This is the Trace Id: 4e533ccb28070e7e88d6d2e990889e62
Pāriet uz galveno saturu Microsoft Defender Microsoft Entra Microsoft Intune Microsoft Purview Microsoft Security Copilot Microsoft Sentinel Skatīt visus produktus Mākslīgā intelekta kiberdrošība Mākoņa drošība Datu drošība un pārvaldība Identitāte un piekļuve tīklam Konfidencialitāte un riska pārvaldība AI drošība Mazie un vidējie uzņēmumi Vienotas drošības operācijas Nulles uzticamība Cenas Pakalpojumi Partneri Kāpēc izvēlēties komplektu Microsoft drošība? Kiberdrošības apzināšanās Klientu stāsti Drošības pamati Produktu izmēģinājumversijas Atzinība nozarē Microsoft Security Insider Microsoft digitālās aizsardzības atskaite Drošības reaģēšanas centrs Microsoft drošības emuārs Microsoft drošības pasākumi Microsoft tehniskā kopiena Dokumentācija Tehniskā satura bibliotēka Apmācība un sertifikācija Microsoft Cloud atbilstības nodrošināšanas programma Microsoft drošības kontroles centrs Pakalpojumu drošības kontroles portāls Microsoft drošas nākotnes iniciatīva Biznesa risinājumu centrmezgls Saziņa ar tirdzniecības pārstāvi Sākt bezmaksas izmēģinājumversiju Microsoft drošība Azure Dynamics 365 Azure Microsoft Teams Windows 365 Microsoft AI Azure Space Jauktā realitāte Microsoft HoloLens Microsoft Viva Kvantu skaitļošana Izglītība Automobiļi Finanšu pakalpojumi Valsts Veselības aprūpe Ražošana Mazumtirdzniecība Atrast partneri Kā kļūt par partneri Partneru tīkls Microsoft Marketplace Programmatūras uzņēmumi Emuārs Microsoft Advertising Izstrādātāju centrs Dokumentācija Pasākumi Licencēšana Microsoft Learn Microsoft Research Skatīt vietnes karti
Persona sēž pie galda, izmantojot klēpjdatoru.

Kas ir mākoņvides drošība?

Uzziniet, kā mākoņvides drošība aizsargā programmas, datus un infrastruktūru visā programmas dzīves ciklā, izmantojot labākās prakses un pamatprincipu piemērus.
Mākoņvides drošība iestrādā drošības vadīklas un uz risku balstītu aizsardzību programmās un infrastruktūrā, kas paredzēta mākoņvidēm, aizsargājot darba slodzes no koda izveides līdz izvietošanai un izpildlaikam. Šī pieeja palīdz organizācijām pārvaldīt drošību sadalītās sistēmās, mikropakalpojumos un konteinerizētās programmās, kas darbojas dinamiskās, vairākmākoņu vidēs.

  • Mākoņvides drošība integrē drošību katrā programmas dzīves cikla posmā.

  • Tā risina unikālos drošības izaicinājumus, ko rada konteinerizēta un uz mikropakalpojumiem balstīta arhitektūra.

  • Pamatpraksēs ietilpst Nulles uzticamība, automatizācija, paplašināta drošība un nepārtraukta kiberapdraudējumu uzraudzība.

Ievads mākoņvides drošībā

Laikā, kad programmas darbojās tikai lokāli izvietotās vidēs, drošība nozīmēja aparatūras ugunsmūru perimetru ap fiziskiem serveriem. Mūsdienu mākoņvides programmu aizsardzība ir sarežģītāka. Mākoņvides programmu drošībai ir jāaizsargā darba slodzes, kas aptver lokāli izvietotus serverus un vairākus mākoņus, vienlaikus spējot mērogoties no dažiem simtiem instanču līdz miljoniem atkarībā no pieprasījuma.

Organizācijas, kas ievieš mākoņvides stratēģijas, bieži strādā ar mikropakalpojumiem, konteineriem un pārvaldības platformām, piemēram, Kubernetes. Šīs tehnoloģijas nodrošina elastību un mērogojamību, bet arī ievieš papildu riskus. Mākoņvides drošība risina šos riskus ar iestrādātu aizsardzību un vadīklām no koda līdz izpildlaikam, nodrošinot nepārtrauktu, adaptīvu aizsardzību, kamēr mākoņa un MI programmas mainās reāllaikā.

Lai aizsargātu mākoņa un MI programmas, datus un infrastruktūru visā pilnajā dzīves ciklā, drošības pasākumiem ir jāsavieno koda izstrāde, konfigurācija, izvietošana un reāllaika noteikšana un reaģēšana vienotā pieejā. Tiem arī jāaptver sensitīvi dati, datu bāzes un MI modeļi, lai nodrošinātu, ka darba slodzes paliek aizsargātas vairākmākoņu vidēs.

Kontekstapzinīgas drošības pievienošana, kas apvieno ar MI darbinātus ieskatus, izpildlaika uzraudzību un uz identitāti balstītas vadīklas, var palīdzēt uzturēt atbilstību un samazināt risku dinamiskās sistēmās. Mākoņvides programmu aizsardzības platformas jeb CNAPP tika izveidotas, lai apvienotu drošību visā mākoņa un MI programmu dzīves ciklā, risinot sarežģītību, redzamības nepilnības un uzbrucēju pārvietošanos starp vidēm.

Mākoņvides drošības galvenie principi

Ievērojot labākās mākoņvides drošības prakses, organizācijas var saglabāt savu inovatīvo elastību, vienlaikus samazinot risku. Daži mākoņvides drošības pamatprincipi ir:

Agro drošības risinājumu ieviešana. Šī prakse integrē drošību agrīni izstrādes procesā, samazinot ievainojamības pirms izvietošanas un novēršot risku nonākšanu ražošanas vidēs. Tā nodrošina, ka kods tiek skenēts ievainojamību noteikšanai būvēšanas un testēšanas fāzēs, samazinot trūkumus, kas nonāk ražošanā. Šī koda drošība ietver arī drošas kodēšanas praksi, automatizētu testēšanu un izstrādātāju apmācību.

Nulles uzticamības arhitektūra. Ar šo pieeju tiek verificēts katrs piekļuves pieprasījums, un netiek piešķirta nekāda netieša uzticēšanās. Šis princips attiecas uz lietotājiem, ierīcēm un darba slodzēm, nodrošinot nepārtrauktu piekļuves validēšanu. Stingru piekļuves vadīklu ieviešana samazina sānu pārvietošanās risku vidēs.

Automatizācija un DevSecOps. Pareizie rīki var automatizēt drošības procesus nepārtrauktas integrācijas un piegādes (CI/CD) konveijeros, samazinot cilvēkfaktora kļūdas un paātrinot novēršanu. Izstrādes, drošības un darbību (DevSecOps) ietvars veicina sadarbību starp izstrādes, drošības un darbību komandām, iekļaujot drošību darbplūsmās, nesamazinot piegādes ātrumu.

Identitāšu un piekļuves pārvaldība (IAM). Mākonī identitāte ir viens no galvenajiem risku virsmām. IAM nodrošina, ka piekļuve tiek kontrolēta, izmantojot stingru identitātes pārvaldību, piešķirot atļaujas, pamatojoties uz vismazāko privilēģiju principu. Turklāt IAM labākajās praksēs ietilpst daudzfaktoru autentifikācija, uz lomām balstīta piekļuves kontrole un nepārtraukta identitāšu darbību uzraudzība.

Izpildlaika aizsardzība. Nepārtraukta uzraudzība konstatē un mazina draudus programmas izpildes laikā. Tas ietver anomāliju noteikšanu, uzvedības analīzi un izpildlaika izpildes politikas. Izpildlaika noteikšana un reaģēšana nodrošina, ka pat tad, ja pastāv ievainojamības, tās tiek ātri atklātas, prioritizētas pēc ietekmes un ierobežotas, pirms uzbrucēji tās var izmantot.

Slēgtā cikla novēršana. Automatizētas atgriezeniskās saites cilpas nodrošina, ka ievainojamības tiek ātri novērstas. Šis princips atbalsta nepārtrauktu uzlabošanu un noturību. Slēgtā cikla novēršana integrējas ar CI/CD konveijeriem, lai novērstu problēmas to avotā, samazinot laiku starp atklāšanu un atrisināšanu.

Mākoņvides drošības pamatkomponenti

Mākoņvides drošībai ir vairāki galvenie elementi, kas darbojas kopā, lai aizsargātu programmas un infrastruktūru:

Konteineru un Kubernetes drošība. Konteineri iepako programmas un to atkarības, nodrošinot programmu pārnesamību un mērogojamību. Kubernetes pārvalda šos konteinerus, pārvaldot izvietošanu un mērogošanu. Konteineru un Kubernetes drošība ietver attēlu skenēšanu, izpildlaika uzraudzību un vadības plakņu aizsardzību. Nepareizi konfigurēti Kubernetes klasteri ir bieži sastopams uzbrukuma vektors, tāpēc konfigurāciju pārvaldība ir kritiski svarīga.

API drošība. Mikropakalpojumi savstarpēji sazinās, izmantojot API, kas ir jāaizsargā, lai novērstu nesankcionētu piekļuvi. API drošība ietver autentifikāciju, autorizāciju un pieprasījumu ātruma ierobežošanu. API vārtejas nodrošina centralizētu kontroli un uzraudzību, samazinot datu noplūdes risku.

CNAPP. CNAPP risinājumi apvieno vairākas drošības iespējas, tostarp mākoņa drošības stāvokļa pārvaldību (CSPM). Šīs vienotās platformas nodrošina pilnīgu redzamību visā programmas dzīves ciklā, ļaujot prioritizēt riskus, konsekventi piemērot politikas un ātrāk noteikt un reaģēt uz draudiem.

Atbilstība un pārvaldība. Organizācijām jāievēro normatīvās atbilstības standarti, piemēram, Vispārīgā datu aizsardzības regula (VDAR), Health Insurance Portability and Accountability Act (HIPAA) un Payment Card Industry Data Security Standard (PCI-DSS). Automatizētas atbilstības pārbaudes un atskaites palīdz saglabāt atbilstību standartiem, samazinot juridisko sodu risku.

AI darba slodze. AI modeļi un datu cauruļvadi ievieš unikālus mākoņa drošības izaicinājumus. Ir būtiski aizsargāt mācību datus, novērst modeļu manipulāciju un nodrošināt ētiskas MI prakses. Drošības pasākumiem jāaptver gan MI sistēmu konfidencialitāte, gan integritāte.

Mākoņa datu drošība. Dati ir galvenais uzbrucēju mērķis. Šifrēšana, maskēšana un piekļuves kontroles aizsargā sensitīvu informāciju. Datubāzu drošība ietver nesankcionētu vaicājumu pārraudzību un pareizas konfigurācijas nodrošināšanu.

Identitātes atļaujas. Pārmērīgas privilēģijas palielina kompromitēšanas risku. Identitātes pārvaldības rīki palīdz ieviest vismazāko privilēģiju principu un pārraudzīt anomālijas. Privilēģiju eskalācijas uzbrukumi mākoņvidēs ir bieži sastopami, tāpēc identitātes drošība ir viena no galvenajām prioritātēm.

Daudzmākoņu drošības stāvokļa konsekvence. Multicloud drošība ir svarīga organizācijām, kas izmanto vairākus mākoņpakalpojumu sniedzējus ar atšķirīgiem drošības rīkiem un konfigurācijām. Konsekventu politiku uzturēšana visās vidēs samazina sarežģītību un risku.

Mākoņvides konteineru drošība. Tas ietver konteineru reģistru aizsardzību, izpildlaika kontroles ieviešanu un konteineru attēlu ievainojamību pārraudzību.

Mākoņa darba slodzes aizsardzība (CWPP). CWPP risinājumi nodrošina darba slodžu redzamību un draudu noteikšanu visās vidēs, tostarp virtuālajās mašīnās, konteineros un bezserveru funkcijās.

Vēl viens svarīgs jēdziens, kas jāzina, ir mākoņvides drošības “četri C”. Katrs “C” apzīmē vienu no slāņiem, kas jāaizsargā, lai nodrošinātu daudzslāņu aizsardzības pieeju:
 
  1. Code (kods)—lietojumprogrammu kods un infrastruktūra kā kods (IaC), tostarp atvērtā pirmkoda atkarības.
  2. Container (konteiners)— konteineru attēli un izpildlaiki.
  3. Cluster (klasteris)—orķestrēšanas platformas, piemēram, Kubernetes.
  4. Cloud (mākonis)—pamatā esošā mākoņa infrastruktūra, piemēram, tīkli, virtuālās mašīnas, krātuve, identitātes un konfigurācijas.

Biežākās mākoņvides drošības problēmas

Mūsdienu mākoņa infrastruktūra ir rentabla un mērogojama, jo tā ir netverama, proti, pēc būtības ir īslaicīga. Tās pamatresursi tiek izveidoti un iznīcināti pēc vajadzības. Diemžēl šī elastība padara mākoņa infrastruktūru grūti aizsargājamu ar tradicionālajiem drošības rīkiem. Ja šāda infrastruktūra atrodas vairākos mākoņos ar katram savu konfigurāciju un rīkiem, var rasties redzamības nepilnības, kuras uzbrucēji var izmantot, lai pārvietotos sāniski starp vidēm.

Nepareizas konfigurācijas ir arī bieži sastopama mākoņvides drošības problēma. Piemēram, nepareizi iestatījumi, kas saistīti ar krātuves spaiņiem, atvērtiem portiem un piekļuves kontrolēm, var padarīt pakalpojumus pieejamus internetā. Atvērtā pirmkoda atkarības un trūkumi trešo pušu bibliotēkās un konteineru attēlos arī rada ievainojamības.

Uzbrucēji nepārtraukti pilnveido savas taktikas, lai izmantotu šīs ievainojamības. Tādas metodes kā konteineru izbēgšana un privilēģiju eskalācija kļūst arvien sarežģītākas, un to apkarošanai nepieciešama tikpat sarežģīta automatizācija, uzraudzība un pārvaldība.

Labākās prakses kontrolsaraksts

Mēs esam aplūkojuši daudzus faktorus, kas jāņem vērā, izstrādājot organizācijas stratēģiju. Tālāk ir vēl daži punkti, kas jāpatur prātā, izvēloties rīkus, kuri nepieciešami, lai stiprinātu jūsu mākoņa drošības stāvokli:
 
  • Ieviesiet Nulles uzticību kopā ar mikrosegmentēšanu, lai ierobežotu sānu pārvietošanos un samazinātu uzbrukumu ietekmi.
  • Šifrējiet datus pārsūtīšanas laikā un neaktīvā stāvoklī, lai nodrošinātu sensitīvas informācijas konfidencialitāti un integritāti.
  • Automatizējiet ievainojamību skenēšanu CI/CD kanālos, lai pēc iespējas agrāk noteiktu problēmas izstrādes procesā.
  • Veiciet regulārus atbilstības auditus un drošības stāvokļa novērtējumus, lai samazinātu risku saņemt regulatīvos sodus.
  • Iespējojiet nepārtrauktu uzraudzību un draudu noteikšanu kopā ar dinamisku riska prioritizēšanu, lai drošības komandas vispirms varētu koncentrēties uz uzbrukuma ceļiem, kas visdrīzāk var novest pie drošības pārkāpuma.
Ja izvēlēsities ieviest CNAPP, pārliecinieties, ka tas nodrošina:
 
  • Bez-aģenta pārklājums plašai redzamībai bez veiktspējas ietekmes.
  • Uzbrukuma ceļu prioritizēšana, lai koncentrētos uz kritiskiem riskiem, kas var novest pie dārgiem drošības pārkāpumiem.
  • Identitātes atļauju samazināšana, lai mazinātu pārmērīgu privilēģiju radīto pakļautību riskam.
  • Integrācija ar paplašinātu noteikšanas un reaģēšanas (XDR) risinājumu, lai nodrošinātu vienotu draudu noteikšanu.
  • Dzīves ciklā balstīta novēršana, lai ātrāk atrisinātu ievainojamības.

Saglabājiet aizsardzību mākonī ar Microsoft

Visas lietojumprogrammas dzīves cikla aizsardzībai vajadzīgi vairāk nekā izolēti rīki un atsevišķi labojumi. Microsoft drošība nodrošina vienotu, ar MI darbinātu mākoņvides lietojumprogrammu aizsardzības platformu, kas integrējas ar rīkiem, kurus daudzi izstrādātāji jau izmanto, tostarp GitHub, Azure DevOps un Microsoft Copilot. Iegulstot drošību ikdienas darba plūsmās, organizācijas var ātrāk identificēt un novērst problēmas, vienlaikus atbalstot Nulles uzticamību, DevSecOps un atbilstības prasības visās vairākmākoņu vidēs.

Izmantojot Microsoft CNAPP, drošības komandas iegūst padziļinātu redzamību lietojumprogrammās, datos, identitātēs un infrastruktūrā, ko papildina ieskati no triljoniem ikdienas draudu signālu un gadu desmitiem uzkrātas draudu informācijas ekspertīzes. Integrācija starp Microsoft Defender for Cloud un Defender XDR palīdz drošības komandām izmeklēt un reaģēt uz sarežģītiem, starpdomēnu uzbrukumiem, kas aptver mākoņa, identitātes un galapunktu vides. Rezultātā notiek ātrāka riska prioritizēšana, mazāk drošības trokšņu un spēcīgāka aizsardzība mākoņa un AI darba slodzēm, kas sniedz organizācijām pārliecību droši mērogot darbību.
RESURSI

Atklājiet vairāk mākoņdrošības resursu

Izmantojiet šo informāciju, lai palīdzētu pilnveidot mākoņa drošības stratēģiju.
Sieviete baltā T-kreklā sēž un skatās kaut kur.
Risinājums

Izpētiet visaptverošu hibrīda un vairākmākoņu drošību

Uzziniet, kā Microsoft CNAPP apvieno drošību visās jūsu vidēs.
Papildinformācija
Personu grupa, kas strādā ar datoriem birojā.
Tehniskais dokuments

Mākoņa drošības nākamā ēra

Uzziniet, kāpēc arvien vairāk organizāciju investē CNAPP, lai cīnītos pret kibernoziegumiem.
Lejupielādēt tehnisko dokumentu
Persona tur tālruni.
Ceļvedis

Ātrās sākšanas ceļvedis CNAPP stratēģijas īstenošanai

Izpētiet, kā ar holistisku drošību aizsargāt savas mākoņa lietotnes un infrastruktūru.
Iegūt ceļvedi
Plauksta tur planšetdatoru.
Elektroniskā grāmata

3 veidi, kā modernizēt pieeju vienotai vairākmākoņu drošībai

Uzziniet par lielākajiem daudzmākonī esošās drošības riskiem šodien un to, kā no tiem aizsargāties.
Iegūt elektronisko grāmatu
Atpakaļ uz karuseļa navigācijas vadīklām

Bieži uzdotie jautājumi

  • Apzīmējums “mākoņvides” attiecas uz lietojumprogrammām un pakalpojumiem, kas izstrādāti darbam mākoņvidēs, izmantojot mikropakalpojumus, konteinerus un dinamisku pārvaldību.
  • Mākonim vispirms ir stratēģija, kuras prioritāte ir mākoņvides ieviešana, savukārt mākonim paredzēts attiecas uz lietojumprogrammām, kas ir veidotas tieši mākoņvidēm.
  • Mākonī ir daudz drošības risku, kas jāmazina, jo resursi ir izkliedēti. Šie riski ietver nepareizas konfigurācijas, piegādes ķēdes ievainojamības, identitātes ļaunprātīgu izmantošanu un izpildlaika apdraudējumus.
  • Četri C ir kods, konteiners, klasteris un mākonis. Katra no šiem četriem slāņiem nodrošināšana veido aizsardzības dziļumā stratēģiju.
  • Mākoņiem paredzēta drošības platforma, piemēram, CNAPP, nodrošina integrētu drošību visā lietojumprogrammas dzīves ciklā, tostarp izstrādē, izvietošanā un izpildlaikā.

Sekot Microsoft drošībai

Copilot organizācijām Copilot individuālai lietošanai Microsoft 365 Windows 11 lietotnes Konta profils Lejupielādes centrs Atgrieztie vienumi Pasūtījumu izsekošana Otrreizējā pārstrāde Commercial Warranties Microsoft Education Ierīces izglītībai Microsoft Teams izglītības iestādēm Microsoft 365 Education Office Education Pedagogu apmācība un attīstība Piedāvājumi skolēniem un vecākiem Azure skolēniem
Microsoft AI Microsoft drošība Azure Dynamics 365 Microsoft 365 Microsoft Advertising Microsoft 365 Copilot Microsoft Teams Microsoft izstrādātājs Microsoft Learn Atbalsts mākslīgā intelekta tirgus programmām Microsoft tehniskā kopiena Microsoft Marketplace Microsoft Power Platform Programmatūras uzņēmumi Visual Studio Karjera Microsoft privātums Investori
Latviešu (Latvija) Patērētāju veselības konfidencialitāte Sazināties ar Microsoft Konfidencialitāte Pārvaldīt sīkfailus Izmantošanas noteikumi Prečzīmes Par mūsu reklāmām EU Compliance DoCs