This is the Trace Id: 96d8ae60833d2bd2b220bc8ef702373d
Перейти к основному контенту Microsoft Defender Microsoft Entra Microsoft Intune Microsoft Purview Microsoft Security Copilot Microsoft Sentinel Посмотреть все продукты Кибербезопасность на базе искусственного интеллекта Безопасность облака Безопасность данных и управление ими Идентификация и доступ к сети Конфиденциальность и управление рисками Защита для ИИ Для малого и среднего бизнеса Унифицированные операции по обеспечению безопасности Модель "Никому не доверяй" Цены Услуги Партнеры Преимущества Microsoft Security Осведомленность о кибербезопасности Истории клиентов Основы безопасности Пробные версии продуктов Признание в отрасли Центр по реагированию на угрозы Блог Microsoft Security Мероприятия Microsoft Security Сообщество технических специалистов Майкрософт Документация Библиотека технических материалов Обучение и сертификация Комплаенс-программа для Microsoft Cloud Центр управления безопасностью Майкрософт Service Trust Portal Microsoft Инициатива «Безопасное будущее» Центр решений для бизнеса Связь с отделом продаж Microsoft Security Azure Dynamics 365 Microsoft 365 Microsoft Teams Windows 365 ИИ от Майкрософт Azure Space Смешанная реальность Microsoft HoloLens Microsoft Viva Квантовые вычисления Образование: Автомобили Финансовые услуги Государственный сектор Здравоохранение Производство Розничная торговля Найти партнера Стать партнером Партнерская сеть Microsoft Marketplace Компании-разработчики программного обеспечения Блог Microsoft Advertising Центр разработчиков Документация Мероприятия Лицензирование Microsoft Learn Microsoft Research Посмотреть карту сайта
Человек работает на ноутбуке, сидя за столом.

Что такое безопасность, ориентированная на облако?

Узнайте, как безопасность, ориентированная на облако, защищает приложения, данные и инфраструктуру на протяжении всего жизненного цикла приложения, с примерами лучших методик и основных принципов.
Безопасность, ориентированная на облако, предполагает внедрение средств контроля и защиты на основе оценки рисков в приложения и инфраструктуру, разработанные для облачных сред, обеспечивая безопасность рабочих нагрузок от момента создания кода до развертывания и выполнения. Такой подход помогает организациям управлять безопасностью распределенных систем, микросервисов и контейнеризированных приложений, работающих в динамичных многооблачных средах.
  • Безопасность, ориентированная на облако, интегрирует средства защиты на каждом этапе жизненного цикла приложения.

  • Она позваоляет решать уникальные проблемы безопасности, связанные с контейнеризированными архитектурами и архитектурами на основе микросервисов.

  • К основным принципам относятся концепция «никому не доверяй», автоматизация, безопасность с раннего этапа и непрерывный мониторинг киберугроз.

Введение в безопасность, ориентированную на облако

Во времена, когда приложения запускались исключительно локально, безопасность обеспечивалась периметром аппаратных межсетевых экранов вокруг физических серверов. Защита современных приложений, ориентированных на облако, задача более сложная. Безопасность приложений, ориентированных на облако, должна защищать рабочие нагрузки, распределенные между локальными серверами и несколькими облаками, с возможностью масштабирования от нескольких сотен до миллионов экземпляров по мере изменения спроса.

Организации, внедряющие стратегии, ориентированные на облако, часто работают с микросервисами, контейнерами и платформами оркестрации, такими как Kubernetes. Эти технологии обеспечивают гибкость и масштабируемость, но также создают дополнительные риски. Безопасность, ориентированная на облако, устраняет эти риски за счет встроенной защиты и контроля от кода до среды выполнения, обеспечивая непрерывную, адаптивную защиту по мере изменения облачных и ИИ-приложений в режиме реального времени.

Для защиты облачных и ИИ-приложений, данных и инфраструктуры на протяжении всего жизненного цикла меры безопасности должны объединять разработку кода, настройку, развертывание, а также обнаружение и реагирование в режиме реального времени в единый подход. Они также должны обеспечить защиту конфиденциальных данных, баз данных и моделей ИИ, чтобы гарантировать сохранность рабочих нагрузок в многооблачных средах.

Внедрение контекстно-ориентированной безопасности, сочетающей в себе аналитические данные, полученные с помощью ИИ, мониторинг в режиме реального времени и средства контроля на основе идентификации, может помочь вам обеспечить соответствие нормативным требованиям и снизить риски в динамических системах. Платформы защиты облачных приложений или CNAPP были созданы для унификации безопасности на протяжении всего жизненного цикла облачных и ИИ-приложений, устраняя сложности, пробелы в прозрачности и перемещение злоумышленников между средами.

Основные принципы безопасности, ориентированной на облако

Соблюдение лучших практик обеспечения безопасности, ориентированной на облако, позволяет организациям сохранять свою инновационную гибкость, одновременно снижая риски. К основным принципам безопасности, ориентированной на облако, относятся:

Безопасность с раннего этапа. Этот подход обеспечивает интеграцию мер безопасности на ранних этапах разработки, снижая уязвимости до развертывания и предотвращая проникновение рисков в производственную среду. Это гарантирует, что код сканируется на наличие уязвимостей на этапах сборки и тестирования, сводя к минимуму количество ошибок, попадающих в рабочую среду. Безопасность с раннего этапа также включает в себя безопасные методы кодирования, автоматизированное тестирование и обучение разработчиков.

Архитектура "Никому не доверяй". При таком подходе каждый запрос на доступ проверяется, и не предоставляется никакого неявного доверия. Этот принцип применяется к пользователям, устройствам и рабочим нагрузкам, обеспечивая непрерывную проверку доступа. Внедрение строгих мер контроля доступа снижает риск перемещения людей внутри помещений.

Автоматизация и DevSecOps. Правильно подобранные инструменты могут автоматизировать процессы обеспечения безопасности в конвейерах непрерывной интеграции и доставки (CI/CD), снижая количество человеческих ошибок и ускоряя их исправление. Концепция разработки, безопасности и эксплуатации (DevSecOps) способствует сотрудничеству между командами разработки, безопасности и эксплуатации, интегрируя безопасность в рабочие процессы без замедления процесса разработки.

Система управления идентификацией и доступом (IAM). В облако идентификатор — это ключевой фактор риска. Система управления идентификацией и доступом (IAM) обеспечивает контроль доступа посредством надежного управления идентификацией, предоставляя разрешения на основе принципа минимальных привилегий. Кроме того, к передовым методам управления идентификацией и доступом относятся многофакторная аутентификация, управление доступом на основе ролей и непрерывный мониторинг активности идентификационных данных.

Защита среды выполнения. Непрерывный мониторинг выявляет и нейтрализует угрозы во время выполнения приложения. Это включает в себя обнаружение аномалий, поведенческий анализ и применение политик в процессе выполнения. Система обнаружения и реагирования в режиме реального времени гарантирует, что даже при наличии уязвимостей они будут быстро обнаружены, расставлены по приоритетам в зависимости от масштаба воздействия и локализованы до того, как злоумышленники смогут их использовать.

Исправление в замкнутом цикле. Автоматизированные механизмы обратной связи обеспечивают быстрое устранение уязвимостей. Этот принцип способствует непрерывному совершенствованию и устойчивости. Исправление по замкнутому циклу интегрируется с конвейерами CI/CD для устранения проблем в источнике, сокращая время между обнаружением и устранением.

Основные компоненты безопасности, ориентированной на облако

Безопасность, ориентированная на облако, включает в себя несколько ключевых элементов, которые работают вместе для защиты приложений и инфраструктуры:

Безопасность контейнеров и Kubernetes. Контейнеры упаковывают приложения и их зависимости, обеспечивая переносимость и масштабируемость приложений. Kubernetes выступает в роли оркестратора этих контейнеров, управляя развертыванием и масштабированием. Безопасность контейнеров и Kubernetes включает сканирование образов, мониторинг в режиме реального времени и защиту плоскостей управления. Неправильно настроенные кластеры Kubernetes являются распространенным вектором атак, поэтому управление конфигурацией имеет решающее значение.

Безопасность API. Микросервисы взаимодействуют через API, которые необходимо защищать, чтобы предотвратить несанкционированный доступ. Безопасность API включает в себя аутентификацию, авторизацию и ограничение скорости запросов. Шлюзы API обеспечивают централизованное управление и мониторинг, снижая риск утечки данных.

CNAPP. Решения CNAPP объединяют множество возможностей обеспечения безопасности, включая управление состоянием безопасности облака (CSPM). Эти унифицированные платформы обеспечивают сквозную прозрачность на протяжении всего жизненного цикла приложения, позволяя устанавливать приоритеты на основе рисков, обеспечивать последовательное применение политик, а также ускорять обнаружение угроз и реагирование на них.

Соблюдение требований и управление. Организации должны соблюдать нормативные требования, такие как Общий регламент по защите данных (GDPR), акт о передаче и защите данных учреждений здравоохранения HIPAA и Стандарт безопасности данных отрасли платежных карт (PCI-DSS). Автоматизированные проверки на соответствие требованиям и отчетность помогают поддерживать соответствие стандартам, снижая риск юридических санкций.

Рабочие нагрузки ИИ. Модели ИИ и конвейеры обработки данных создают уникальные проблемы в области безопасности облачных вычислений. Защита обучающих данных, предотвращение фальсификации моделей и обеспечение этичных методов работы с искусственным интеллектом имеют первостепенное значение. Меры безопасности должны учитывать как конфиденциальность, так и целостность систем искусственного интеллекта.

Безопасность облачных данных. Данные являются основной целью для злоумышленников. Шифрование, маскирование и контроль доступа защищают конфиденциальную информацию. Безопасность базы данных включает в себя мониторинг несанкционированных запросов и обеспечение надлежащей конфигурации.

Разрешения для идентификаторов. Чрезмерные привилегии повышают риск компрометации. Инструменты управления идентификаторами помогают обеспечить соблюдение принципа минимальных привилегий и отслеживать аномалии. Атаки с целью повышения привилегий распространены в облачных средах, поэтому обеспечение безопасности идентификационных данных является первостепенной задачей.

Согласованность конфигурации в нескольких облаках. Безопасность в многооблачной среде — это важная задача для организаций, которые используют несколько облачных поставщиков с разными средствами безопасности и настройками. Поддержание единообразных политик в различных средах снижает сложность и риски.

Облачная безопасность контейнеров. Это включает в себя обеспечение безопасности реестров контейнеров, внедрение средств контроля во время выполнения и мониторинг уязвимостей в образах контейнеров.

Защита облачных рабочих нагрузок (CWPP). Решения CWPP обеспечивают прозрачность и обнаружение угроз для рабочих нагрузок в различных средах, включая виртуальные машины, контейнеры и бессерверные функции.

Еще одно ключевое понятие, которое необходимо знать, — это «четыре C» безопасности облачных приложений. Каждая буква «С» обозначает один из уровней, которые необходимо обеспечить для реализации многоуровневой системы защиты:
 
  1. Код — код приложения и инфраструктура как код (IaC), включая зависимости с открытым исходным кодом.
  2. Контейнеры — образы и среды выполнения контейнеров.
  3. Кластер — платформы оркестрации, такие как Kubernetes.
  4. Облако — базовая облачная инфраструктура, такая как сети, виртуальные машины, хранилище, идентификаторы и конфигурации.

Распространенные проблемы безопасности, ориентированной на облако

Современная облачная инфраструктура экономически эффективна и масштабируема, поскольку она эфемерна, то есть по своей сути является временной. Ее базовые ресурсы создаются и уничтожаются по мере необходимости. К сожалению, такая гибкость затрудняет обеспечение безопасности облачной инфраструктуры с помощью традиционных инструментов безопасности. Если такая инфраструктура существует в нескольких облаках, каждое из которых имеет свои собственные конфигурации и инструменты, это может создавать пробелы в видимости, которые злоумышленники могут использовать для перемещения по разным средам.

Неправильная настройка также является распространенной проблемой в сфере безопасности облачных приложений. Например, некорректные настройки, касающиеся сегментов хранения, открытых портов и контроля доступа, могут привести к тому, что сервисы станут доступны из интернета. Зависимости с открытым кодом и уязвимости в библиотеках сторонних разработчиков и образах контейнеров также создают потенциальные проблемы.

Злоумышленники постоянно совершенствуют свои стратегии для использования этих уязвимостей. Такие методы, как выход за пределы контейнеров и повышение привилегий, становятся все более изощренными, и борьба с ними требует столь же сложных средств автоматизации, мониторинга и управления.

Контрольный список лучших методик

Мы рассмотрели множество факторов, которые следует учитывать при разработке стратегии вашей организации. Вот еще несколько моментов, которые следует учитывать при выборе инструментов для повышения уровня безопасности облака:
 
  • Внедрите концепцию «никому не доверяй» наряду с микросегментацией, чтобы ограничить горизонтальное перемещение и уменьшить последствия атак.
  • Шифрование данных при передаче и хранении обеспечивает конфиденциальность и целостность важной информации.
  • Автоматизируйте сканирование уязвимостей в конвейерах CI/CD для выявления проблем на самых ранних этапах разработки.
  • Регулярно проводите проверки на соответствие нормативным требованиям и оценку своего положения, чтобы снизить риск наложения штрафных санкций со стороны регулирующих органов.
  • Включите непрерывный мониторинг и обнаружение угроз в сочетании с динамической приоритизацией рисков, чтобы группы безопасности могли в первую очередь сосредоточиться на путях атаки, наиболее вероятно ведущих к нарушению безопасности.
Если вы решите внедрить программу CNAPP, убедитесь, что она предлагает следующие возможности:
 
  • Покрытие без использования агентов для широкой видимости без влияния на производительность.
  • Определение приоритетов путей атаки для фокусирования на критических рисках, которые могут привести к дорогостоящим инцидентам.
  • Сокращение прав идентификаторов для минимизации рисков, связанных с чрезмерными привилегиями.
  • Интеграция с решением XDR для унифицированного обнаружения угроз.
  • Устранение на основе жизненного цикла для более быстрого исправления уязвимостей.

Оставайтесь под защитой в облаке с Майкрософт

Для обеспечения безопасности на протяжении всего жизненного цикла приложения требуется нечто большее, чем просто отдельные инструменты и точечные исправления. Microsoft Security предоставляет унифицированную облачную платформу защиты приложений на основе искусственного интеллекта, которая интегрируется с инструментами, уже используемыми многими разработчиками, включая GitHub, Azure DevOps и Microsoft Copilot. Внедрение мер безопасности в повседневные рабочие процессы позволяет организациям быстрее выявлять и устранять проблемы, одновременно поддерживая принципы нулевого доверия, DevSecOps и требования соответствия нормативным требованиям в многооблачных средах.

С помощью Microsoft CNAPP команды безопасности получают глубокий анализ приложений, данных, идентификационных данных и инфраструктуры, опираясь на информацию, полученную из триллионов ежедневных сигналов об угрозах, и многолетний опыт в области анализа угроз. Интеграция Microsoft Defender для облака и Defender XDR помогает группам безопасности расследовать сложные междоменные атаки, охватывающие облачные среды, среды управления идентификацией и конечные устройства, а также реагировать на них. В результате достигается более быстрая приоритизация рисков, снижение уровня информационной шума в сфере безопасности и более надежная защита облачных и ИИ-нагрузок, что дает организациям уверенность в безопасном масштабировании.
РЕСУРСЫ

Дополнительная информация о ресурсах безопасности облака

Используйте эту информацию для совершенствования вашей стратегии безопасности облака.

Вопросы и ответы

  • Ориентированные на облако — это приложения и сервисы, разработанные для работы в облачной среде с использованием микросервисов, контейнеров и динамической оркестровки.
  • Стратегия «сначала облако» предполагает приоритетное внедрение облачных технологий, а «ориентированный на облако» описывает приложения, разработанные специально для облачных сред.
  • В облаке существует множество рисков безопасности, которые необходимо минимизировать из-за распределенного характера ресурсов. К таким рискам относятся неправильная конфигурация, уязвимости цепочки поставок, неправомерное использование идентификационных данных и угрозы во время выполнения.
  • Четыре «С» — это код, контейнер, кластер и облако. Обеспечение безопасности каждого из этих четырех уровней представляет собой стратегию многоуровневой защиты.
  • Платформа безопасности, ориентированной на облако, такая как CNAPP, обеспечивает интегрированную безопасность на протяжении всего жизненного цикла приложения, включая разработку, развертывание и выполнение.

Следите за новостями Microsoft Security

Русский (Россия) Конфиденциальность медицинских сведений потребителей Связаться с Майкрософт Конфиденциальность Управление файлами cookie Условия использования Товарные знаки Сведения о рекламе