvenlik duruş yönetimi (CSPM), bulut altyapı yönetimi (CIEM) ve çalışma zamanı bulut iş yükü koruma platformları gibi geliştirme eserlerinin taranması dahil silo halindeki yetenekleri birleştirir. CNAPP, daha bütünleşik bir yaklaşım ve bulut tabanlı bilgi işlem ortamlarının risklerine ilişkin daha iyi görünürlük sağlamanın yanı sıra, güvenlik açıklarını azaltmak için ortak kontroller sağlar.
CNAPP ayrıca uygulama geliştirme, siber güvenlik ve BT altyapısı ekipleri arasındaki işbirliğini kolaylaştırarak, uygulamalar üretime dağıtılmadan önce güvenlik açıklarını tespit etmenin ve azaltmanın yolunu açar. Check Point ve Palo Alto Networks gibi güvenlik sağlayıcıları, güvenlik platformlarına CNAPP yetenekleri ekliyor.
Marks, güvenliği sola kaydırma konusunda bir yanlış anlama olduğu konusunda uyarıyor: Bu tamamen güvenliği yazılım geliştirme ve yapı döngülerinde öne taşımakla ilgili. “Çalışma zamanı izlemeyi bağlama ve geliştirici iş akışları için bu bağlama sahip olma ihtiyacı da var, böylece uygulamanın bulutta gerçekte nasıl çalışacağı üzerinde hiçbir etkisi olmayan şeyleri düzeltmek için zaman kaybetmiyorlar” diyor.