CNAPP: cosa consolida davvero e come valutarlo oltre il marketing

CNAPP è la sigla con cui il mercato della sicurezza cloud ha provato a mettere ordine in un alfabeto che era diventato ingestibile. L’acronimo, coniato da Gartner nel 2021, sta per Cloud-Native Application Protection Platform, e nasce da una constatazione pratica: le organizzazioni avevano accumulato uno strumento per ogni problema, la gestione della postura, la protezione dei carichi di lavoro, il controllo dei privilegi, la scansione del codice infrastrutturale, e si ritrovavano con console separate che parlavano lingue diverse e producevano allarmi scollegati. La promessa del CNAPP è unificarli in una sola piattaforma che segua l’applicazione dal codice al runtime.

La promessa è sensata. Il problema è che, come accade a ogni categoria di successo, l’etichetta è finita su prodotti molto diversi tra loro, e oggi “CNAPP” si legge sul materiale commerciale di soluzioni che vanno dalla piattaforma realmente integrata al semplice assemblaggio di moduli preesistenti sotto un nome nuovo. Distinguere la sostanza dal marketing, in questo mercato, non è un esercizio di rigore terminologico: è la differenza tra ridurre il rischio e moltiplicare le dashboard.

Dalla giungla delle sigle a una piattaforma sola

Per capire cosa un CNAPP dovrebbe consolidare, conviene partire dai mattoni che lo compongono. Il CSPM, Cloud Security Posture Management, è lo strato che ispeziona la configurazione dell’ambiente cloud alla ricerca di errori, permessi rischiosi e scostamenti dagli standard di conformità: è il cuore del cloud posture management, ed è spesso il primo strumento che un’organizzazione adotta. Il CWPP, Cloud Workload Protection Platform, protegge i carichi di lavoro veri e propri, dalle macchine virtuali ai container fino alle funzioni serverless. Il CIEM, Cloud Infrastructure Entitlement Management, governa i diritti di accesso, un terreno dove le identità non umane proliferano e gli eccessi di privilegio si annidano. A questi si aggiungono la scansione dell’infrastructure as code prima del deployment, la verifica della postura specifica di Kubernetes e, più di recente, la protezione dei dati e dei carichi legati all’intelligenza artificiale.

Ciascuna di queste capacità è nata da sola, come prodotto a sé, perché ciascuna rispondeva a un problema emerso in un momento diverso della migrazione al cloud. Il CNAPP è la tesi opposta: che tenerle separate sia un costo, non una scelta. Secondo il Market Guide for CNAPP pubblicato da Gartner il 5 agosto 2025, la convergenza è ormai la direzione strutturale del mercato, al punto che la sicurezza cloud e i test di sicurezza applicativa tendono a confluire nello stesso strumento. Vale la pena ricordare che si tratta di un Market Guide, non di un Magic Quadrant: Gartner descrive un mercato ancora in assestamento, non emette una classifica di vincitori.

Perché consolidare non è solo questione di costi

La spinta al consolidamento viene spesso raccontata come una storia di budget: meno fornitori, meno licenze, meno integrazioni da mantenere. È vero, ma è la parte meno interessante. Il motivo serio per cui gli strumenti separati falliscono è che ciascuno vede solo la propria fetta di rischio, e nessuno vede il quadro completo.

Un esempio chiarisce il punto. Una configurazione errata che espone un servizio, presa da sola, è un avviso tra mille. Un’identità con privilegi eccessivi, presa da sola, è un altro avviso. Un carico di lavoro vulnerabile, ancora un altro. Trattati da tre strumenti distinti, restano tre segnalazioni isolate che competono per l’attenzione di un analista già sommerso. Ma se quei tre elementi si trovano sullo stesso percorso, la configurazione esposta che dà accesso al carico vulnerabile che gira con l’identità sovraprivilegiata, allora insieme compongono una catena d’attacco concreta, sfruttabile, prioritaria. Il valore di un CNAPP non sta nel raccogliere più segnali, ma nel correlarli in attack path leggibili, distinguendo il rumore dal pericolo reale. È la risposta diretta all’alert fatigue che logora i team di sicurezza, dove ogni falso allarme in più è attenzione sottratta a quello vero.

CNAPP non è un prodotto, è una promessa di integrazione da verificare

Qui sta il criterio che separa una piattaforma matura da un assemblaggio ribattezzato. La domanda da porre a un fornitore non è quante sigle copre, perché ormai le coprono quasi tutti sulla carta, ma se quelle capacità si parlano davvero. Un CNAPP che presenta i risultati del CSPM, del CWPP e del CIEM in tre schede separate dello stesso prodotto non è integrato: è un raccoglitore. Un CNAPP integrato correla quei dati e restituisce un percorso d’attacco unico, con un’unica priorità.

Il secondo criterio riguarda la copertura reale del proprio stack, non di uno generico. Una piattaforma fortissima sulla postura ma cieca sul runtime lascia scoperto metà del problema, e vale il contrario. Su questo il Market Guide 2025 di Gartner è netto: la visibilità a runtime non è più un’opzione, ed è il punto in cui sta emergendo l’approccio del Cloud Application Detection and Response, il rilevamento e la risposta calati sull’applicazione in esecuzione. Le piattaforme più solide combinano due nature diverse: l’analisi agentless, che fotografa la postura senza installare nulla, e gli agenti a runtime, oggi spesso basati su tecnologia eBPF, che osservano ciò che accade davvero mentre accade.

L’integrazione con il SOC come segnale di maturità

C’è un terzo criterio, su cui il Market Guide 2025 di Gartner insiste: la capacità di estrarre dai carichi i dati di runtime contestuali su comportamenti e minacce e di alimentarli verso il SIEM e i servizi del SOC, perché la correlazione degli eventi avvenga dove il resto della sicurezza già lavora. Letta in chiave di mercato, è la linea che separa i CNAPP maturi da quelli di prima generazione: una piattaforma che individua rischi e percorsi d’attacco ma li tiene in un proprio recinto, lontano dai flussi del centro operativo di sicurezza, costringe a un ennesimo passaggio manuale e perde gran parte del proprio valore. La capacità di alimentare il rilevamento e la risposta, e non solo la visibilità sulla postura, è ciò che distingue oggi uno strumento di igiene da una piattaforma di difesa. È anche il segno che la sicurezza cloud e le operazioni di sicurezza stanno smettendo di essere due mondi separati.

Il rischio del consolidamento mal fatto

Sarebbe disonesto presentare il CNAPP come una scelta senza contropartite. Consolidare significa anche concentrare, e concentrare introduce rischi propri. Un’unica piattaforma mediocre su tutto può proteggere peggio di pochi strumenti eccellenti ciascuno nel proprio dominio, e la rinuncia all’approccio best-of-breed va pesata, non subita per moda. C’è poi il tema della dipendenza dal fornitore: più capacità si accentrano in un solo prodotto, più diventa costoso cambiarlo, e questo vale come leva negoziale a sfavore del cliente. Un buon processo di selezione mette sul piatto anche questo, invece di lasciarsi sedurre dalla lunghezza dell’elenco di funzioni.

La frontiera che si sta aprendo aggiunge un’ulteriore complessità. Con l’ingresso dei carichi legati all’intelligenza artificiale, modelli, dati di addestramento, endpoint di inferenza, agenti autonomi, è comparso un nuovo modulo, l’AI Security Posture Management, che molti CNAPP stanno incorporando. È coerente con la logica della categoria, ma è anche il punto in cui la promessa di copertura totale rischia di correre più veloce della maturità reale degli strumenti. Anche qui vale la regola generale: contano le capacità dimostrabili, non quelle annunciate. E un worm che si propaga tra ambienti cloud-native mal configurati non si ferma con uno slogan, ma con la correlazione effettiva tra postura, identità e comportamento a runtime.

Il CNAPP, in definitiva, non è una scatola magica e non è nemmeno un singolo prodotto: è una direzione del mercato, fatta di consolidamento e di contesto, che ha senso seguire solo se si valuta la sostanza dietro la sigla. Una planning assumption di Gartner ripresa di anno in anno fissa la posta: entro il 2029 il 60 per cento delle imprese che non avranno adottato una piattaforma CNAPP unificata resterà senza visibilità estesa sulla propria superficie d’attacco cloud, mancando di conseguenza gli obiettivi di zero trust. È una previsione di lungo corso, non un fatto, ma coerente con la direzione che il mercato ha imboccato. La domanda giusta da portare al tavolo, allora, non è se serva un CNAPP, ma se quello che si sta valutando integri davvero ciò che promette di unire.

Condividi sui Social Network:

Piano business continuity cybersecurity: come progettare la resilienza operativa

Claude Fable 5, il jailbreak rivendicato e l’architettura a classificatori

Gli USA mettono sotto export control Mythos 5 e Fable 5: Anthropic costretta a spegnere i due modelli nel mondo

AudiA6, smantellato il riciclaggio cripto delle gang ransomware: 336 milioni di euro lavati dal 2021

La Prima Rivista Italiana Dedicata alla Sicurezza Informatica

ICT Security Magazine