Zabezpečenie natívne pre cloud má niekoľko kľúčových prvkov, ktoré spoločne chránia aplikácie a infraštruktúru:
Zabezpečenie kontajnerov a Kubernetes. Kontajnery balia aplikácie a ich závislosti, čím umožňujú prenosnosť a škálovateľnosť aplikácií. Kubernetes orchestruje tieto kontajnery a spravuje ich nasadenie a škálovanie. Zabezpečenie kontajnerov a Kubernetes zahŕňa skenovanie obrazov, monitorovanie runtime a zabezpečenie riadiacich rovín. Nesprávne nakonfigurované klastre Kubernetes sú bežným vektorom útoku, preto je správa konfigurácií kľúčová.
Zabezpečenie rozhraní API. Mikroslužby komunikujú cez rozhrania API, ktoré musia byť zabezpečené, aby sa zabránilo neoprávnenému prístupu. Zabezpečenie rozhraní API zahŕňa overovanie, autorizáciu a obmedzovanie rýchlosti. Brány API poskytujú centralizované riadenie a monitorovanie, čím znižujú riziko vystavenia údajov.
Platformy CNAPP. Riešenia CNAPP zjednocujú viaceré možnosti zabezpečenia vrátane správy stavu cloudového zabezpečenia (CSPM). Tieto zjednotené platformy poskytujú úplnú viditeľnosť počas celého životného cyklu aplikácie, umožňujú prioritizáciu podľa rizika, konzistentné vynucovanie politík a rýchlejšiu detekciu hrozieb a reakciu na ne.
Súlad a riadenie. Organizácie musia dodržiavať štandardy
súladu s predpismi, ako sú všeobecné nariadenie o ochrane údajov (
GDPR), Health Insurance Portability and Accountability Act (HIPAA) a Payment Card Industry Data Security Standard (PCI-DSS). Automatizované kontroly súladu a výkazy pomáhajú udržiavať súlad so štandardmi a znižujú riziko právnych sankcií.
Pracovné zaťaženia AI. Modely AI a dátové kanály prinášajú jedinečné výzvy v oblasti cloudového zabezpečenia. Zásadné je chrániť trénovacie údaje, predchádzať neoprávnenej manipulácii s modelmi a zabezpečiť etické postupy v oblasti AI. Bezpečnostné opatrenia musia riešiť dôvernosť aj integritu systémov AI.
Zabezpečenie cloudových údajov. Údaje sú hlavným cieľom útočníkov. Šifrovanie, maskovanie a ovládacie prvky prístupu chránia citlivé informácie. Zabezpečenie databáz zahŕňa monitorovanie neoprávnených dotazov a zabezpečenie správnej konfigurácie.
Oprávnenia identít. Nadmerné oprávnenia zvyšujú riziko kompromitácie. Nástroje na riadenie identít pomáhajú presadzovať princíp najnižších oprávnení a monitorovať anomálie. Útoky s eskaláciou oprávnení sú v cloudových prostrediach bežné, preto je zabezpečenie identít najvyššou prioritou.
Konzistentnosť stavu v multicloude. Multicloudové zabezpečenie je dôležité pre organizácie, ktoré používajú viacerých poskytovateľov cloudu, pričom každý z nich má jedinečné bezpečnostné nástroje a konfigurácie. Udržiavanie konzistentných politík naprieč prostrediami znižuje zložitosť a riziko.
Zabezpečenie kontajnerov natívne pre cloud. Zahŕňa to zabezpečenie registrov kontajnerov, implementáciu ovládacích prvkov runtime a monitorovanie zraniteľností v obrazoch kontajnerov.
Ochrana cloudových pracovných zaťažení (CWPP). Riešenia CWPP poskytujú viditeľnosť a detekciu hrozieb pre pracovné zaťaženia naprieč prostrediami vrátane virtuálnych počítačov, kontajnerov a bezserverových funkcií.
Ďalším kľúčovým pojmom, ktorý treba poznať, sú „štyri C“ zabezpečenia natívneho pre cloud. Každé „C“ predstavuje jednu z vrstiev, ktoré treba zabezpečiť, aby sa zaistil prístup hĺbkovej obrany:
- Code – kód aplikácie a infraštruktúra ako kód (IaC) vrátane závislostí open-source.
- Container – obrazy kontajnerov a runtime.
- Cluster – platformy orchestrácie, ako je Kubernetes.
- Cloud – podkladová cloudová infraštruktúra, napríklad siete, virtuálne počítače, úložisko, identity a konfigurácie.
Sledujte zabezpečenie od spoločnosti Microsoft