Cloud Advisor
back Блог

Что такое CNAPP?

Публичное облако — принципиально новая среда. Привычные инструменты ИБ здесь не справляются, а специалистов, разбирающихся в его специфике, на рынке мало. На помощь приходит CNAPP (Cloud-Native Application Protection Platform) — единая платформа, которая проверяет инфраструктуру на соответствие лучшим практикам, выявляет и приоритизирует риски, даёт конкретные инструкции по устранению угроз и контролирует выполнение требований регуляторов. Разберёмся, из чего состоит CNAPP и почему этот класс решений становится стандартом для организаций, использующих публичное облако.

calendar16.07.2026
time19 мин.
Платформа облачной безопасности (CNAPP)

Две проблемы защиты инфраструктуры в публичном облаке

Нехватка знаний

Переход в облако выявляет кадровые ограничения большинства ИБ-команд. На рынке недостаточно специалистов, которые одновременно обладают экспертизой в DevOps-процессах, облачных технологиях и информационной безопасности. Поэтому защитой облачной инфраструктуры часто занимаются те же специалисты, которые ранее отвечали за безопасность on-premises среды.

Облако требует принципиально иного взгляда на безопасность: здесь существует множество разнородных ресурсов (бакеты, учётные записи, виртуальные машины, контейнеры, группы безопасности и десятки других), каждый тип актива требует своего подхода к защите, у каждого облачного провайдера есть свои нюансы. Времени разобраться во всех деталях не хватает, обучающих курсов и актуальной литературы мало.

Традиционные инструменты неэффективны в облаке

При переезде в облако ИБ-команды нередко пытаются перенести привычный инструментарий из on-premises среды: сканеры уязвимостей, антивирусы, NGFW. Но облако устроено иначе. Три принципиальных отличия делают традиционные инструменты неэффективными:

CNAPP — ответ на облачные вызовы

Специфика защиты инфраструктуры в публичном облаке стала причиной появления нового класса решений — CNAPP (Cloud-Native Application Protection Platform), изначально спроектированных с пониманием особенностей облачной среды.

По определению Gartner, CNAPP — это унифицированный и тесно интегрированный набор средств безопасности и контроля соответствия требованиям, предназначенный для защиты облачной инфраструктуры и приложений.

CNAPP объединяет различные инструменты безопасности в одном решении, оценивая угрозы и риски в контексте всей среды. Продукт охватывает ключевые аспекты облачной безопасности в едином интерфейсе без необходимости приобретать, внедрять и поддерживать множество разрозненных решений.

CNAPP решает проблему дефицита квалифицированных специалистов, позволяя даже небольшой команде справляться с задачами, ранее требовавшими глубокой экспертизы. Платформа обеспечивает комплексную защиту инфраструктуры в публичном облаке: ищет уязвимости, вредоносный код, секреты в открытом виде, находит небезопасные настройки облачной среды и многое другое.

CNAPP не просто выявляет риски, но и снимает нагрузку с команды за счёт корректной приоритизации угроз. Обладая полной картиной всего происходящего в облаке, платформа строит возможные пути атаки: выявляет опасные комбинации уязвимостей и настроек облака, которые позволяют злоумышленнику получить доступ к критическим данным. Так команда фокусируется на критическом 1% угроз, который формирует 90% рисков безопасности облачной инфраструктуры.

Как появился CNAPP

В 2019 году Palo Alto Networks запустила Prisma Cloud — первую платформу, объединившую CSPM и CWPP. В 2021 году Gartner формализовал новую категорию, введя термин «CNAPP».

Рынок развивается стремительными темпами: менее чем за пять лет он вырос до объемов традиционного SIEM, породив «единорогов» Wiz и Orca Security. Знаковой сделкой стала покупка Wiz компанией Google за $32 млрд в 2026 году — крупнейшее приобретение в истории кибербезопасности.

Из чего состоит CNAPP

Защита виртуальных машин и контейнеров (CWPP)

CWPP (Cloud Workload Protection Platform) обеспечивает комплексную защиту рабочих нагрузок — виртуальных машин и контейнеров — в инфраструктуре клиента.

Важная особенность этого компонента современных CNAPP-решений — безагентный подход: платформа сканирует не сами диски, а их снапшоты, созданные через API облачного провайдера.

Например, CWPP выявляет:

  • известные уязвимости (CVE) в ОС, пакетах и библиотеках;

  • вредоносное ПО;

  • возможности бокового перемещения с помощью секретов и SSH-ключей на ВМ и в образах контейнеров;

  • небезопасные настройки и несоответствие стандартам безопасности в конфигурации ОС;

  • изменение критических файлов (контроль целостности);

  • ПО в статусе EOL/EOS.

Каждая новая виртуальная машина или контейнер автоматически обнаруживается и проверяется сразу при появлении в инфраструктуре, что гарантирует 100% покрытие облачных активов без установки агентов и настройки сетевой связности. Это существенно снижает нагрузку на ИТ-команду.

Защита облачных рабочих нагрузок без агентов

Безопасность Kubernetes (KSPM)

KSPM (Kubernetes Security Posture Management) автоматически проверяет настройки Kubernetes на соответствие лучшим практикам и выявляет небезопасные конфигурации в контейнерной среде.

KSPM контролирует:

  • Доступы и привилегии. Проверяет права пользователей (RBAC), сервисных аккаунтов и привязки ролей, выявляя избыточные привилегии и опасные разрешения.

  • Конфигурацию кластера. Например, проверяет включено ли шифрование секретов в etcd, разрешен ли публичный доступ к кластеру.

  • Настройки подов и контейнеров. Проверяет, запрещён ли запуск контейнера в привилегированном режиме, заблокирован ли доступ к файловой системе узла.

  • Секреты. Находит секреты в открытом виде на контейнерах.

Контроль конфигурации облака (CSPM)

CSPM (Cloud Security Posture Management) автоматически анализирует настройки облачных ресурсов: публичность, сетевые правила, права доступа, шифрование данных и другие. Инструмент подключается к API облачного провайдера и ищет мисконфигурации — ошибки в настройках облачных сервисов, которые, по данным Cloud Security Alliance 2025, занимают первое место среди угроз безопасности в публичных облаках и которые традиционные инструменты не контролируют.

Примеры выявляемых CSPM угроз:

  • назначение виртуальной машине публичного IP-адреса и вывод её на периметр;

  • ошибки в настройках PaaS сервисов (например, предоставление публичного доступа к S3–бакету);

  • избыточно широкие правила групп безопасности, открывающие доступ к ресурсу из интернета;

  • отсутствие шифрования данных.

CSPM: контроль конфигурации cloud
Снижение облачных рисков с помощью CSPM

Также CSPM проверяет инфраструктуру на соответствие стандартам — CIS, PCI DSS, GDPR, 152-ФЗ — и сигнализирует о нарушениях.

Контроль прав доступа в облаке (CIEM)

CIEM (Cloud Infrastructure Entitlement Management) анализирует и контролирует права доступа в облаке. Его задача — обеспечить полную прозрачность доступа к облачным ресурсам и помочь соблюдать принцип минимальных привилегий (PoLP).

Согласно исследованию Cloud Security Alliance 2025, эксплуатация недостатков в управлении идентификацией и доступом (IAM, Identity and Access Management) входит в топ-2 главных облачных угроз.

В облаке могут существовать сотни учётных записей (пользователи, группы, сервисные аккаунты) и сотни прав и ролей. Вручную отследить, у кого какие привилегии и где они избыточны, практически невозможно. Утечка учётных данных или ключей даёт злоумышленнику прямой доступ к облачным ресурсам из любой точки мира — с тем объёмом прав, которым обладает скомпрометированная учётная запись. Последствия могут быть катастрофическими — вплоть до удаления инфраструктуры. CIEM минимизирует этот риск, автоматизируя аудит безопасности учётных записей и контроль прав доступа. Например, CIEM выявляет:

  • избыточные привилегии,

  • забытые и неиспользуемые учётные записи,

  • неротируемые ключи доступа,

  • отсутствие многофакторной аутентификации (MFA).

В части контроля прав доступа CIEM вычисляет не формальные разрешения из политик IAM, а реальные привилегии, которые субъект (пользователь, группа или сервисный аккаунт) фактически получает с учётом всех механизмов наследования и делегирования. Это критически важно, поскольку в облачных средах реальные права часто оказываются шире, чем прописано в настройках.

Пример наследования прав в облаке

Пользователь с минимальными привилегиями имеет право создавать ключи сервисного аккаунта. Он создаёт такой ключ и, используя его, получает права этого сервисного аккаунта, которые могут оказаться значительно шире пользовательских — вплоть до административных и с доступом к ресурсам с чувствительными данными.

IAM-сервис провайдера этого не покажет. Только CIEM, объединив исходные права пользователя, право на создание ключей, сами ключи и политики доступа к ресурсам, способен увидеть реальные привилегии.

Кроме того, CIEM решает и обратную задачу: позволяет выполнить поиск по конкретному ресурсу (например, по виртуальной машине с Active Directory или базе данных с конфиденциальной информацией) и мгновенно получить список всех субъектов, имеющих к нему доступ, с детализацией их фактических прав.

Как CNAPP анализирует и приоритизирует угрозы

CNAPP анализирует безопасность на всех уровнях облачной инфраструктуры: контролирует конфигурацию облачных сервисов (CSPM), анализирует права доступа и привилегий (CIEM), оценивает безопасность среды Kubernetes (KSPM), защищает рабочие нагрузки внутри виртуальных машин и контейнеров (CWPP).

CNAPP: комплексное решение для аудита облачной безопасности на всех уровнях инфраструктуры

Модули работают как единое целое: непрерывно обмениваются данными и среди разрозненных рисков — мисконфигураций, уязвимостей, избыточных прав — выявляют их токсичные комбинации, позволяющие злоумышленнику получить доступ к критическим данным организации. Вместо тысяч алертов платформа выдаёт короткий приоритизированный список реальных сценариев компрометации облачной среды, требующих устранения в первую очередь.

Без контекста всех четырёх уровней облачной инфраструктуры путь атаки остаётся невидимым.

Сценарий атаки

Результат комплексного технического аудита облачной безопасности - путь атаки
  1. Мисконфигурация. ВМ был назначен публичный IP-адрес, группа безопасности разрешала входящие соединения со всех IP в интернете (0.0.0.0/0) — ВМ оказалась фактически публичной.

  2. Соединение. Атакующий смог установить соединение с ВМ.

  3. Получение контроля. Атакующий смог получить доступ к ВМ после эксплуатации одной из критических уязвимостей.

  4. Боковое перемещение. В открытом виде на диске хранилась приватная часть SSH-ключа. С помощью этого ключа атакующий авторизовался ещё на двух ВМ, для которых данный ключ предоставлял доступ.

Итог: публичный IP + ошибка в группах безопасности + критические CVE + SSH-ключ в открытом виде = атака вышла за пределы одной машины и распространилась дальше. По отдельности каждый риск мог остаться незамеченным — критичной комбинацию делает именно связка всех факторов. CNAPP выявляет такие пути атаки и помогает устранить связанные с ними риски.

Шесть преимуществ полноценного CNAPP-решения

CNAPP обеспечивает безопасность облачной инфраструктуры без необходимости глубоко погружаться в специфику каждого провайдера и привлекать редких специалистов с экспертизой в облачной безопасности. Платформа выявляет, анализирует и приоритизирует риски с учётом контекста облака, а пользователь получает конкретный список действий вместо тысяч разрозненных алертов. Единая платформа — это одно внедрение, один договор, обучение работе с одним продуктом. Это позволяет сэкономить месяцы или годы, которые потребовались бы на выбор, внедрение и поддержку десятка отдельных решений.

1. Полная картина рисков в едином интерфейсе.

CNAPP консолидирует данные всех модулей — CWPP, KSPM, CSPM, CIEM — в единой панели управления, контролируя все уровни инфраструктуры. Вы видите комплексную картину и можете оперативно принимать решения без сбора данных из разрозненных инструментов.

2. Отсутствие слепых зон в управлении уязвимостями.

CNAPP обеспечивает управление CVE-уязвимостями на всех виртуальных машинах и в контейнерах полностью без агентов. Новые ресурсы автоматически обнаруживаются и сканируются сразу при появлении. Безагентная технология и работа через API провайдера обеспечивают подключение за минуты и 100% покрытие без дополнительных трудозатрат на его поддержание.

3. Выявление критических путей атаки и корректная приоритизация рисков.

CNAPP выявляет токсичные комбинации уязвимостей и настроек облака и строит пути атаки, позволяющие атакующему получить доступ к критическим данным организации. Это позволяет сфокусироваться на критическом 1% угроз, устранение которых помогает снизить 90% рисков безопасности облака.

4. Централизованный контроль мультиоблачной среды.

CNAPP поддерживает различные облачные платформы и обеспечивает контроль безопасности распределённой мультиоблачной инфраструктуры в едином интерфейсе: консолидирует алерты, политики и риски без необходимости переключаться между консолями.

5. Снижение совокупной стоимости владения (TCO).

Безагентный cloud-native подход исключает расходы на развёртывание и обновление агентов, создание SSH-записей и настройку сетевой связности, а инженеры безопасности могут сосредоточиться на устранении реальных угроз вместо поддержки инструментов и контроля покрытия.

6. Автоматизация проверок на соответствие требованиям.

CNAPP регулярно сверяет конфигурацию облака с лучшими практиками, требованиями регуляторов и внутренними политиками организации, которые можно добавить в продукт, и предоставляет готовые отчёты, снижая нагрузку на команду и минимизируя риски при проверках.

CNAPP — это закономерный результат эволюции облачной безопасности.

По данным Cybersecurity Insiders и Fortinet, 62% организаций используют или планируют использовать CNAPP для защиты облачных сред.

Организации, стремящиеся к проактивному управлению безопасностью в облаке, неизбежно приходят к CNAPP.

«С учётом того, что киберпреступники используют всё более продвинутые и нетривиальные техники, организациям необходим проактивный подход к кибербезопасности, чтобы работать на опережение. CNAPP решает эту задачу, обеспечивая полную прозрачность облачной инфраструктуры, устраняет слепые зоны и консолидирует риски в едином интерфейсе для команд ИБ. Это позволяет централизованно контролировать угрозы, связанные с конфигурацией облака, рабочими нагрузками и разрешениями».

— Forbes, «The Evolution Of CNAPP: From Unified Platforms To AI-Driven Security»

CNAPP в России: как Cloud Advisor защищает облака

Cloud Advisor — #1 CNAPP в России. С 2020 года платформа защищает крупнейшие облачные среды страны: под контролем находятся более 180 000 облачных активов.

76% пользователей Cloud Advisor выявляют 20 и более критических уязвимостей на облачном периметре.

Cloud Advisor реализует все ключевые функции CNAPP:

  • CWPP — безагентная защита виртуальных машин и контейнеров: управление уязвимостями, антивирусная защита, поиск секретов в открытом виде, контроль целостности файлов, анализ конфигурации ОС и другие проверки.

  • KSPM — контроль безопасности Kubernetes: проверка конфигураций кластера и компонентов, настроек подов и контейнеров.

  • CSPM — контроль конфигурации облака через API провайдеров: аудит публичности ресурсов, проверка правил групп безопасности и других настроек мультиоблачной среды. Поддержка Cloud.ru, Yandex Cloud, AWS, Azure, GCP, Huawei Cloud, а также облаков на базе VMware (РТК, Т1, Oxygen, Selectel, MWS и других).

  • CIEM — контроль идентичности и прав доступа: аудит безопасности учётных записей (MFA, ротация ключей, неиспользуемые аккаунты и др.), анализ фактических прав с учётом цепочек наследования, рекомендации по соблюдению принципа наименьших привилегий, а также поиск по ресурсу — кто и с какими правами имеет к нему доступ.

  • Анализ путей атаки — выявление токсичных комбинаций рисков и построение критических путей атаки: например, публичный IP → слишком широкие правила группы безопасности → уязвимость на ВМ → секреты в открытом виде.

Главное преимущество Cloud Advisor — все модули (CWPP, KSPM, CSPM, CIEM) работают как единая платформа, предоставляя полную картину рисков и приоритизируя угрозы с учётом контекста всей облачной среды.

Хотите увидеть, что скрыто в вашей облачной инфраструктуре? Оставьте заявку на демонстрацию и пилотный доступ и выявите критический 1% угроз, от которых зависит 90% безопасности вашего облака.

Подключение — не более 30 минут, готовые отчёты — уже через 2–3 часа.