This is the Trace Id: 41856e1f3abcd917d0801f610297f350
Przejdź do głównej zawartości Microsoft Defender Microsoft Entra Microsoft Intune Microsoft Purview Microsoft Security Copilot Microsoft Sentinel Zobacz wszystkie produkty Cyberbezpieczeństwo obsługiwane przez AI Bezpieczeństwo w chmurze Bezpieczeństwo danych i zarządzanie nimi Dostęp do sieci i tożsamość Zarządzanie prywatnością i ryzykiem Zabezpieczenia dla AI Małe i średnie firmy Ujednolicone operacje zabezpieczeń Zero Trust Ceny Usługi Partnerzy Dlaczego warto wybrać rozwiązania zabezpieczające firmy Microsoft Świadomość cyberbezpieczeństwa Historie klientów Podstawy zabezpieczeń Wersje próbne produktów Uznanie w branży Microsoft Security Insider Raport firmy Microsoft dotyczący cyberobrony Centrum zabezpieczeń firmy Microsoft Blog dotyczący rozwiązań zabezpieczających firmy Microsoft Wydarzenia dotyczące rozwiązań zabezpieczających firmy Microsoft Microsoft Tech Community Dokumentacja Techniczna biblioteka zawartości Szkolenia i certyfikacje Compliance Program for Microsoft Cloud Centrum zaufania firmy Microsoft Service Trust Portal Microsoft Inicjatywa na rzecz Bezpiecznej Przyszłości Centrum rozwiązań biznesowych Kontakt z działem sprzedaży Skorzystaj z bezpłatnej wersji próbnej Rozwiązania zabezpieczające firmy Microsoft Azure Dynamics 365 Microsoft 365 Microsoft Teams Windows 365 Microsoft AI Azure Space Rzeczywistość mieszana Microsoft HoloLens Microsoft Viva Obliczenia kwantowe Edukacja Motoryzacja Usługi finansowe Administracja publiczna Opieka zdrowotna Produkcja Handel detaliczny Znajdź partnera Zostań partnerem Sieć partnerów Microsoft Marketplace Firmy oprogramowania Blog Microsoft Advertising Centrum deweloperów Dokumentacja Wydarzenia Licencje Microsoft Learn Microsoft Research Wyświetl mapę witryny
Osoba siedzi przy biurku i korzysta z laptopa.

Czym jest bezpieczeństwo natywne dla chmury?

Dowiedz się, jak bezpieczeństwo natywne dla chmury chroni aplikacje, dane i infrastrukturę w całym cyklu życia aplikacji, z przykładami najlepszych rozwiązań i kluczowych zasad.
Bezpieczeństwo natywne dla chmury osadza mechanizmy kontroli zabezpieczeń i zabezpieczenia oparte na ryzyku w aplikacjach i infrastrukturze projektowanych z myślą o środowiskach chmury, chroniąc obciążenia od utworzenia kodu przez wdrożenie aż po działanie w czasie rzeczywistym. To podejście pomaga organizacjom zarządzać zabezpieczeniami systemów rozproszonych, mikrousług i aplikacji kontenerowych działających w dynamicznych środowiskach wielu chmur.

  • Bezpieczeństwo natywne dla chmury integruje zabezpieczenia na każdym etapie cyklu życia aplikacji.

  • Opcja ta rozwiązuje wyjątkowe problemy zabezpieczeń, jakie stwarzają architektury oparte na kontenerach i mikrousługach.

  • Do podstawowych rozwiązań należą model Zero Trust, automatyzacja, zabezpieczenia na wczesnym etapie (shift-left) i ciągłe monitorowanie cyberzagrożeń.

Wprowadzenie do bezpieczeństwa natywnego dla chmury

W czasach, gdy aplikacje działały wyłącznie lokalnie, zabezpieczenia opierały się na obwodzie sprzętowych zapór sieciowych wokół fizycznych serwerów. Zabezpieczanie dzisiejszych aplikacji natywnych dla chmury jest bardziej złożone. Bezpieczeństwo aplikacji natywnych dla chmury musi chronić obciążenia obejmujące serwery lokalne i wielu chmur, z możliwością skalowania od kilkuset wystąpień do milionów, gdy zmienia się zapotrzebowanie.

Organizacje wdrażające strategie natywne dla chmury często korzystają z mikrousług, kontenerów i platform orkiestracji, takich jak platforma Kubernetes. Te technologie zwiększają elastyczność i skalowalność, ale wprowadzają też dodatkowe ryzyko. Bezpieczeństwo natywne dla chmury odpowiada na to ryzyko dzięki wbudowanym zabezpieczeniom i mechanizmom kontroli od kodu po czas działania, zapewniając ciągłą, adaptacyjną ochronę, gdy aplikacje chmury i sztucznej inteligencji zmieniają się w czasie rzeczywistym.

Aby chronić aplikacje, dane i infrastrukturę chmury oraz sztucznej inteligencji w całym cyklu życia, zabezpieczenia muszą łączyć tworzenie kodu, konfigurację, wdrażanie oraz wykrywanie i reagowanie w czasie rzeczywistym w jedno spójne podejście. Muszą też uwzględniać dane poufne, bazy danych i modele AI, aby obciążenia pozostawały chronione w środowiskach wielu chmur.

Dodanie zabezpieczeń uwzględniających kontekst, które łączą analizy oparte na sztucznej inteligencji, monitorowanie w czasie rzeczywistym i kontrolę opartą na tożsamości, może pomóc utrzymać zgodność i zmniejszyć ryzyko w dynamicznych systemach. Platformy ochrony aplikacji natywnych dla chmury, czyli platformy CNAPP, zostały stworzone po to, aby ujednolicić zabezpieczenia w całym cyklu życia aplikacji chmury i sztucznej inteligencji, eliminując złożoność, luki w widoczności i przemieszczanie się atakujących między środowiskami.

Kluczowe zasady bezpieczeństwa natywnego dla chmury

Stosowanie najlepszych rozwiązań w zakresie bezpieczeństwa natywnego dla chmury pozwala organizacjom zachować innowacyjną zwinność i jednocześnie zmniejszać ryzyko. Do podstawowych zasad bezpieczeństwa natywnego dla chmury należą:

Zabezpieczenia na wczesnym etapie (shift-left). Takie rozwiązanie integruje zabezpieczenia wcześnie w procesie tworzenia, zmniejszając liczbę luk w zabezpieczeniach przed wdrożeniem i zapobiegając przenoszeniu ryzyka do środowisk produkcyjnych. Zapewnia skanowanie kodu pod kątem luk w zabezpieczeniach w fazach kompilacji i testów, minimalizując błędy trafiające do środowiska produkcyjnego. Zabezpieczenia na wczesnym etapie (shift-left) obejmują też bezpieczne rozwiązania w zakresie kodowania, automatyczne testowanie i szkolenie deweloperów.

Architektura modelu Zero Trust. W tym podejściu każde żądanie dostępu jest weryfikowane, a zaufanie domyślne nie jest przyznawane. Te zasady dotyczą użytkowników, urządzeń i obciążeń, zapewniając ciągłą weryfikację dostępu. Egzekwowanie ścisłych kontroli dostępu zmniejsza ryzyko ruchu bocznego w środowiskach.

Automatyzacja i metodyka DevSecOps. Odpowiednie narzędzia mogą automatyzować procesy zabezpieczeń w potokach ciągłej integracji i dostarczania, ograniczając błędy ludzkie i przyspieszając korygowanie. Strukturalny model rozwoju, zabezpieczeń i operacji (DevSecOps) promuje współpracę między zespołami deweloperskimi, zabezpieczeń i operacyjnymi, wbudowując zabezpieczenia w przepływy pracy bez spowalniania dostarczania.

Zarządzanie tożsamościami i dostępem (IAM). W chmurze tożsamość jest główną powierzchnią podatną na ryzyko. Zarządzanie tożsamościami i dostępem zapewnia kontrolę dostępu dzięki silnemu zarządzaniu tożsamościami, przyznając uprawnienia zgodnie z zasadą minimalnych uprawnień. Ponadto najlepsze rozwiązania w zakresie zarządzania tożsamościami i dostępem obejmują uwierzytelnianie wieloskładnikowe, kontrolę dostępu na podstawie ról oraz ciągłe monitorowanie aktywności tożsamości.

Ochrona środowiska uruchomieniowego. Ciągłe monitorowanie wykrywa i ogranicza zagrożenia podczas działania aplikacji. Obejmuje to wykrywanie anomalii, analizę zachowań i zasady egzekwowania w czasie działania. Wykrywanie i reagowanie w czasie działania zapewnia, że nawet jeśli istnieją luki w zabezpieczeniach, są one szybko wykrywane, priorytetyzowane według wpływu i izolowane, zanim atakujący zdążą je wykorzystać.

Naprawianie w pętli zamkniętej. Zautomatyzowane pętle informacji zwrotnej zapewniają szybkie usuwanie luk. Ta zasada wspiera ciągłe doskonalenie i odporność. Naprawa w pętli zamkniętej integruje się z potokami ciągłej integracji i ciągłego wdrażania, aby usuwać problemy u źródła, skracając czas między wykryciem a rozwiązaniem.

Podstawowe składniki bezpieczeństwa natywnego dla chmury

Bezpieczeństwo natywne dla chmury ma kilka kluczowych elementów, które razem chronią aplikacje i infrastrukturę:

Zabezpieczenia kontenerów i platformy Kubernetes. Kontenery pakują aplikacje i ich zależności, umożliwiając przenośność i skalowalność aplikacji. Platforma Kubernetes orkiestruje te kontenery, zarządzając wdrażaniem i skalowaniem. Zabezpieczenia kontenerów i platformy Kubernetes obejmują skanowanie obrazów, monitorowanie w czasie działania i zabezpieczanie płaszczyzn sterowania. Błędnie skonfigurowane klastry platformy Kubernetes są częstą wektorem ataku, dlatego zarządzanie konfiguracją ma kluczowe znaczenie.

Zabezpieczenia interfejsu API. Mikrousługi komunikują się przez interfejsy API, które trzeba zabezpieczyć, aby zapobiec nieautoryzowanemu dostępowi. Zabezpieczenia interfejsów API obejmują uwierzytelnianie, autoryzację i ograniczanie liczby żądań. Bramy interfejsów API zapewniają scentralizowaną kontrolę i monitorowanie, zmniejszając ryzyko ujawnienia danych.

Rozwiązania CNAPP. Rozwiązania CNAPP ujednolicają wiele możliwości zabezpieczeń, w tym zarządzanie stanem zabezpieczeń chmury (CSPM). Te ujednolicone platformy zapewniają pełną widoczność w całym cyklu życia aplikacji, umożliwiając priorytetyzację opartą na ryzyku, spójne egzekwowanie zasad i szybsze wykrywanie zagrożeń oraz reagowanie na nie.

Zgodność z przepisami i zapewnianie ładu. Organizacje muszą przestrzegać standardów zgodności z przepisami, takich jak Ogólne rozporządzenie o ochronie danych (RODO), ustawa HIPAA dotycząca przenoszenia i odpowiedzialności w ubezpieczeniach zdrowotnych oraz standard zabezpieczeń danych branży kart płatniczych (PCI-DSS). Zautomatyzowane kontrole zgodności i raportowanie pomagają utrzymać zgodność ze standardami, zmniejszając ryzyko kar prawnych.

Obciążenia sztucznej inteligencji. Modele AI i potoki danych wprowadzają wyjątkowe wyzwania związane z bezpieczeństwem w chmurze. Ochrona danych treningowych, zapobieganie manipulacjom modelem i zapewnienie etycznych rozwiązań w zakresie sztucznej inteligencji są niezbędne. Środki zabezpieczeń muszą obejmować zarówno poufność, jak i integralność systemów sztucznej inteligencji.

Bezpieczeństwo danych w chmurze. Dane są głównym celem atakujących. Szyfrowanie, maskowanie i kontrola dostępu chronią informacje poufne. Zabezpieczenia baz danych obejmują monitorowanie nieautoryzowanych zapytań i zapewnianie poprawnej konfiguracji.

Uprawnienia tożsamości. Zbyt szerokie uprawnienia zwiększają ryzyko naruszenia zabezpieczeń. Narzędzia do zarządzania tożsamością pomagają egzekwować zasadę najmniejszych uprawnień i monitorować anomalie. Ataki polegające na eskalacji uprawnień są częste w środowiskach chmury, dlatego zabezpieczenia tożsamości są najwyższym priorytetem.

Spójność stanu zabezpieczeń w wielu chmurach. Zabezpieczenia wielu chmur to ważny obszar dla organizacji korzystających z wielu dostawców chmury, z których każdy ma własne narzędzia i konfiguracje zabezpieczeń. Utrzymywanie spójnych zasad we wszystkich środowiskach zmniejsza złożoność i ryzyko.

Natywne dla chmury zabezpieczenia kontenerów. Obejmuje to zabezpieczanie rejestrów kontenerów, wdrażanie kontroli w czasie wykonywania i monitorowanie obrazów kontenerów pod kątem luk w zabezpieczeniach.

Platforma ochrony obciążeń pracą w chmurze (CWPP). Rozwiązania CWPP zapewniają widoczność i wykrywanie zagrożeń dla obciążeń w różnych środowiskach, w tym na maszynach wirtualnych, kontenerach i funkcjach bezserwerowych.

Kolejnym ważnym pojęciem, które warto znać, są „cztery K” bezpieczeństwa natywnego dla chmury. Każda litera „K” reprezentuje jedną z warstw, które muszą zostać zabezpieczone, aby zapewnić podejście oparte na obronie dogłębnej:
 
  1. Kod—kod aplikacji i infrastruktura jako kod (IaC), w tym zależności typu open-source.
  2. Kontener—obrazy kontenerów i środowiska uruchomieniowe.
  3. Klaster—platformy orkiestracji, takie jak platforma Kubernetes.
  4. Komputerowa chmura—podstawowa infrastruktura chmury, taka jak sieci, maszyny wirtualne, magazyn, tożsamości i konfiguracje.

Typowe wyzwania związane z bezpieczeństwem natywnym dla chmury

Nowoczesna infrastruktura chmury jest opłacalna i skalowalna, ponieważ ma charakter efemeryczny, czyli z założenia jest tymczasowa. Jej zasoby bazowe są tworzone i usuwane w razie potrzeby. Niestety ta elastyczność sprawia, że trudno zabezpieczyć infrastrukturę chmury za pomocą tradycyjnych narzędzi zabezpieczeń. Gdy taka infrastruktura istnieje w wielu chmurach, z których każda ma własne konfiguracje i narzędzia, mogą pojawić się luki w widoczności, które atakujący mogą wykorzystać do przemieszczania się bocznie między środowiskami.

Błędne konfiguracje to także częsty problem w bezpieczeństwie natywnym dla chmury. Na przykład nieprawidłowe ustawienia dotyczące zasobników magazynu, otwartych portów i kontroli dostępu mogą ujawnić usługi w internecie. Zależności typu open-source oraz słabe punkty w bibliotekach innych firm i obrazach kontenerów również wprowadzają luki w zabezpieczeniach.

Atakujący stale rozwijają swoje metody, aby wykorzystywać te luki w zabezpieczeniach. Techniki takie jak ucieczka z kontenera i eskalacja uprawnień stają się coraz bardziej zaawansowane, a przeciwdziałanie im wymaga równie zaawansowanej automatyzacji, monitorowania i zarządzania.

Lista kontrolna najlepszych rozwiązań

Omówiliśmy wiele czynników, które warto wziąć pod uwagę podczas tworzenia strategii organizacji. Oto jeszcze kilka punktów, o których warto pamiętać, wybierając narzędzia potrzebne do wzmocnienia Twojego stanubezpieczeństwa w chmurze:
 
  • Wdrażaj model Zero Trust razem z mikrosegmentacją, aby ograniczyć przemieszczanie się boczne i zmniejszyć skutki ataków.
  • Szyfruj dane przesyłane i dane nieużywane, aby zapewnić poufność i integralność informacji poufnych.
  • Zautomatyzuj skanowanie podatności w potokach ciągłej integracji i ciągłego wdrażania, aby wykrywać problemy możliwie jak najwcześniej w procesie tworzenia.
  • Regularnie przeprowadzaj inspekcje zgodności i ocenę postawy zabezpieczeń, aby zmniejszyć ryzyko kar regulacyjnych.
  • Włącz ciągłe monitorowanie i wykrywanie zagrożeń, połączone z dynamicznym priorytetyzowaniem ryzyka, aby zespoły ds. zabezpieczeń mogły najpierw skupić się na ścieżkach ataku, które najprawdopodobniej doprowadzą do naruszenia zabezpieczenia.
Jeśli zdecydujesz się wdrożyć platformę CNAPP, upewnij się, że oferuje:
 
  • Zakres bezagentowy dla szerokiej widoczności bez wpływu na wydajność.
  • Priorytetyzację ścieżek ataku, aby skupić się na zagrożeniach o znaczeniu krytycznym, które mogą doprowadzić do kosztownych naruszeń w zabezpieczeniach.
  • Ograniczanie uprawnień tożsamości, aby zmniejszyć narażenie wynikające ze zbyt szerokich uprawnień.
  • Integrację z rozszerzonymi możliwościami wykrywania zagrożeń i reagowania na nie (XDR), aby zapewnić ujednolicone wykrywanie zagrożeń.
  • Naprawianie oparte na cyklu życia, aby szybciej usuwać luki w zabezpieczeniach.

Zachowaj ochronę w chmurze dzięki firmie Microsoft

Zabezpieczenie całego cyklu życia aplikacji wymaga czegoś więcej niż odizolowanych narzędzi i punktowych poprawek. Rozwiązania zabezpieczające firmy Microsoft zapewniają ujednoliconą, obsługiwaną przez sztuczną inteligencję platformę ochrony aplikacji natywnych dla chmury, która integruje się z narzędziami, z których korzysta już wielu deweloperów, w tym serwisem GitHub, metodyką Azure DevOps i funkcją Microsoft Copilot. Dzięki wbudowaniu zabezpieczeń w codzienne procesy organizacje mogą szybciej identyfikować i naprawiać problemy, jednocześnie wspierając model Zero Trust, metodykę DevSecOps i wymagania dotyczące zgodności we wszystkich środowiskach wielu chmur.

Dzięki platformie Microsoft CNAPP zespoły ds. zabezpieczeń zyskują głęboką widoczność w aplikacjach, danych, tożsamościach i infrastrukturze — wspieraną przez informacje z bilionów codziennych sygnałów o zagrożeniach i dziesięcioleci doświadczeń w zakresie analizy zagrożeń. Integracja między programami Microsoft Defender dla Chmury i Defender XDR pomaga zespołom ds. zabezpieczeń badać i reagować na złożone ataki obejmujące wiele obszarów, które rozciągają się na środowiska chmury, tożsamości i punktów końcowych. Dzięki temu priorytetyzowanie ryzyka jest szybsze, szum związany z zabezpieczeniami mniejszy, a ochrona obciążeń chmury i sztucznej inteligencji silniejsza, co daje organizacjom pewność bezpiecznego skalowania.
ZASOBY

Odkrywaj więcej zasobów dotyczących bezpieczeństwa w chmurze

Skorzystaj z tych informacji, aby dopracować strategię bezpieczeństwa w chmurze.
Kobieta ubrana w białą koszulkę siedzi i patrzy gdzieś.
Rozwiązanie

Odkrywaj kompleksowe zabezpieczenia hybrydowe i wielu chmur

Sprawdź, jak platforma Microsoft CNAPP ujednolica zabezpieczenia we wszystkich Twoich środowiskach.
Dowiedz się więcej
Grupa ludzi pracuje na komputerach w biurze.
Oficjalny dokument

Następna era bezpieczeństwa w chmurze

Dowiedz się, dlaczego coraz więcej organizacji inwestuje w platformy CNAPP, aby przeciwdziałać cyber­przestępczości.
Pobierz oficjalny dokument
Osoba trzyma telefon.
Przewodnik

Szybki przewodnik po realizacji strategii platformy CNAPP

Odkrywaj, jak chronić aplikacje i infrastrukturę chmury, stosując kompleksowe rozwiązania zabezpieczające.
Pobierz przewodnik
Dłoń trzymająca tablet.
Książka elektroniczna

3 sposoby modernizacji podejścia do ujednoliconych zabezpieczeń wielochmurowych

Dowiedz się o największych dzisiejszych zagrożeniach związanych z zabezpieczeniami w środowisku wielu chmur i o tym, jak się przed nimi chronić.
Pobierz książkę elektroniczną
Powrót do kontrolek nawigacji karuzeli

Często zadawane pytania

  • Termin natywne dla chmury odnosi się do aplikacji i usług zaprojektowanych do działania w środowiskach chmury z użyciem mikrousług, kontenerów i dynamicznej orkiestracji.
  • Podejście chmurowe to strategia polegająca na priorytetowym traktowaniu wdrażania rozwiązań w chmurze, podczas gdy rozwiązania natywne dla chmury to aplikacje tworzone specjalnie z myślą o środowiskach chmury.
  • W chmurze trzeba ograniczyć wiele zagrożeń w zakresie zabezpieczeń ze względu na rozproszony charakter zasobów. Do tych zagrożeń należą błędne konfiguracje, luki w łańcuchu dostaw, niewłaściwe użycie tożsamości i zagrożenia w czasie wykonywania.
  • Cztery litery K to kod, kontener, klaster i komputerowa chmura. Zabezpieczenie każdej z tych czterech warstw składa się na strategię obrony w głąb.
  • Platforma bezpieczeństwa natywna dla chmury, taka jak platforma CNAPP, zapewnia zintegrowane zabezpieczenia w całym cyklu życia aplikacji, w tym podczas tworzenia, wdrażania i w czasie wykonywania.

Obserwuj rozwiązania zabezpieczające firmy Microsoft

Surface Pro Surface Laptop Copilot dla organizacji Copilot do użytku osobistego Microsoft 365 Poznaj produkty Microsoft Profil konta Centrum pobierania Pomoc techniczna Microsoft Store Zwroty Śledzenie zamówienia Recykling Gwarancje handlowe Microsoft Education Urządzenia dla instytucji edukacyjnych Microsoft Teams dla Instytucji Edukacyjnych Microsoft 365 Education Office Education Szkolenia i możliwości rozwoju dla nauczycieli Oferty dla uczniów i rodziców Azure dla uczniów
Microsoft AI Rozwiązania zabezpieczające firmy Microsoft Azure Dynamics 365 Microsoft 365 Microsoft Advertising Microsoft 365 Copilot Microsoft Teams Deweloper Microsoft Microsoft Learn Pomoc techniczna do aplikacji z platformy handlowej opartych na AI Społeczność Microsoft Tech Microsoft Marketplace Microsoft Power Platform Firmy oprogramowania Visual Studio Praca Informacje o firmie Microsoft Aktualności Ochrona prywatności Inwestorzy
Polski (Polska) Zasady prywatności dotyczące zdrowia użytkowników Skontaktuj się z Microsoft Ochrona prywatności Zarządzaj plikami cookie Zasady użytkowania Znaki towarowe Informacje o naszych reklamach EU Compliance DoCs