クラウドネイティブ セキュリティには、アプリケーションとインフラストラクチャを保護するために連携するいくつかの重要な要素があります:
コンテナーと Kubernetes のセキュリティ。コンテナーはアプリケーションとその依存関係をパッケージ化し、アプリケーションの可搬性とスケーラビリティを実現します。Kubernetes はこれらのコンテナーを調整し、デプロイとスケーリングを管理します。コンテナーと Kubernetes のセキュリティには、イメージのスキャン、ランタイム監視、コントロール プレーンのセキュリティ保護が含まれます。正しく構成されていない Kubernetes クラスターは一般的な攻撃ベクトルであり、構成管理が重要になります。
API のセキュリティ。マイクロサービスは API を介して通信するため、不正アクセスを防ぐためにセキュリティで保護する必要があります。API セキュリティには、認証、承認、レート制限が含まれます。API ゲートウェイは、一元的な制御と監視を提供し、データ露出のリスクを軽減します。
CNAPP。CNAPP ソリューションは、クラウド セキュリティ態勢管理 (CSPM) を含む複数のセキュリティ機能を統合します。これらの統合プラットフォームにより、アプリケーションのライフサイクル全体でエンドツーエンドの可視性が提供され、リスクベースの優先順位付け、一貫したポリシーの適用、脅威の検出と応答の高速化が可能になります。
コンプライアンスとガバナンス。組織は一般データ保護規則 (
GDPR)、医療保険の携行性と責任に関する法律 (HIPAA)、Payment Card Industry Data Security Standard (PCI-DSS) などの
規制コンプライアンス標準に準拠する必要があります。コンプライアンス チェックとレポートを自動化することで、標準との整合を維持し、法的制裁のリスクを軽減できます。
AI ワークロード。AI モデルとデータ パイプラインは、独自のクラウド セキュリティの課題をもたらします。トレーニング データの保護、モデルの改ざんの防止、倫理的 AI プラクティスの確保は不可欠です。セキュリティ対策は、AI システムの機密性と整合性の両方に対処する必要があります。
クラウド データ セキュリティ。データは攻撃者の主要なターゲットです。暗号化、マスキング、およびアクセス制御は、機密情報を保護します。データベース セキュリティには、承認されていないクエリの監視と適切な構成の確保が含まれます。
ID のアクセス許可。過剰な特権は、侵害のリスクを高めます。ID ガバナンス ツールは、最小限の特権の原則を適用し、異常を監視するのに役立ちます。特権エスカレーション攻撃はクラウド環境で一般的であり、ID セキュリティは最優先事項です。
マルチクラウド態勢の一貫性。マルチクラウド セキュリティは、それぞれが独自のセキュリティ ツールと構成を備えた複数のクラウド プロバイダーを使用する組織にとって懸念事項となります。環境全体で一貫したポリシーを維持することで、複雑さとリスクが軽減されます。
クラウドネイティブ コンテナー セキュリティ。これには、コンテナー レジストリのセキュリティ保護、ランタイム コントロールの実装、コンテナー イメージの脆弱性の監視が含まれます。
クラウド ワークロード保護 (CWPP)。CWPP ソリューションは、仮想マシン、コンテナー、サーバーレス機能など、環境全体のワークロードの可視性と脅威検出を提供します。
もう 1 つの重要な概念は、クラウドネイティブ セキュリティの "4 つの C" です。各 "C" は、多層防御アプローチを確保するためにセキュリティで保護する必要があるレイヤーの 1 つを表します:
- Code (コード)- オープンソースの依存関係を含む、アプリケーションのコードとコードとしてのインフラストラクチャ (IaC)。
- Container (コンテナー)— コンテナー イメージとランタイム。
- Cluster (クラスター)— Kubernetes などのオーケストレーション プラットフォーム。
- Cloud (クラウド)— ネットワーク、仮想マシン、ストレージ、ID、構成などの基になるクラウド インフラストラクチャ。
Microsoft Security をフォロー