This is the Trace Id: 427906323e19a1507b288e62d410c850
Pereiti prie pagrindinio turinio Microsoft Defender Microsoft Entra Microsoft Intune Microsoft Purview Microsoft Security Copilot Microsoft Sentinel Žr. visus produktus Dirbtiniu intelektu pagrįsta kibernetinė sauga Debesies sauga Duomenų sauga ir valdymas Tapatybės ir tinklo prieiga Privatumas ir rizikos valdymas Dirbtinio intelekto sauga Smulkios ir vidutinės įmonės Bendrosios saugos operacijos Nulinis patikimumas Kainodara Paslaugos Partneriai Kodėl verta rinktis „Microsoft“ saugą? Kibernetinės saugos suvokimas Klientų istorijos Sauga 101 Produktų bandomosios versijos Pripažinimas sektoriuje Microsoft Security Insider „Microsoft“ skaitmeninės saugos ataskaita Reagavimo į saugos grėsmes centras „Microsoft“ saugos tinklaraštis „Microsoft“ renginiai apie saugą „Microsoft“ technologijų bendruomenė Dokumentacija Techninio turinio biblioteka Mokymas ir sertifikavimas „Microsoft“ debesies atitikties programa „Microsoft“ patikimumo centras Tarnybų patikimumo portalas „Microsoft“ saugios ateities iniciatyva Verslo sprendimų centras Susisiekti su pardavimų skyriumi Pradėkite naudoti nemokamą bandomąją versiją „Microsoft“ sauga „Azure” Dynamics 365 „Microsoft 365“ Microsoft Teams Windows 365 „Microsoft“ dirbtinis intelektas „Azure Space“ Mišrioji realybė „Microsoft HoloLens“ „Microsoft Viva“ Kvantinė kompiuterija Švietimas Autotransportas Finansinės paslaugos Valstybės institucijos Sveikatos priežiūra Gamyba Mažmeninė prekyba Raskite partnerį Tapkite partneriu Partnerių tinklas Microsoft Marketplace Programinės įrangos įmonės Tinklaraštis Microsoft Advertising Kūrėjų centras Dokumentacija Įvykiai Licencijuojama Microsoft Learn Microsoft Research Rodyti svetainės struktūrą
Žmogus sėdi prie stalo ir naudojasi nešiojamuoju kompiuteriu.

Kas yra vietinių debesų sauga?

Sužinokite, kaip vietinių debesų sauga saugo programas, duomenis ir infrastruktūrą visame programos cikle, pateikiant geriausios praktikos ir pagrindinių principų pavyzdžių.
Vietinių debesų sauga įtraukia saugos valdiklius ir rizika pagrįstą apsaugą į programas ir infrastruktūrą, sukurtas debesų aplinkoms, apsaugodama darbo krūvius nuo kodo sukūrimo iki diegimo ir vykdymo metu. Šis metodas padeda organizacijoms valdyti paskirstytųjų sistemų, mikropaslaugų ir konteinerizuotų programų saugą dinamiškose kelių debesų aplinkose.

  • Vietinių debesų sauga integruoja saugą į kiekvieną programos ciklo etapą.

  • Ji sprendžia unikalius saugos iššūkius, kuriuos kelia konteinerizuotos ir mikropaslaugomis pagrįstos architektūros.

  • Pagrindinės praktikos apima nulinį pasitikėjimą, automatizavimą, kairiojo poslinkio saugą ir nuolatinę kibernetinių grėsmių stebėseną.

Įvadas į vietinių debesų saugą

Tais laikais, kai programos buvo paleidžiamos tik vietoje, sauga reiškė aparatinių užkardų perimetrą aplink fizinius serverius. Šiandien vietinių debesų programų apsauga yra sudėtingesnė. Vietinių debesų programų sauga turi apsaugoti darbo krūvius, apimančius vietinius serverius ir kelis debesis, ir turi gebėti plėstis nuo kelių šimtų egzempliorių iki milijonų, kai kinta paklausa.

Organizacijos, diegiančios vietinių debesų strategijas, dažnai dirba su mikropaslaugomis, konteineriais ir valdymo platformomis, tokiomis kaip „Kubernetes“. Šios technologijos padeda užtikrinti lankstumą ir mastelio keitimą, bet taip pat sukuria papildomų rizikų. Vietinių debesų sauga šias rizikas sprendžia integruota apsauga ir valdikliais nuo kodo iki vykdymo, užtikrindama nuolatinę, prisitaikančią apsaugą, kai debesies ir DI programos realiuoju laiku keičiasi.

Norint apsaugoti debesies ir DI programas, duomenis ir infrastruktūrą per visą ciklą, saugos priemonės turi sujungti kodo kūrimą, konfigūravimą, diegimą ir aptikimą bei reagavimą realiuoju laiku į vieningą metodą. Jos taip pat turi apimti slaptus duomenis, duomenų bazes ir DI modelius, kad darbo krūviai išliktų apsaugoti kelių debesų aplinkose.

Kontekstą atpažįstanti sauga, kuri sujungia pagrįstas DI įžvalgas, vykdymo laiko stebėseną ir tapatybe pagrįstus valdiklius, gali padėti išlaikyti atitiktį ir sumažinti riziką dinamiškose sistemose. Vietinių debesų programų apsaugos platformos arba CNAPP buvo sukurtos siekiant suvienodinti saugą visame debesies ir DI programų cikle, sprendžiant sudėtingumą, matomumo spragas ir užpuolikų judėjimą tarp aplinkų.

Pagrindiniai vietinių debesų saugos principai

Laikantis geriausios vietinių debesų saugos praktikos, organizacijos gali išlaikyti inovacijų lankstumą ir kartu sumažinti riziką. Kai kurie pagrindiniai vietinių debesų saugos principai yra šie:

Ankstyvas saugos testavimas. Ši praktika įtraukia saugą anksti į kūrimo procesą, sumažindama pažeidžiamumus prieš diegimą ir neleisdama rizikoms pasiekti gamybos aplinkų. Ji užtikrina, kad kode būtų ieškoma pažeidžiamumų kūrimo ir testavimo etapuose, taip sumažinant trūkumų, kurie patenka į gamybą, skaičių. Ankstyvas saugos testavimas taip pat apima saugaus kodavimo praktikas, automatizuotą testavimą ir kūrėjų mokymą.

Nulinio pasitikėjimo architektūra. Taikant šį metodą, kiekvienas prieigos prašymas yra patvirtinamas, o numanomas pasitikėjimas nesuteikiamas. Šis principas taikomas vartotojams, įrenginiams ir darbo krūviams, užtikrinant, kad prieiga būtų nuolat tikrinama. Griežtų prieigos valdiklių taikymas sumažina šoninio judėjimo riziką aplinkose.

Automatizavimas ir „DevSecOps“. Tinkami įrankiai gali automatizuoti saugos procesus nuolatinės integracijos ir pateikimo (CI/CD) srautuose, taip mažindami žmogiškąsias klaidas ir spartindami šalinimą. Kūrimo, saugos ir operacijų („DevSecOps“) sistema skatina kūrimo, saugos ir operacijų komandų bendradarbiavimą, įtraukdama saugą į darbo eigas, bet nesulėtindama rezultatų pateikimo.

Tapatybės ir prieigos valdymas (IAM). Debesyje tapatybė yra pagrindinė rizikos sritis. IAM užtikrina, kad prieiga būtų valdoma taikant stiprų tapatybės valdymą, suteikiant teises pagal mažiausių privilegijų principą. Be to, geriausios IAM praktikos apima kelių veiksnių autentifikavimą, vaidmenimis pagrįstą prieigos valdymą ir nuolatinę tapatybių veiklos stebėseną.

Vykdymo laiko apsauga. Nuolatinė stebėsena aptinka ir sušvelnina grėsmes programos vykdymo metu. Tai apima anomalijų aptikimą, elgsenos analizę ir vykdymo laiko vykdymo strategijas. Vykdymo laiko aptikimas ir reagavimas užtikrina, kad net jei yra pažeidžiamumų, jie būtų greitai aptikti, suskirstyti pagal poveikį ir izoliuoti, kol užpuolikai jais nepasinaudojo.

Uždaros kilpos taisymas. Automatizuotos grįžtamojo ryšio kilpos užtikrina, kad pažeidžiamumai būtų pašalinti greitai. Šis principas padeda nuolat tobulinti ir didinti atsparumą. Uždaros kilpos taisymas integruojamas su CI/CD srautais, kad problemos būtų šalinamos jų šaltinyje, sumažinant laiką nuo aptikimo iki išsprendimo.

Pagrindiniai vietinių debesų saugos komponentai

Vietinių debesų sauga turi kelis pagrindinius elementus, kurie kartu saugo programas ir infrastruktūrą:

Konteinerių ir „Kubernetes“ sauga. Konteineriai supakuoja programas ir jų priklausomybes, todėl programas galima perkelti ir lengviau keisti jų mastą. „Kubernetes“ valdo šiuos konteinerius, valdydamas diegimą ir mastelio keitimą. Konteinerių ir „Kubernetes“ sauga apima atvaizdų tikrinimą, vykdymo laiko stebėseną ir valdymo plokštumų apsaugą. Netinkamai sukonfigūruoti „Kubernetes“ klasteriai yra dažnas atakos kelias, todėl konfigūracijos valdymas yra labai svarbus.

API sauga. Mikropaslaugos tarpusavyje bendrauja per API, kurios turi būti apsaugotos, kad būtų išvengta neleistinos prieigos. API sauga apima autentifikavimą, autorizavimą ir užklausų dažnio ribojimą. API šliuzai suteikia centralizuotą valdymą ir stebėseną, taip sumažindami duomenų atskleidimo riziką.

CNAPP. CNAPP sprendimai suvienija kelias saugos galimybes, įskaitant debesies saugos būsenos valdymą (CSPM). Šios suvienodintos platformos suteikia visapusį matomumą visame programos cikle, leidžia prioritetizuoti pagal riziką, nuosekliai taikyti strategiją ir greičiau aptikti bei reaguoti į grėsmes.

Atitiktis ir valdymas. Organizacijos turi laikytis reguliuojamosios atitikties standartų, pvz., Bendrasis duomenų apsaugos reglamento (BDAR), sveikatos draudimo mobilumo ir atskaitomybės akto (HIPAA) ir mokėjimo kortelių pramonės duomenų saugos standarto (PCI-DSS). Automatizuotos atitikties patikros ir ataskaitų teikimas padeda išlaikyti atitiktį standartams ir sumažinti teisinių nuobaudų riziką.

DI darbo krūviai. DI modeliai ir duomenų srautai kelia unikalių debesies saugos iššūkių. Būtina apsaugoti mokymo duomenis, užkirsti kelią modelių klastojimui ir užtikrinti etišką DI praktiką. Saugos priemonės turi apimti tiek DI sistemų konfidencialumą, tiek vientisumą.

Debesies duomenų sauga. Duomenys yra pagrindinis užpuolikų taikinys. Šifravimas, maskavimas ir prieigos valdikliai padeda apsaugoti slaptą informaciją. Duomenų bazės sauga apima neteisėtų užklausų stebėjimą ir tinkamos konfigūracijos užtikrinimą.

Tapatybės teisės. Perteklinės teisės didina kompromitavimo riziką. Tapatybės valdymo įrankiai padeda taikyti mažiausių teisių principą ir stebėti anomalijas. Teisių perskyrimo atakos yra dažnos debesies aplinkose, todėl tapatybės sauga tampa svarbiausiu prioritetu.

Kelių debesų būsenos nuoseklumas. Kelių debesų sauga: kas yra kelių debesų sauga?Kelių debesų sauga kelia abejonių organizacijoms, kurios naudoja kelis debesies paslaugų teikėjus, kiekviena iš jų turi unikalius saugos įrankius ir konfigūracijas. Išlaikius nuoseklias strategijas visose aplinkose, sumažėja sudėtingumas ir rizika.

Vietinių debesų konteinerio sauga. Tai apima konteinerių registrų apsaugą, vykdyklės valdiklių įdiegimą ir konteinerių vaizdų pažeidžiamumų stebėjimą.

Debesies darbo krūvio apsauga (CWPP). CWPP sprendimai suteikia matomumą ir grėsmių aptikimą visų aplinkų darbo krūviams, įskaitant virtualiąsias mašinas, konteinerius ir funkcijas be serverio.

Dar viena svarbi sąvoka, kurią reikia žinoti, yra vietinių debesų saugos „keturi C“. Kiekvienas „C“ reiškia vieną iš sluoksnių, kuriuos reikia apsaugoti taikant gynybą keliais lygiais:
 
  1. Kodas – programos kodas ir infrastruktūra kaip kodas (IaC), įskaitant atvirojo kodo priklausomybes.
  2. Konteineriai – konteinerių vaizdai ir vykdymo aplinkos.
  3. Klasteris – valdymo platformos, pvz., „Kubernetes“.
  4. Debesis – pagrindinė debesies infrastruktūra, pvz., tinklai, virtualiosios mašinos, saugykla, tapatybės ir konfigūracijos.

Dažniausi vietinių debesų saugos iššūkiai

Šiuolaikinė debesies infrastruktūra yra ekonomiška ir lengvai plečiama, nes ji yra efemeriška, o tai reiškia, kad pagal dizainą ji yra laikina. Jos pagrindiniai ištekliai kuriami ir naikinami pagal poreikį. Deja, dėl tokio lankstumo debesies infrastruktūrą sunku apsaugoti naudojant įprastus saugos įrankius. Kai ta infrastruktūra egzistuoja keliuose debesyse, kiekviename su savo konfigūracijomis ir įrankiais, gali atsirasti matomumo spragų, kurias užpuolikai gali išnaudoti, kad galėtų judėti tarp aplinkų.

Neteisingos konfigūracijos taip pat yra dažna vietinių debesų saugos problema. Pavyzdžiui, neteisingi saugyklos segmentų, atvirų prievadų ir prieigos valdiklių parametrai gali atverti paslaugas internetui. Atvirojo kodo priklausomybės ir trečiųjų šalių bibliotekų bei konteinerių atvaizdų trūkumai taip pat sukelia pažeidžiamumų.

Užpuolikai nuolat tobulina savo strategijas, kad išnaudotų šiuos pažeidžiamumus. Tokie metodai kaip išėjimas iš konteinerio ir teisių perskyrimas tampa vis sudėtingesni, o juos sustabdyti reikia lygiai taip pat sudėtingos automatizacijos, stebėjimo ir valdymo.

Geriausios praktikos kontrolinis sąrašas

Apžvelgėme daug veiksnių, į kuriuos reikia atsižvelgti kuriant organizacijos strategiją. Štai dar keli dalykai, į kuriuos reikia atkreipti dėmesį, kai pasirenkate įrankius, kurių reikia norint sustiprinti debesies saugos būseną:
 
  • Taikykite „Nulinis pasitikėjimas“ kartu su mikrosegmentavimu, kad apribotumėte judėjimą tarp sistemų ir sumažintumėte atakų poveikį.
  • Šifruokite perduodamus ir saugomus duomenis, kad užtikrintumėte slaptos informacijos konfidencialumą ir vientisumą.
  • Automatizuokite pažeidžiamumų nuskaitymą CI/CD grandinėse, kad problemas aptiktumėte kuo anksčiau kūrimo procese.
  • Reguliariai vykdykite atitikties auditus ir saugos padėties vertinimus, kad sumažintumėte reguliavimo baudų riziką.
  • Įgalinkite nuolatinį stebėjimą ir grėsmių aptikimą, kartu taikydami dinaminį rizikos prioritetų nustatymą, kad saugos komandos pirmiausia galėtų sutelkti dėmesį į atakos kelius, kurie greičiausiai baigsis duomenų saugos pažeidimu.
Jei nuspręsite taikyti CNAPP, įsitikinkite, kad jis siūlo:
 
  • Apsauga be agentų, kad būtų užtikrintas platus matomumas nedarant įtakos našumui.
  • Atakos kelių prioritetizavimas, kad būtų sutelktas dėmesys į kritines rizikas, galinčias sukelti brangius duomenų saugos pažeidimus.
  • Tapatybės teisių sumažinimas, kad būtų sumažinta per didelių teisių keliama rizika.
  • Integracija su išplėstinio aptikimo ir reagavimo (XDR) sprendimu, kad būtų užtikrintas vieningas grėsmių aptikimas.
  • Pataisymai pagal ciklą, kad pažeidžiamumai būtų išspręsti greičiau.

Išlikite apsaugoti debesyje su „Microsoft“

Visai programos ciklo apsaugai reikia daugiau nei atskirų įrankių ir pavienių pataisymų. „Microsoft“ sauga suteikia vieningą, DI pagrįstą vietinių debesų programų apsaugos platformą, kuri integruojasi su įrankiais, kuriuos jau naudoja daugelis kūrėjų, įskaitant „GitHub“, „Azure DevOps“ ir „Microsoft Copilot“. Įterpdamos saugą į kasdienius darbo procesus, organizacijos gali greičiau nustatyti ir pašalinti problemas, kartu palaikydamos „Nulinis pasitikėjimas“, „DevSecOps“ ir atitikties reikalavimus visose kelių debesų aplinkose.

Naudodamos „Microsoft“ CNAPP, saugos komandos gauna išsamų programų, duomenų, tapatybių ir infrastruktūros matomumą, pagrįstą trilijonais kasdienių grėsmių signalų ir dešimtmečius kaupta grėsmių žvalgybos patirtimi. Integracija tarp „Microsoft Defender for Cloud“ ir „Defender XDR“ padeda saugos komandoms tirti ir reaguoti į sudėtingas, skirtingas sritis apimančias atakas, apimančias debesies, tapatybės ir galinių įrenginių aplinkas. Rezultatas – greitesnis rizikos prioritetizavimas, mažiau saugos triukšmo ir stipresnė debesies bei DI darbo krūvių apsauga, suteikianti organizacijoms pasitikėjimo saugiai plėstis.
IŠTEKLIAI

Atraskite daugiau debesies saugos išteklių

Pasinaudokite šia informacija ir patobulinkite savo debesies saugos strategiją.
Moteris, vilkinti baltus marškinėlius, sėdi ir žiūri kažkur.
Sprendimas

Susipažinkite su išsamia hibridine ir kelių debesų sauga

Sužinokite, kaip „Microsoft“ CNAPP suvienija saugą visose jūsų aplinkose.
Sužinokite daugiau
Grupė žmonių, dirbančių su kompiuteriais biure.
Techninė dokumentacija

Kita debesies saugos era

Sužinokite, kodėl vis daugiau organizacijų investuoja į CNAPP, kad kovotų su kibernetiniu nusikalstamumu.
Atsisiųskite techninę dokumentaciją
Asmuo, laikantis telefoną.
Vadovas

Greitos pradžios vadovas, kaip įgyvendinti CNAPP strategiją

Sužinokite, kaip apsaugoti savo debesies programas ir infrastruktūrą naudojant visapusišką saugą.
Gaukite vadovą
Ranka, laikanti planšetinį kompiuterį.
Elektroninė knyga

Trys būdai, kaip modernizuoti vieningos kelių debesų saugos metodą

Sužinokite apie didžiausias šiandienos daugiasluoksnės debesies saugos rizikas ir kaip nuo jų apsisaugoti.
Gaukite elektroninę knygą
Grįžti į karuselės naršymo valdiklius

Dažnai užduodami klausimai

  • Vietinių debesų reiškia programas ir paslaugas, sukurtas veikti debesies aplinkose naudojant mikropaslaugas, konteinerius ir dinaminį valdymą.
  • Debesies technologija pagrįsta strategija, pagal kurią galima nustatyti debesies pritaikymo prioritetus, o debesies technologija pagrįstos programos aprašomos specialiai debesies aplinkoms.
  • Yra daug saugos grėsmių, kurias galima sumažinti debesyje dėl išsibarsčiusio išteklių pobūdžio. Ši rizika apima netinkamas konfigūracijas, tiekimo grandinės pažeidžiamumus, netinkamą tapatybės naudojimą ir vykdymo grėsmes.
  • „Keturi C“ yra kodas, konteineris, grupė ir debesis („code“, „container“, „cluster“ ir „cloud“). Kiekvieno iš šių keturių sluoksnių apsauga yra gynybos gylio strategijos dalis.
  • Vietinių debesų saugos platforma, pvz., CNAPP, užtikrina integruotą saugą visame programos gyvavimo cikle, įskaitant kūrimą, diegimą ir vykdymo laiką.

Stebėkite „Microsoft“ saugą

Organizacijoms skirtas „Copilot“ Asmeniniam naudojimui skirtas „Copilot“ Microsoft 365 „Windows 11“ programos Abonento profilis Atsisiuntimo centras Grąžinimas Užsakymo sekimas Perdirbimas Komercinės garantijos „Microsoft Education“ Įrenginiai švietimo įstaigoms „Microsoft Teams“ švietimui „Microsoft 365 Education“ „Office Education“ Pedagogų mokymai ir tobulėjimas Pasiūlymai studentams ir tėvams „Azure“ studentams
„Microsoft“ dirbtinis intelektas „Microsoft“ sauga „Azure” „Dynamics 365“ „Microsoft 365“ „Microsoft Advertising“ Microsoft 365 Copilot „Microsoft Teams“ „Microsoft“ kūrėjas „Microsoft Learn“ DI parduotuvės programų palaikymas „Microsoft“ techninės pagalbos bendruomenė Microsoft Marketplace „Microsoft Power Platform“ Programinės įrangos įmonės „Visual Studio“ Karjera Apie „Microsoft“ „Microsoft“ privatumas Investuotojai
Lietuvių (Lietuva) Vartotojų sveikatos privatumas Susisiekti su „Microsoft“ Privatumas Slapukų valdymas Naudojimosi sąlygos Prekių ženklai Apie mūsų reklamą EU Compliance DoCs