This is the Trace Id: e6531f449181f33d399085b48c8488a5
דלג לתוכן הראשי Microsoft Defender Microsoft Entra Microsoft Intune Microsoft Purview Microsoft Security Copilot Microsoft Sentinel הצגת כל המוצרים אבטחת סייבר מבוססת על AI אבטחה בענן אבטחה ופיקוח של נתונים זהויות וגישה לרשת פרטיות וניהול סיכונים אבטחה עבור AI עסקים קטנים ובינוניים SecOps מאוחדים אפס אמון תמחור שירותים שותפים מדוע כדאי לבחור האבטחה של Microsoft מודעות לאבטחת סייבר סיפורי לקוחות מבוא לאבטחה גירסאות ניסיון של המוצר הכרה בתעשייה Microsoft Security Insider דוח ההגנה הדיגיטלית של Microsoft מרכז תגובת האבטחה בלוג האבטחה של Microsoft אירועי אבטחה של Microsoft Microsoft Tech Community תיעוד ספריית תוכן טכני הדרכות והסמכות תוכנית תאימות עבור הענן של Microsoft מרכז יחסי האמון של Microsoft Service Trust Portal יוזמת עתיד מאובטח Microsoft המרכז לפתרונות עסקיים פנה למחלקת המכירות התחל גירסת ניסיון בחינם האבטחה של Microsoft Azure Dynamics 365 Microsoft 365 Microsoft Teams Windows 365 בינה מלאכותית ב-Microsoft Azure Space מציאות משולבת Microsoft HoloLens Microsoft Viva מחשוב קוונטי חינוך כלי רכב שירותים פיננסיים ממשל שירותי בריאות ייצור קמעונאות חיפוש שותף להיות שותף רשת השותפים Microsoft Marketplace חברות תוכנה בלוג Microsoft Advertising מרכז מפתחים תיעוד אירועים רישוי Microsoft Learn המחקר של Microsoft הצג את מפת האתר
אדם יושב ליד שולחן ומשתמש במחשב נישא.

מהי אבטחה מובנית בענן?

גלה כיצד אבטחה מובנית בענן מגינה על יישומים, נתונים ותשתית לאורך מחזור החיים של היישום, לצד דוגמאות לשיטות עבודה מומלצות ולעקרונות ליבה.
אבטחה מובנית בענן מטמיעה בקרות אבטחה והגנות מבוססות סיכון ביישומים ובתשתיות שתוכננו לסביבות ענן, ומאבטחת עומסי עבודה משלב פיתוח הקוד ופריסתו וגם במהלך זמן ריצה. גישה זו עוזרת לארגונים לנהל את האבטחה של מערכות מבוזרות, מיקרו-שירותים ויישומים המוכללים בגורמים מכילים אשר פועלים בסביבות ריבוי שירותי ענן דינמיות.
  • אבטחה מובנית בענן משלבת אבטחה בכל שלב במחזור החיים של היישום.

  • היא נותנת מענה לאתגרי האבטחה הייחודיים שמציבות ארכיטקטורות המוכללות בגורמים מכילים והמבוססות על מיקרו-שירותים.

  • שיטות העבודה המרכזיות כוללות ארכיטקטורת 'אפס אמון', אוטומציה, הטמעת אבטחה בשלב מוקדם וניטור רציף של איומי סייבר.

מבוא לאבטחה מובנית בענן

בימים שבהם יישומים הופעלו אך ורק באתר הלקוח, המושג 'אבטחה' היה כרוך בחגורת הגנה בצורת חומות אש מבוססות רכיבי חומרה סביב שרתים פיזיים. ההגנה על יישומים מובנים בענן ענן כיום היא עניין מורכב יותר. אבטחת יישומים מובנים בענן ענן נדרשת להגן על עומסי עבודה הפרוסים במרחב המקיף שרתים באתר הלקוח ועננים רבים, לצד יכולת להתאים את גודלה ממאות מופעים בודדים למיליונים, בהתאם להשתנות הביקוש.

ארגונים המאמצים אסטרטגיות לפיתוח המותאם ארכיטקטונית לענן עובדים במקרים רבים עם מיקרו-שירותים, גורמים מכילים ופלטפורמות תיאום כגון Kubernetes. טכנולוגיות כאלה מאפשרות גמישות, יכולת תגובה מהירה ויכולת הרחבה, אבל גם חושפות את הארגון לסיכונים נוספים. אבטחה מובנית בענן נותנת מענה לסיכונים אלה באמצעות הטמעת הגנה ובקרות משלב פיתוח הקוד ועד למהלך זמן הריצה, ומבטיחה בכך הגנה רציפה ומסתגלת לשינויים ביישומי ענן ו-AI בזמן אמת.

כדי להגן על יישומי ענן ו-AI, על נתונים ועל תשתית לאורך כל מחזור החיים, אמצעי האבטחה נדרשים לחבר את שלבי פיתוח הקוד, הקונפיגורציה, הפריסה והזיהוי והתגובה בזמן אמת לגישה מאוחדת. כמו כן, עליהם לתת מענה לנתונים רגישים, לבסיסי נתונים ולמודלי AI כדי להבטיח שעומסי העבודה יישארו מוגנים בסביבות ריבוי שירותי ענן.

הוספת אבטחה תלוית-הקשר המשלבת תובנות מונחות AI, ניטור בזמן ריצה ובקרות המבוססות על זהות, יכולה לעזור לך לשמור על תאימות ולהקטין את הסיכון במערכות דינמיות. פלטפורמות להגנת יישומים מובנית בענן, או CNAPPs, נוצרו כדי לאחד את האבטחה לאורך כל מחזור החיים של יישומי ענן ו-AI, ובכך לתת מענה למורכבות, לפערי ניראות ולתנועת תוקפים בין סביבות.

עקרונות מפתח באבטחה מובנית בענן

הקפדה על שיטות עבודה התואמות לעקרונות האבטחה המיטביים בסביבות מובנות בענן מאפשרת לארגונים לשמור על זריזותם החדשנית ובו-בזמן להקטין את הסיכון. כמה מעקרונות היסוד של אבטחה מובנית בענן הם:

הטמעת אבטחה בשלב מוקדם. שיטת עבודה זו משלבת את האבטחה כבר בשלב מוקדם של תהליך הפיתוח, מקטינה בכך את מספר הפגיעויות לפני שלב הפריסה ומונעת מסיכונים להגיע לסביבות ייצור. שיטה זו מבטיחה שהקוד ייסרק לאיתור פגיעויות בכבר בשלבי הפיתוח והבדיקות, וממזערת בכך את מספר הפגמים והכשלים שמגיעים לייצור. הטמעת אבטחה בשלב מוקדם כוללת גם שיטות קידוד מאובטחות, בדיקות אוטומטיות והדרכת מפתחים.

ארכיטקטורת אפס אמון. בגישה זו, כל בקשת גישה נבדקת ומאומתת, ולא ניתן שום אמון משתמע. העיקרון הזה חל על משתמשים, מכשירים ועומסי עבודה, ומבטיח אימות הרשאות גישה לכל אורך הדרך. אכיפת בקרות גישה מחמירות מקטינה את הסיכון לתנועה רוחבית בתוך הסביבות.

אוטומציה ו- DevSecOps. באמצעות הכלים הנכונים ניתן לבצע אוטומציה של תהליכי אבטחה בצינורות אינטגרציה ופריסה רציפים (CI/CD), לצמצם בכך טעויות אנוש ולהאיץ את תהליכי התיקון. מסגרת פיתוח, אבטחה ותפעול (DevSecOps) מעודדת שיתוף פעולה בין צוותי הפיתוח, האבטחה והתפעול, ומטמיעה את האבטחה בזרימות העבודה בלי להאט את קצב המסירה.

ניהול זהויות וגישה (IAM). בסביבת ענן, הזהות היא שטח סיכון מרכזי. מערך ה-IAM (ניהול זהויות וגישה) מבטיח כי הגישה מבוקרת באמצעות פיקוח הדוק על זהויות, ומעניק הרשאות על סמך העיקרון 'מינימום הרשאות'. בנוסף, שיטות עבודה מומלצות ב- IAM כוללות אימות רב-גורמי, בקרת גישה המבוססת על תפקיד וניטור רציף של פעילות הזהויות.

הגנה בזמן ריצה. ניטור רציף מזהה וממתן איומים במהלך ביצוע יישום. הוא כולל זיהוי חריגות, ניתוח התנהגותי ומדיניות אכיפה בזמן ריצה. זיהוי ותגובה בזמן ריצה מבטיחים שגם אם קיימות פגיעויות, הן יזוהו במהירות,ידורגו לפי חומרת השפעתן, ויבודדו לפני שתוקפים יספיקו לנצל אותן.

תיקון בלולאה סגורה. לולאות משוב אוטומטיות מבטיחות שטיפול בפגיעות יתבצע במהירות. עיקרון זה תומך בשיפור מתמשך ובחוסן. תיקון במעגל סגור משתלב בצינורות CI/CD כדי לתקן בעיות במקור, ובכך מקצר את הזמן שבין הזיהוי לפתרון.

רכיבים מרכזיים של אבטחה מובנית בענן

אבטחה מובנית בענן מצוידת במספר רכיבי מפתח אשר פועלים במשותף כדי להגן על יישומים ותשתית:

אבטחת גורמים מכילים ויחידות Kubernetes. גורמים מכילים אורזים יישומים ואת התלויות שלהם, ומאפשרים ניידות והרחבה של היישום. יחידת Kubernetes מתאמת בין גורמים מכילים אלה, ומנהל את הפריסה וההרחבה שלהם. אבטחת גורמים מכילים ויחידות Kubernetes כוללת סריקת תמונות, ניטור בזמן ריצה ואבטחת מישורי בקרה. תצורה שגויה של אשכולות Kubernetes הם וקטור תקיפה נפוץ, ולכן ניהל התצורה הוא קריטי.

אבטחת ממשק תוכניות יישום (API). מיקרו-שירותים מתקשרים דרך יחידות API שחייבים להיות מאובטחים כדי למנוע גישה לא מורשית. אבטחת ממשק תוכניות יישום כוללת אימות, הרשאה והגבלת קצב. שערי API מספקים בקרה וניטור מרכזיים, ובכך מפחיתים את הסיכון לחשיפת נתונים.

פלטפורמת להגנת יישומים מובנית בענן (CNAPPs). פתרונות מסוג פלטפורמות CNAPP מציעים יכולות אבטחה רבות, כולל ניהול מצב אבטחת ענן (CSPM) בפתרון מאוחד אחד. פלטפורמות מאוחדות אלה מספקות ניראות מקצה לקצה לאורך מחזור החיים של היישום, ומאפשרות תעדוף על סמך סיכון, אכיפה עקבית של מדיניות וזיהוי ותגובה מהירים יותר במקרה של איומים.

תאימות ופיקוח. ארגונים חייבים לעמוד בתקני תאימות רגולטורית כגון התקנה הכללית להגנת על נתונים (GDPR), חוק היבילות ואחריות הדיווח של ביטוח בריאות (HIPAA) והתקן לאבטחת נתונים בתעשיית כרטיסי התשלום (PCI DSS). בדיקות תאימות ודיווח אוטומטיים עוזרים לוודא כי ההתאמה לתקנים נשמרת, ובכך מפחיתים את הסיכון לקנסות וסנקציות משפטיות.

עומסי עבודה של בינה מלאכותית. מודלי בינה מלאכותית וצינורות נתונים מציגים אתגרי אבטחת ענן ייחודיים. הגנה על נתוני אימון, מניעת שיבוש מודלים והבטחת שיטות עבודה אתיות עם AI הם חיוניים. אמצעי האבטחה חייבים לתת מענה גם לסודיות מערכת הבינה המלאכותית וגם לשלמותה.

אבטחת נתונים בענן. תוקפים רואים בנתונים יעד מרכזי. הצפנה, מיסוך ובקרות גישה מגנים על מידע רגיש. אבטחת מסדי נתונים כוללת ניטור התר אחר שאילתות לא מורשות ווידוא שקביעת התצורה תקינה.

הרשאות זהות. הרשאות עודפות מגבירות את הסיכון לפגיעה. כלי פיקוח על זהויות עוזרים לאכוף את עקרון 'מינימום הרשאות' ולנטר חריגות. מתקפות הסלמת הרשאות הן נפוצות בסביבות ענן, ולכן יש לאבטחת זהויות עדיפות עליונה.

עקביות מצב האבטחה בריבוי שירותי ענן. אבטחת ריבוי שירותי ענן היא מקור לדאגה בארגונים המשתמשים בכמה ספקי ענן, שלכל אחד מהם כלים ותצורות אבטחה ייחודיים. שמירה על מדיניות עקבית בין סביבות מפשטת מורכבות ומקטינה את הסיכון.

אבטחה מובנית בענןשל גורם מכיל. היא כוללת אבטחת רישומי גורמים מכילים, הטמעת בקרות בזמן ריצה וניטור פגיעויות בתמונות גורם מכיל.

הגנה על עומס עבודה בענן (CWPP). פתרונות CWPP מספקים ניראות וזיהוי איומים לעומסי עבודה בכל הסביבות, כולל מחשבים וירטואליים, גורמים מכילים ופונקציות חסרות שרת.

מושג מפתח נוסף שחשוב להכיר הוא 'ארבעת הרבדים' שאבטחה מובנית בענן מורכבת מהם (או באנגלית: ארבעת ה- C:‏-code, container, cluster ו-cloud). כל רובד מייצג את אחת השכבות שיש לאבטח כדי להבטיח גישת 'הגנה לעומק':
 
  1. קוד– קוד היישום ותשתית כקוד (IaC), כולל תלויות בקוד פתוח.
  2. גורם מכיל– תמונות גורם מכיל וזמן ריצה.
  3. Cluster– פלטפורמות תיאום כגון Kubernetes.
  4. ענן– תשתית הענן הבסיסית, כגון רשתות, מחשבים וירטואליים, אחסון, זהויות ותצורות.

אתגרים נפוצים באבטחה מובנית בענן

תשתית הענן המודרנית היא חסכונית וניתנת להרחבה משום שהיא אפרמלית, כלומר זמנית מטבעה. המשאבים הבסיסיים הדרושים לה נוצרים ונמחקים לפי הצורך. למרבה הצער, הגמישות הזאת מקשה על אבטחת תשתית הענן באמצעות כלי אבטחה מסורתיים. כאשר תשתית כזו קיימת בכמה עננים, שלכל אחד מהם תצורות וכלי אבטחה משלו, עלולים להיווצר פערי ניראות שתוקפים יכולים לנצל לשם תנועה רוחבית בין סביבות.

גם תצורות שגויות הן בעיה נפוצה באבטחה מובנית בענן. לדוגמה, הגדרות שגויות הקשורות למכלי אחסון, לפורטים פתוחים ולבקרות גישה עלולות לחשוף שירותים לרשת האינטרנט. גם תלויות בקוד פתוח ופגיעויות בספריות של צד שלישי ובתמונות גורם מכיל מוסיפים פגיעויות.

תוקפים ממשיכים לפתח אסטרטגיות כדי לנצל את פגיעויות כאלה. טכניקות כדוגמת בריחה מגורם מכיל והסלמת הרשאות נעשות מתוחכמות יותר ויותר, והמאבק בהן מחייב מנגנוני אוטומציה, ניטור ופיקוח באותה רמת תחכום.

רשימת פעולות לביצוע ליישום שיטות עבודה מומלצות

סקרנו גורמים רבים שכדאי להביא בחשבון כאשר מגבשים אסטרטגיה ארגונית. הנה עוד כמה נקודות שכדאי לזכור כאשר בוחרים בכלים הדרושים לחיזוק מצב אבטחת הענן:
 
  • יישם גישת אפס אמון לצד מיקרו-סגמנטציה כדי להגביל תנועה רוחבית ולהקטין את השפעת ההתקפות.
  • הצפן נתונים בעת העברה ובעת אחסון על מנת להבטיח את סודיות המידע הרגיש ואת תקינותו.
  • בצע סריקות פגיעויות אוטומטיות בתהליכי ה-CI/CD כדי לזהות בעיות בתהליך הפיתוח בשלב מוקדם ככל האפשר.
  • ערוך בדיקות תאימות והערכות מצב אבטחה תקופתיות קבוע כדי להקטין את הסיכון לספיגת קנסות רגולטוריים.
  • הפעל מעקב מתמיד וגילוי איומים, לצד קביעת סדרי עדיפויות דינמית של סיכונים, על מנת לאפשר לצוותי אבטחת המידע להתמקד בראש ובראשונה במסלולי התקיפה שעלולים בסבירות הגבוהה ביותר להוביל לחדירה למערכת.
אם תבחר לאמץ CNAPP, ודא שהוא מציע:
 
  • כיסוי ללא סוכנים לנראות רחבה ללא פגיעה בביצועים.
  • תעדוף נתיבי תקיפה לטובת התמקדות בסיכונים קריטיים שעלולים להוביל לפריצות שיעלו לך ביוקר.
  • הפחתת הרשאות זהות לטובת מזעור החשיפה כתוצאה מהרשאות עודפות.
  • אינטגרציה עם פתרון XDR ‏(Extended Detection and Response) לצורך זיהוי איומים מאוחד.
  • תיקון על סמך מחזור חיים לפתרון מהיר יותר של פגיעויות.

להישאר מוגנים בענן בעזרת Microsoft

אבטחת מחזור החיים המלא של היישום דורשת יותר מכלים מבודדים ותיקונים נקודתיים. האבטחה של Microsoft מספקת פלטפורמה מאוחדת, מבוססת על בינה מלאכותית, להגנת יישומים מובנית בענן (CNAPP), המשתלבת בכלים שמפתחים רבים כבר משתמשים בהם, כולל GitHub, ‏Azure DevOps ו- Microsoft Copilot. הטמעת אבטחה בתהליכי העבודה היומיומיים מאפשרת לארגונים לזהות ולתקן בעיות מהר יותר, ובמקביל לתמוך באפס אמון, DevSecOps ודרישות תאימות בכל סביבות ריבוי שירותי הענן.

עם פתרון Microsoft CNAPP, צוותי אבטחה מקבלים ניראות עמוקה על יישומים, נתונים, זהויות ותשתית – הנתמכת בתובנות המופקות מטריליוני אותות איומים יומיים ובעשורים של מומחיות במודיעין איומים. השילוב בין Microsoft Defender לענן ל- Defender XDR עוזר לצוותי האבטחה לחקור ולהגיב להתקפות מורכבות ורב תחומיות, המקיפות סביבות ענן, זהויות ונקודות קצה. התוצאה היא תעדוף מהיר יותר של סיכונים, פחות 'רעשי אבטחה ' והגנה חזקה יותר על עומסי עבודה בענן וב- AI – כל זה נותן לארגונים את הביטחון להתרחב ללא חשש.
משאבים

גלה עוד משאבי אבטחה בענן

השתמש במידע הזה לטובת דיוק אסטרטגיית אבטחת הענן של הארגון שלך.

שאלות נפוצות

  • המושג 'מובנה בענן' מתייחס ליישומים ולשירותים המתוכננים לפעול בסביבות ענן על בסיס מיקרו-שירותים, גורמים מכילים ומנגנוני תיאום דינמיים.
  • מדיניות 'ענן תחילה' היא אסטרטגיה המתעדפת אימוץ של טכנולוגיות ענן, ואילו המונח 'מותאם לענן' מתאר יישומים שנבנו מלכתחילה ובמיוחד עבור סביבות ענן.
  • האופי המבוזר של המשאבים פותח פתח להרבה סיכוני אבטחה בענן, שיש למתן. סיכונים אלה כוללים תצורות שגויות, פגיעויות בשרשרת האספקה, שימוש לרעה בזהויות ואיומים במהלך זמן ריצה.
  • ארבעת ה- C הם code, container, cluster ו-cloud. אבטחת כל אחת מארבע השכבות האלה היא חלק מאסטרטגיית ההגנה לעומק.
  • פלטפורמת אבטחה מובנית בענן, כדוגמת CNAPP, מספקת אבטחה משולבת לאורך מחזור החיים של היישום, כולל שלבי הפיתוח, הפריסה וזמן הריצה.

עקוב אחר 'האבטחה של Microsoft'

עברית (ישראל) פרטיות בריאות הצרכן צור קשר עם Microsoft פרטיות ניהול קבצי Cookie תנאי השימוש סימנים מסחריים אודות הפרסומות שלנו נגישות