This is the Trace Id: 8da45d836f5436742789772e1d0c955c
Prejsť na hlavný obsah Microsoft Defender Microsoft Entra Microsoft Intune Microsoft Purview Microsoft Security Copilot Microsoft Sentinel Zobraziť všetky produkty Kybernetická bezpečnosť využívajúca umelú inteligenciu Cloudové zabezpečenie Zabezpečenie a riadenie údajov Identita a prístup k sieti Ochrana osobných údajov a riadenie rizík Zabezpečenie pre AI Malé a stredne veľké podniky Unified SecOps Nulová dôvera (Zero Trust) Ceny Služby Partneri Prečo zabezpečenie od spoločnosti Microsoft Zvyšovanie povedomia o kybernetickej bezpečnosti Príbehy zákazníkov Základy zabezpečenia Skúšobné verzie produktov Ocenenia v rámci odvetvia Microsoft Security Insider Správa spoločnosti Microsoft o digitálnej obrane Security Response Center Blog o zabezpečení od spoločnosti Microsoft Podujatia spoločnosti Microsoft venované zabezpečeniu Microsoft Tech Community Dokumentácia Knižnica technického obsahu Školenia a certifikácie Program zabezpečenia súladu pre Microsoft Cloud Centrum dôveryhodnosti spoločnosti Microsoft Service Trust Portal Microsoft Iniciatíva Bezpečná budúcnosť Centrum podnikových riešení Kontaktovať odd. predaja Spustiť bezplatnú skúšobnú verziu Zabezpečenie od spoločnosti Microsoft Azure Dynamics 365 Microsoft 365 Microsoft Teams Windows 365 Microsoft AI Azure Space Zmiešaná realita Microsoft HoloLens Microsoft Viva Kvantové výpočtové prostriedky Vzdelávanie Automobilový priemysel Finančné služby Vládne inštitúcie İş ortakları Výroba Maloobchod Vyhľadať partnera Staňte sa partnerom Sieť partnerov Microsoft Marketplace Softvérové spoločnosti Blog Microsoft Advertising Stredisko pre vývojárov Dokumentácia Udalosti Licencovanie Microsoft Learn Microsoft Research Zobraziť mapu stránky
Osoba sedí za stolom a používa prenosný počítač.

Čo je zabezpečenie natívne pre cloud?

Zistite, ako zabezpečenie natívne pre cloud chráni aplikácie, údaje a infraštruktúru počas celého životného cyklu aplikácií, vrátane príkladov osvedčených postupov a základných princípov.
Zabezpečenie natívne pre cloud vkladá ovládacie prvky zabezpečenia a ochranu založenú na rizikách do aplikácií a infraštruktúry navrhnutých pre cloudové prostredia a zabezpečuje pracovné zaťaženia od tvorby kódu cez nasadenie až po runtime. Tento prístup pomáha organizáciám riadiť zabezpečenie distribuovaných systémov, mikroslužieb a kontajnerizovaných aplikácií, ktoré fungujú v dynamických multicloudových prostrediach.
  • Zabezpečenie natívne pre cloud integruje zabezpečenie do každej fázy životného cyklu aplikácie.

  • Rieši jedinečné bezpečnostné výzvy, ktoré prinášajú kontajnerizované architektúry a architektúry založené na mikroslužbách.

  • Medzi základné postupy patria Zero Trust, automatizácia, zabezpečenie typu shift-left a priebežné monitorovanie kybernetických hrozieb.

Úvod do zabezpečenia natívneho pre cloud

V časoch, keď aplikácie fungovali výlučne lokálne, zabezpečenie zahŕňalo perimeter hardvérových brán firewall okolo fyzických serverov. Ochrana dnešných aplikácií natívnych pre cloud je zložitejšia. Zabezpečenie aplikácií natívnych pre cloud musí chrániť pracovné zaťaženia naprieč lokálnymi servermi a viacerými cloudmi a musí sa vedieť škálovať od niekoľkých stoviek inštancií až po milióny podľa toho, ako sa mení dopyt.

Organizácie, ktoré prijímajú stratégie natívne pre cloud, často pracujú s mikroslužbami, kontajnermi a platformami orchestrácie, ako je Kubernetes. Tieto technológie umožňujú agilitu a škálovateľnosť, no zároveň prinášajú ďalšie riziká. Zabezpečenie natívne pre cloud rieši tieto riziká vstavanou ochranou a ovládacími prvkami od kódu až po runtime, čím zaisťuje priebežnú adaptívnu ochranu, keď sa cloudové aplikácie a aplikácie AI menia v reálnom čase.

Na ochranu cloudových aplikácií a aplikácií AI, údajov a infraštruktúry počas celého životného cyklu musia bezpečnostné opatrenia prepojiť vývoj kódu, konfiguráciu, nasadenie a detekciu a reakciu v reálnom čase do jednotného prístupu. Musia tiež riešiť citlivé údaje, databázy a modely AI, aby pracovné zaťaženia zostali chránené v multicloudových prostrediach.

Pridanie zabezpečenia zohľadňujúceho kontext, ktoré kombinuje prehľady využívajúce AI, monitorovanie runtime a ovládacie prvky založené na identitách, vám môže pomôcť udržiavať súlad a znižovať riziko v dynamických systémoch. Platformy na ochranu aplikácií natívnych pre cloud, alebo CNAPP, vznikli s cieľom zjednotiť zabezpečenie počas celého životného cyklu cloudových aplikácií a aplikácií AI a riešiť zložitosť, medzery vo viditeľnosti a pohyb útočníkov naprieč prostrediami.

Kľúčové princípy zabezpečenia natívneho pre cloud

Dodržiavanie osvedčených postupov zabezpečenia natívneho pre cloud pomáha organizáciám zachovať si inovačnú agilitu a zároveň znižovať riziko. Medzi základné princípy zabezpečenia natívneho pre cloud patria:

Zabezpečenie typu shift-left. Tento postup integruje zabezpečenie už v počiatočných fázach vývoja, čím znižuje zraniteľnosti pred nasadením a bráni tomu, aby sa riziká dostali do produkčných prostredí. Zaisťuje, aby sa počas fáz zostavenia a testovania kontrolovali zraniteľnosti kódu, čím sa minimalizujú chyby, ktoré sa dostanú do produkcie. Zabezpečenie typu shift-left zahŕňa aj postupy bezpečného kódovania, automatizované testovanie a vzdelávanie vývojárov.

Architektúra s nulovou dôverou (Zero Trust). Pri tomto prístupe sa overuje každá žiadosť o prístup a neudeľuje sa žiadna implicitná dôvera. Tento princíp sa vzťahuje na používateľov, zariadenia a pracovné zaťaženia a zaisťuje, že prístup sa priebežne overuje. Presadzovanie prísnych ovládacích prvkov prístupu znižuje riziko laterálneho pohybu v prostrediach.

Automatizácia a DevSecOps. Správne nástroje dokážu automatizovať bezpečnostné procesy v kanáloch priebežnej integrácie a doručovania (CI/CD), čím znižujú počet ľudských chýb a zrýchľujú nápravu. Rámec pre vývoj, zabezpečenie a prevádzku (DevSecOps) podporuje spoluprácu medzi vývojovými, bezpečnostnými a prevádzkovými tímami a vkladá zabezpečenie do pracovných postupov bez spomaľovania dodávania.

Správa identít a prístupu (IAM). V cloude je identita kľúčovou rizikovou oblasťou. IAM zaisťuje, že prístup sa riadi pomocou silného riadenia identít a oprávnenia sa udeľujú na základe princípu najnižších oprávnení. Medzi osvedčené postupy IAM navyše patrí viacfaktorové overovanie, riadenie prístupu na základe rolí a priebežné monitorovanie aktivity identít.

Ochrana v runtime. Priebežné monitorovanie zisťuje a zmierňuje hrozby počas vykonávania aplikácie. Zahŕňa to zisťovanie anomálií, analýzu správania a politiky vynucovania počas runtime. Detekcia a reakcia v runtime zaisťuje, že aj v prípade existencie zraniteľností sa tieto zraniteľnosti rýchlo zistia, prioritizujú podľa vplyvu a zadržia skôr, ako ich útočníci dokážu zneužiť.

Náprava v uzavretej slučke. Automatizované slučky spätnej väzby zabezpečujú rýchle riešenie zraniteľností. Tento princíp podporuje priebežné zlepšovanie a odolnosť. Náprava v uzavretej slučke sa integruje s kanálmi CI/CD a opravuje problémy pri zdroji, čím skracuje čas medzi zistením a vyriešením.

Základné súčasti zabezpečenia natívneho pre cloud

Zabezpečenie natívne pre cloud má niekoľko kľúčových prvkov, ktoré spoločne chránia aplikácie a infraštruktúru:

Zabezpečenie kontajnerov a Kubernetes. Kontajnery balia aplikácie a ich závislosti, čím umožňujú prenosnosť a škálovateľnosť aplikácií. Kubernetes orchestruje tieto kontajnery a spravuje ich nasadenie a škálovanie. Zabezpečenie kontajnerov a Kubernetes zahŕňa skenovanie obrazov, monitorovanie runtime a zabezpečenie riadiacich rovín. Nesprávne nakonfigurované klastre Kubernetes sú bežným vektorom útoku, preto je správa konfigurácií kľúčová.

Zabezpečenie rozhraní API. Mikroslužby komunikujú cez rozhrania API, ktoré musia byť zabezpečené, aby sa zabránilo neoprávnenému prístupu. Zabezpečenie rozhraní API zahŕňa overovanie, autorizáciu a obmedzovanie rýchlosti. Brány API poskytujú centralizované riadenie a monitorovanie, čím znižujú riziko vystavenia údajov.

Platformy CNAPP. Riešenia CNAPP zjednocujú viaceré možnosti zabezpečenia vrátane správy stavu cloudového zabezpečenia (CSPM). Tieto zjednotené platformy poskytujú úplnú viditeľnosť počas celého životného cyklu aplikácie, umožňujú prioritizáciu podľa rizika, konzistentné vynucovanie politík a rýchlejšiu detekciu hrozieb a reakciu na ne.

Súlad a riadenie. Organizácie musia dodržiavať štandardy súladu s predpismi, ako sú všeobecné nariadenie o ochrane údajov (GDPR), Health Insurance Portability and Accountability Act (HIPAA) a Payment Card Industry Data Security Standard (PCI-DSS). Automatizované kontroly súladu a výkazy pomáhajú udržiavať súlad so štandardmi a znižujú riziko právnych sankcií.

Pracovné zaťaženia AI. Modely AI a dátové kanály prinášajú jedinečné výzvy v oblasti cloudového zabezpečenia. Zásadné je chrániť trénovacie údaje, predchádzať neoprávnenej manipulácii s modelmi a zabezpečiť etické postupy v oblasti AI. Bezpečnostné opatrenia musia riešiť dôvernosť aj integritu systémov AI.

Zabezpečenie cloudových údajov. Údaje sú hlavným cieľom útočníkov. Šifrovanie, maskovanie a ovládacie prvky prístupu chránia citlivé informácie. Zabezpečenie databáz zahŕňa monitorovanie neoprávnených dotazov a zabezpečenie správnej konfigurácie.

Oprávnenia identít. Nadmerné oprávnenia zvyšujú riziko kompromitácie. Nástroje na riadenie identít pomáhajú presadzovať princíp najnižších oprávnení a monitorovať anomálie. Útoky s eskaláciou oprávnení sú v cloudových prostrediach bežné, preto je zabezpečenie identít najvyššou prioritou.

Konzistentnosť stavu v multicloude. Multicloudové zabezpečenie je dôležité pre organizácie, ktoré používajú viacerých poskytovateľov cloudu, pričom každý z nich má jedinečné bezpečnostné nástroje a konfigurácie. Udržiavanie konzistentných politík naprieč prostrediami znižuje zložitosť a riziko.

Zabezpečenie kontajnerov natívne pre cloud. Zahŕňa to zabezpečenie registrov kontajnerov, implementáciu ovládacích prvkov runtime a monitorovanie zraniteľností v obrazoch kontajnerov.

Ochrana cloudových pracovných zaťažení (CWPP). Riešenia CWPP poskytujú viditeľnosť a detekciu hrozieb pre pracovné zaťaženia naprieč prostrediami vrátane virtuálnych počítačov, kontajnerov a bezserverových funkcií.

Ďalším kľúčovým pojmom, ktorý treba poznať, sú „štyri C“ zabezpečenia natívneho pre cloud. Každé „C“ predstavuje jednu z vrstiev, ktoré treba zabezpečiť, aby sa zaistil prístup hĺbkovej obrany:
 
  1. Code – kód aplikácie a infraštruktúra ako kód (IaC) vrátane závislostí open-source.
  2. Container – obrazy kontajnerov a runtime.
  3. Cluster – platformy orchestrácie, ako je Kubernetes.
  4. Cloud – podkladová cloudová infraštruktúra, napríklad siete, virtuálne počítače, úložisko, identity a konfigurácie.

Bežné výzvy zabezpečenia natívneho pre cloud

Moderná cloudová infraštruktúra je nákladovo efektívna a škálovateľná, pretože je už od návrhu dočasná. Jej podkladové prostriedky sa vytvárajú a rušia podľa potreby. Táto pružnosť však cloudovú infraštruktúru sťažuje zabezpečiť pomocou tradičných bezpečnostných nástrojov. Keď táto infraštruktúra existuje vo viacerých cloudoch, pričom každý má vlastné konfigurácie a nástroje, môžu vznikať medzery vo viditeľnosti, ktoré útočníci dokážu zneužiť na laterálny pohyb naprieč prostrediami.

Bežným problémom zabezpečenia natívneho pre cloud sú aj nesprávne konfigurácie. Nesprávne nastavenia súvisiace napríklad s kontajnermi úložiska, otvorenými portmi a ovládacími prvkami prístupu môžu vystaviť služby internetu. Zraniteľnosti prinášajú aj open-source závislosti a slabé miesta v knižniciach tretích strán a obrazoch kontajnerov.

Útočníci neustále vyvíjajú svoje stratégie, aby tieto zraniteľnosti zneužili. Techniky, ako sú únik z kontajnera a eskalácia oprávnení, sú čoraz sofistikovanejšie a boj proti nim si vyžaduje rovnako sofistikovanú automatizáciu, monitorovanie a riadenie.

Kontrolný zoznam osvedčených postupov

Prešli sme mnohé faktory, ktoré treba zvážiť pri navrhovaní stratégie vašej organizácie. Pri výbere nástrojov potrebných na posilnenie stavu cloudového zabezpečenia majte na pamäti ešte niekoľko bodov:
 
  • Implementujte Zero Trust spolu s mikrosegmentáciou, aby ste obmedzili laterálny pohyb a znížili dopad útokov.
  • Šifrujte prenášané aj uložené údaje, aby ste zaistili dôvernosť a integritu citlivých informácií.
  • Automatizujte kontrolu zraniteľností v kanáloch CI/CD, aby ste problémy zistili čo najskôr vo vývojovom procese.
  • Pravidelne vykonávajte audity súladu a hodnotenia stavu zabezpečenia, aby ste znížili riziko regulačných sankcií.
  • Povoľte priebežné monitorovanie a detekciu hrozieb spolu s dynamickou prioritizáciou rizík, aby sa bezpečnostné tímy mohli najprv zamerať na cesty útoku s najvyššou pravdepodobnosťou, že povedú k úniku údajov.
Ak sa rozhodnete prijať CNAPP, uistite sa, že ponúka:
 
  • Pokrytie bez agentov na širokú viditeľnosť bez vplyvu na výkon.
  • Prioritizáciu ciest útoku na zameranie sa na kritické riziká, ktoré by mohli viesť k nákladným narušeniam zabezpečenia.
  • Zníženie oprávnení identít na minimalizáciu vystavenia spôsobeného nadmernými oprávneniami.
  • Integráciu s riešením rozšírenej detekcie a reakcie (XDR) na zjednotenú detekciu hrozieb.
  • Nápravu založenú na životnom cykle na rýchlejšie vyriešenie zraniteľností.

Buďte v cloude chránení so spoločnosťou Microsoft

Zabezpečenie celého životného cyklu aplikácie si vyžaduje viac než izolované nástroje a bodové opravy. Zabezpečenie od spoločnosti Microsoft poskytuje zjednotenú platformu na ochranu aplikácií natívnych pre cloud využívajúcu AI, ktorá sa integruje s nástrojmi, ktoré už používa mnoho vývojárov, vrátane služieb GitHub, Azure DevOps a Microsoft Copilot. Vložením zabezpečenia do každodenných pracovných postupov môžu organizácie rýchlejšie identifikovať a opravovať problémy a zároveň podporovať požiadavky Zero Trust, DevSecOps a súladu v multicloudových prostrediach.

S Microsoft CNAPP získavajú bezpečnostné tímy hlbokú viditeľnosť do aplikácií, údajov, identít a infraštruktúry – podporenú prehľadmi z biliónov denných signálov hrozieb a desaťročiami odborných znalostí v oblasti spravodajstva o hrozbách. Integrácia naprieč službami Microsoft Defender for Cloud a Defender XDR pomáha bezpečnostným tímom skúmať komplexné útoky naprieč doménami a reagovať na ne, keď sa týkajú cloudových prostredí, identít aj koncových bodov. Výsledkom je rýchlejšia prioritizácia rizík, menej bezpečnostného šumu a silnejšia ochrana cloudových pracovných zaťažení a pracovných zaťažení AI, vďaka čomu môžu organizácie bezpečne škálovať.
ZDROJE

Objavte ďalšie zdroje o cloudovom zabezpečení

Tieto informácie vám pomôžu spresniť stratégiu cloudového zabezpečenia.

Najčastejšie otázky

  • Pojem „cloud-native“ označuje aplikácie a služby navrhnuté na spúšťanie v cloudových prostrediach pomocou mikroslužieb, kontajnerov a dynamickej orchestrácie.
  • Cloud-first je stratégia uprednostňovania prijatia cloudu, zatiaľ čo cloud-native opisuje aplikácie vytvorené špeciálne pre cloudové prostredia.
  • V cloude je potrebné zmierňovať mnoho bezpečnostných rizík vzhľadom na rozptýlenú povahu prostriedkov. Medzi tieto riziká patria nesprávne konfigurácie, zraniteľnosti dodávateľského reťazca, zneužitie identít a hrozby runtime.
  • Štyri C sú Code, Container, Cluster a Cloud. Zabezpečenie každej z týchto štyroch vrstiev tvorí stratégiu hĺbkovej obrany.
  • Platforma zabezpečenia natívneho pre cloud, ako je CNAPP, poskytuje integrované zabezpečenie počas celého životného cyklu aplikácie vrátane vývoja, nasadenia a runtime.

Sledujte zabezpečenie od spoločnosti Microsoft

Slovenčina (Slovensko) Ochrana osobných údajov spotrebiteľa v zdravotníctve Kontaktovať Microsoft Ochrana osobných údajov Správa súborov cookie Podmienky používania Ochranné známky Informácie o reklamách EU Compliance DoCs