Что такое CNAPP?
Публичное облако — принципиально новая среда. Привычные инструменты ИБ здесь не справляются, а специалистов, разбирающихся в его специфике, на рынке мало. На помощь приходит CNAPP (Cloud-Native Application Protection Platform) — единая платформа, которая проверяет инфраструктуру на соответствие лучшим практикам, выявляет и приоритизирует риски, даёт конкретные инструкции по устранению угроз и контролирует выполнение требований регуляторов. Разберёмся, из чего состоит CNAPP и почему этот класс решений становится стандартом для организаций, использующих публичное облако.

Две проблемы защиты инфраструктуры в публичном облаке
Нехватка знаний
Переход в облако выявляет кадровые ограничения большинства ИБ-команд. На рынке недостаточно специалистов, которые одновременно обладают экспертизой в DevOps-процессах, облачных технологиях и информационной безопасности. Поэтому защитой облачной инфраструктуры часто занимаются те же специалисты, которые ранее отвечали за безопасность on-premises среды.
Облако требует принципиально иного взгляда на безопасность: здесь существует множество разнородных ресурсов (бакеты, учётные записи, виртуальные машины, контейнеры, группы безопасности и десятки других), каждый тип актива требует своего подхода к защите, у каждого облачного провайдера есть свои нюансы. Времени разобраться во всех деталях не хватает, обучающих курсов и актуальной литературы мало.
Традиционные инструменты неэффективны в облаке
При переезде в облако ИБ-команды нередко пытаются перенести привычный инструментарий из on-premises среды: сканеры уязвимостей, антивирусы, NGFW. Но облако устроено иначе. Три принципиальных отличия делают традиционные инструменты неэффективными:
периметр размыт — не ко всем ресурсам в облаке можно ограничить доступ с помощью NGFW;
среда постоянно меняется — поддерживать покрытие с помощью агентских или сетевых сканеров практически невозможно;
разрозненные инструменты видят лишь отдельные риски и не связывают их между собой — они генерируют поток не связанных между собой алертов, среди которых сложно увидеть реальные угрозы.
CNAPP — ответ на облачные вызовы
Специфика защиты инфраструктуры в публичном облаке стала причиной появления нового класса решений — CNAPP (Cloud-Native Application Protection Platform), изначально спроектированных с пониманием особенностей облачной среды.
По определению Gartner, CNAPP — это унифицированный и тесно интегрированный набор средств безопасности и контроля соответствия требованиям, предназначенный для защиты облачной инфраструктуры и приложений.
CNAPP объединяет различные инструменты безопасности в одном решении, оценивая угрозы и риски в контексте всей среды. Продукт охватывает ключевые аспекты облачной безопасности в едином интерфейсе без необходимости приобретать, внедрять и поддерживать множество разрозненных решений.
CNAPP решает проблему дефицита квалифицированных специалистов, позволяя даже небольшой команде справляться с задачами, ранее требовавшими глубокой экспертизы. Платформа обеспечивает комплексную защиту инфраструктуры в публичном облаке: ищет уязвимости, вредоносный код, секреты в открытом виде, находит небезопасные настройки облачной среды и многое другое.
CNAPP не просто выявляет риски, но и снимает нагрузку с команды за счёт корректной приоритизации угроз. Обладая полной картиной всего происходящего в облаке, платформа строит возможные пути атаки: выявляет опасные комбинации уязвимостей и настроек облака, которые позволяют злоумышленнику получить доступ к критическим данным. Так команда фокусируется на критическом 1% угроз, который формирует 90% рисков безопасности облачной инфраструктуры.
Как появился CNAPP
В 2019 году Palo Alto Networks запустила Prisma Cloud — первую платформу, объединившую CSPM и CWPP. В 2021 году Gartner формализовал новую категорию, введя термин «CNAPP».
Рынок развивается стремительными темпами: менее чем за пять лет он вырос до объемов традиционного SIEM, породив «единорогов» Wiz и Orca Security. Знаковой сделкой стала покупка Wiz компанией Google за $32 млрд в 2026 году — крупнейшее приобретение в истории кибербезопасности.
Из чего состоит CNAPP
Защита виртуальных машин и контейнеров (CWPP)
CWPP (Cloud Workload Protection Platform) обеспечивает комплексную защиту рабочих нагрузок — виртуальных машин и контейнеров — в инфраструктуре клиента.
Важная особенность этого компонента современных CNAPP-решений — безагентный подход: платформа сканирует не сами диски, а их снапшоты, созданные через API облачного провайдера.
Например, CWPP выявляет:
известные уязвимости (CVE) в ОС, пакетах и библиотеках;
вредоносное ПО;
возможности бокового перемещения с помощью секретов и SSH-ключей на ВМ и в образах контейнеров;
небезопасные настройки и несоответствие стандартам безопасности в конфигурации ОС;
изменение критических файлов (контроль целостности);
ПО в статусе EOL/EOS.
Каждая новая виртуальная машина или контейнер автоматически обнаруживается и проверяется сразу при появлении в инфраструктуре, что гарантирует 100% покрытие облачных активов без установки агентов и настройки сетевой связности. Это существенно снижает нагрузку на ИТ-команду.

Безопасность Kubernetes (KSPM)
KSPM (Kubernetes Security Posture Management) автоматически проверяет настройки Kubernetes на соответствие лучшим практикам и выявляет небезопасные конфигурации в контейнерной среде.
KSPM контролирует:
Доступы и привилегии. Проверяет права пользователей (RBAC), сервисных аккаунтов и привязки ролей, выявляя избыточные привилегии и опасные разрешения.
Конфигурацию кластера. Например, проверяет включено ли шифрование секретов в etcd, разрешен ли публичный доступ к кластеру.
Настройки подов и контейнеров. Проверяет, запрещён ли запуск контейнера в привилегированном режиме, заблокирован ли доступ к файловой системе узла.
Секреты. Находит секреты в открытом виде на контейнерах.
Контроль конфигурации облака (CSPM)
CSPM (Cloud Security Posture Management) автоматически анализирует настройки облачных ресурсов: публичность, сетевые правила, права доступа, шифрование данных и другие. Инструмент подключается к API облачного провайдера и ищет мисконфигурации — ошибки в настройках облачных сервисов, которые, по данным Cloud Security Alliance 2025, занимают первое место среди угроз безопасности в публичных облаках и которые традиционные инструменты не контролируют.
Примеры выявляемых CSPM угроз:
назначение виртуальной машине публичного IP-адреса и вывод её на периметр;
ошибки в настройках PaaS сервисов (например, предоставление публичного доступа к S3–бакету);
избыточно широкие правила групп безопасности, открывающие доступ к ресурсу из интернета;
отсутствие шифрования данных.

Также CSPM проверяет инфраструктуру на соответствие стандартам — CIS, PCI DSS, GDPR, 152-ФЗ — и сигнализирует о нарушениях.
Контроль прав доступа в облаке (CIEM)
CIEM (Cloud Infrastructure Entitlement Management) анализирует и контролирует права доступа в облаке. Его задача — обеспечить полную прозрачность доступа к облачным ресурсам и помочь соблюдать принцип минимальных привилегий (PoLP).
Согласно исследованию Cloud Security Alliance 2025, эксплуатация недостатков в управлении идентификацией и доступом (IAM, Identity and Access Management) входит в топ-2 главных облачных угроз.
В облаке могут существовать сотни учётных записей (пользователи, группы, сервисные аккаунты) и сотни прав и ролей. Вручную отследить, у кого какие привилегии и где они избыточны, практически невозможно. Утечка учётных данных или ключей даёт злоумышленнику прямой доступ к облачным ресурсам из любой точки мира — с тем объёмом прав, которым обладает скомпрометированная учётная запись. Последствия могут быть катастрофическими — вплоть до удаления инфраструктуры. CIEM минимизирует этот риск, автоматизируя аудит безопасности учётных записей и контроль прав доступа. Например, CIEM выявляет:
избыточные привилегии,
забытые и неиспользуемые учётные записи,
неротируемые ключи доступа,
отсутствие многофакторной аутентификации (MFA).
В части контроля прав доступа CIEM вычисляет не формальные разрешения из политик IAM, а реальные привилегии, которые субъект (пользователь, группа или сервисный аккаунт) фактически получает с учётом всех механизмов наследования и делегирования. Это критически важно, поскольку в облачных средах реальные права часто оказываются шире, чем прописано в настройках.
Пример наследования прав в облаке
Пользователь с минимальными привилегиями имеет право создавать ключи сервисного аккаунта. Он создаёт такой ключ и, используя его, получает права этого сервисного аккаунта, которые могут оказаться значительно шире пользовательских — вплоть до административных и с доступом к ресурсам с чувствительными данными.
IAM-сервис провайдера этого не покажет. Только CIEM, объединив исходные права пользователя, право на создание ключей, сами ключи и политики доступа к ресурсам, способен увидеть реальные привилегии.
Кроме того, CIEM решает и обратную задачу: позволяет выполнить поиск по конкретному ресурсу (например, по виртуальной машине с Active Directory или базе данных с конфиденциальной информацией) и мгновенно получить список всех субъектов, имеющих к нему доступ, с детализацией их фактических прав.
Как CNAPP анализирует и приоритизирует угрозы
CNAPP анализирует безопасность на всех уровнях облачной инфраструктуры: контролирует конфигурацию облачных сервисов (CSPM), анализирует права доступа и привилегий (CIEM), оценивает безопасность среды Kubernetes (KSPM), защищает рабочие нагрузки внутри виртуальных машин и контейнеров (CWPP).

Модули работают как единое целое: непрерывно обмениваются данными и среди разрозненных рисков — мисконфигураций, уязвимостей, избыточных прав — выявляют их токсичные комбинации, позволяющие злоумышленнику получить доступ к критическим данным организации. Вместо тысяч алертов платформа выдаёт короткий приоритизированный список реальных сценариев компрометации облачной среды, требующих устранения в первую очередь.
Без контекста всех четырёх уровней облачной инфраструктуры путь атаки остаётся невидимым.
Сценарий атаки

Мисконфигурация. ВМ был назначен публичный IP-адрес, группа безопасности разрешала входящие соединения со всех IP в интернете (0.0.0.0/0) — ВМ оказалась фактически публичной.
Соединение. Атакующий смог установить соединение с ВМ.
Получение контроля. Атакующий смог получить доступ к ВМ после эксплуатации одной из критических уязвимостей.
Боковое перемещение. В открытом виде на диске хранилась приватная часть SSH-ключа. С помощью этого ключа атакующий авторизовался ещё на двух ВМ, для которых данный ключ предоставлял доступ.
Итог: публичный IP + ошибка в группах безопасности + критические CVE + SSH-ключ в открытом виде = атака вышла за пределы одной машины и распространилась дальше. По отдельности каждый риск мог остаться незамеченным — критичной комбинацию делает именно связка всех факторов. CNAPP выявляет такие пути атаки и помогает устранить связанные с ними риски.
Шесть преимуществ полноценного CNAPP-решения
CNAPP обеспечивает безопасность облачной инфраструктуры без необходимости глубоко погружаться в специфику каждого провайдера и привлекать редких специалистов с экспертизой в облачной безопасности. Платформа выявляет, анализирует и приоритизирует риски с учётом контекста облака, а пользователь получает конкретный список действий вместо тысяч разрозненных алертов. Единая платформа — это одно внедрение, один договор, обучение работе с одним продуктом. Это позволяет сэкономить месяцы или годы, которые потребовались бы на выбор, внедрение и поддержку десятка отдельных решений.
1. Полная картина рисков в едином интерфейсе.
CNAPP консолидирует данные всех модулей — CWPP, KSPM, CSPM, CIEM — в единой панели управления, контролируя все уровни инфраструктуры. Вы видите комплексную картину и можете оперативно принимать решения без сбора данных из разрозненных инструментов.
2. Отсутствие слепых зон в управлении уязвимостями.
CNAPP обеспечивает управление CVE-уязвимостями на всех виртуальных машинах и в контейнерах полностью без агентов. Новые ресурсы автоматически обнаруживаются и сканируются сразу при появлении. Безагентная технология и работа через API провайдера обеспечивают подключение за минуты и 100% покрытие без дополнительных трудозатрат на его поддержание.
3. Выявление критических путей атаки и корректная приоритизация рисков.
CNAPP выявляет токсичные комбинации уязвимостей и настроек облака и строит пути атаки, позволяющие атакующему получить доступ к критическим данным организации. Это позволяет сфокусироваться на критическом 1% угроз, устранение которых помогает снизить 90% рисков безопасности облака.
4. Централизованный контроль мультиоблачной среды.
CNAPP поддерживает различные облачные платформы и обеспечивает контроль безопасности распределённой мультиоблачной инфраструктуры в едином интерфейсе: консолидирует алерты, политики и риски без необходимости переключаться между консолями.
5. Снижение совокупной стоимости владения (TCO).
Безагентный cloud-native подход исключает расходы на развёртывание и обновление агентов, создание SSH-записей и настройку сетевой связности, а инженеры безопасности могут сосредоточиться на устранении реальных угроз вместо поддержки инструментов и контроля покрытия.
6. Автоматизация проверок на соответствие требованиям.
CNAPP регулярно сверяет конфигурацию облака с лучшими практиками, требованиями регуляторов и внутренними политиками организации, которые можно добавить в продукт, и предоставляет готовые отчёты, снижая нагрузку на команду и минимизируя риски при проверках.
CNAPP — это закономерный результат эволюции облачной безопасности.
По данным Cybersecurity Insiders и Fortinet, 62% организаций используют или планируют использовать CNAPP для защиты облачных сред.
Организации, стремящиеся к проактивному управлению безопасностью в облаке, неизбежно приходят к CNAPP.
«С учётом того, что киберпреступники используют всё более продвинутые и нетривиальные техники, организациям необходим проактивный подход к кибербезопасности, чтобы работать на опережение. CNAPP решает эту задачу, обеспечивая полную прозрачность облачной инфраструктуры, устраняет слепые зоны и консолидирует риски в едином интерфейсе для команд ИБ. Это позволяет централизованно контролировать угрозы, связанные с конфигурацией облака, рабочими нагрузками и разрешениями
».
— Forbes, «The Evolution Of CNAPP: From Unified Platforms To AI-Driven Security»
CNAPP в России: как Cloud Advisor защищает облака
Cloud Advisor — #1 CNAPP в России. С 2020 года платформа защищает крупнейшие облачные среды страны: под контролем находятся более 180 000 облачных активов.
76% пользователей Cloud Advisor выявляют 20 и более критических уязвимостей на облачном периметре.
Cloud Advisor реализует все ключевые функции CNAPP:
CWPP — безагентная защита виртуальных машин и контейнеров: управление уязвимостями, антивирусная защита, поиск секретов в открытом виде, контроль целостности файлов, анализ конфигурации ОС и другие проверки.
KSPM — контроль безопасности Kubernetes: проверка конфигураций кластера и компонентов, настроек подов и контейнеров.
CSPM — контроль конфигурации облака через API провайдеров: аудит публичности ресурсов, проверка правил групп безопасности и других настроек мультиоблачной среды. Поддержка Cloud.ru, Yandex Cloud, AWS, Azure, GCP, Huawei Cloud, а также облаков на базе VMware (РТК, Т1, Oxygen, Selectel, MWS и других).
CIEM — контроль идентичности и прав доступа: аудит безопасности учётных записей (MFA, ротация ключей, неиспользуемые аккаунты и др.), анализ фактических прав с учётом цепочек наследования, рекомендации по соблюдению принципа наименьших привилегий, а также поиск по ресурсу — кто и с какими правами имеет к нему доступ.
Анализ путей атаки — выявление токсичных комбинаций рисков и построение критических путей атаки: например, публичный IP → слишком широкие правила группы безопасности → уязвимость на ВМ → секреты в открытом виде.
Главное преимущество Cloud Advisor — все модули (CWPP, KSPM, CSPM, CIEM) работают как единая платформа, предоставляя полную картину рисков и приоритизируя угрозы с учётом контекста всей облачной среды.
Хотите увидеть, что скрыто в вашей облачной инфраструктуре? Оставьте заявку на демонстрацию и пилотный доступ и выявите критический 1% угроз, от которых зависит 90% безопасности вашего облака.
Подключение — не более 30 минут, готовые отчёты — уже через 2–3 часа.