This is the Trace Id: 5be974d49bd1b79ba9fbd9980a0d3601
Pređi na glavni sadržaj Microsoft Defender Microsoft Entra Microsoft Intune Microsoft Purview Microsoft Security Copilot Microsoft Sentinel Pogledajte sve proizvode Kibernetička bezbednost koja koristi veštačku inteligenciju Bezbednost u oblaku Bezbednost i upravljanje Pristup identitetu i mreži Upravljanje privatnošću i rizicima Bezbednost za veštačku inteligenciju Mala i srednja preduzeća Objedinjeni timovi za bezbednosne operacije Nulta pouzdanost Cene Usluge Partneri Zašto koristiti Microsoft bezbednost? Svest o kibernetičkoj bezbednosti Priče klijenata Security 101 Probne verzije proizvoda Priznanje u okviru delatnosti Microsoft Security Insider Microsoft izveštaj o digitalnoj odbrani Security Response Center Blog o Microsoft bezbednosti Microsoft događaji vezani za bezbednost Microsoft Tech Community Dokumentacija Biblioteka tehničkog sadržaja Obuka i certifikacije Program za usaglašenost za Microsoft oblak Microsoft centar za pouzdanost Portal za pouzdanost usluga Microsoft Inicijativa za bezbednu budućnost Čvorište za poslovna rešenja Obratite se prodaji Microsoft Security Azure Dynamics 365 Microsoft 365 Microsoft Teams Windows 365 Microsoft AI Azure Space Mešovita realnost Microsoft HoloLens Microsoft Viva Kvantno računarstvo Education Automobili Finansijske usluge Vlada Zdravstvo Proizvodnja Maloprodaja Pronađite partnera Postanite partner Partnerske mreže Microsoft Marketplace Softverska preduzeća Blog Microsoft Advertising Razvojni centar Documentation Events Licensing Microsoft Learn Microsoft Research Prikaži mapu lokacije
Osoba sedi za radnim stolom i koristi laptop.

Šta je bezbednost za okruženja oblaka?

Saznajte kako bezbednost za okruženja oblaka štiti aplikacije, podatke i infrastrukturu tokom čitavog životnog ciklusa aplikacije, uz primere najboljih praksi i osnovnih principa.
Bezbednost za okruženja oblaka podrazumeva ugrađivanje bezbednosnih kontrola i zaštitnih mera zasnovanih na proceni rizika u aplikacije i infrastrukturu dizajnirane za okruženja oblaka, čime se radna opterećenja štite od faze razvoja koda do primene i izvršavanja. Takav pristup pomaže organizacijama da upravljaju bezbednošću distribuiranih sistema, mikroservisa i aplikacija zasnovanih na kontejnerima koje funkcionišu u dinamičnim okruženjima sa više oblaka.
  • Bezbednost za okruženja oblaka integriše bezbednost u svaku fazu životnog ciklusa aplikacije.

  • Rešava specifične bezbednosne izazove karakteristične za arhitekture zasnovane na kontejnerima i mikroservisima.

  • Osnovne prakse obuhvataju model Nulta pouzdanost, automatizaciju, rano uključivanje bezbednosnih mera u proces razvoja i kontinuirano praćenje kibernetičkih pretnji.

Uvod u bezbednost za okruženja oblaka

U vreme kada su se aplikacije izvršavale isključivo u lokalnim okruženjima, bezbednost se zasnivala na perimetru hardverskih zaštitnih zidova postavljenih oko fizičkih servera. Zaštita današnjih aplikacija za okruženja oblaka mnogo je složenija. Bezbednost aplikacija za okruženja oblaka mora da štiti radna opterećenja koja obuhvataju lokalne servere i više oblaka, uz mogućnost skaliranja od nekoliko stotina do više miliona instanci u skladu sa promenama potražnje.

Organizacije koje primenjuju strategije za okruženja oblaka često koriste mikroservise, kontejnere i platforme za orkestraciju kao što je Kubernetes. Te tehnologije obezbeđuju agilnost i skalabilnost, ali dovode i do dodatnih rizika. Bezbednost za okruženja oblaka rešava te rizike ugrađenom zaštitom i kontrolama od razvoja koda do izvršavanja, pri čemu obezbeđuje neprekidnu, prilagodljivu zaštitu, u skladu sa razvojem aplikacija u realnom vremenu koje koriste oblak i veštačku inteligenciju.

Da bi se zaštitile aplikacije zasnovane na oblaku i veštačkoj inteligenciji, podaci i infrastruktura tokom celog životnog ciklusa, bezbednosne mere moraju da objedine razvoj koda, konfiguraciju, primenu, kao i otkrivanje pretnji i reagovanje na njih u realnom vremenu u jedinstven pristup. Moraju da obuhvate i zaštitu osetljivih podataka, baza podataka i modela veštačke inteligencije kako bi radna opterećenja ostala zaštićena u okruženjima sa više oblaka.

Uvođenje bezbednosnih mera koje uzimaju u obzir kontekst i objedinjuju uvide zasnovane na veštačkoj inteligenciji, praćenje tokom izvršavanja i kontrole zasnovane na identitetu može da pomogne u održavanju usaglašenosti i smanjenju rizika u dinamičnim sistemima. Platforme za zaštitu aplikacija za okruženja oblaka, odnosno CNAPP platforme, kreirane su kako bi objedinile bezbednost tokom celog životnog ciklusa aplikacija zasnovanih na oblaku i veštačkoj inteligenciji, rešavajući probleme složenosti, nedostatka vidljivosti i kretanja napadača kroz različita okruženja.

Ključni principi bezbednosti za okruženja oblaka

Primenom najboljih praksi bezbednosti za okruženja oblaka organizacije mogu da očuvaju inovativnu agilnost uz istovremeno smanjenje rizika. Neki od osnovnih principa bezbednosti za okruženja oblaka obuhvataju:

Rano uključivanje bezbednosnih mera u proces razvoja. Ova praksa podrazumeva uvođenje bezbednosnih mera u ranim fazama razvoja, čime se ranjivosti smanjuju pre primene i sprečava prenošenje rizika u produkciona okruženja. Na taj način obezbeđuje se provera koda na ranjivosti tokom faza izrade i testiranja, čime se smanjuje broj nedostataka koji dospevaju u produkciono okruženje. Rano uključivanje bezbednosnih mera u proces razvoja obuhvata i primenu bezbednih praksi u kodiranju, automatizovano testiranje i obuku programera.

Arhitektura modela Nulta pouzdanost. U okviru ovog modela, svaki zahtev za pristup se proverava i ne dodeljuje se podrazumevano poverenje. Ovakav princip primenjuje se na korisnike, uređaje i radna opterećenja, što omogućava neprekidnu proveru pristupa. Primenom strogih kontrola pristupa smanjuje se rizik od bočnog kretanja u okviru okruženja.

Automatizacija i DevSecOps. Odgovarajuće alatke mogu automatizovati bezbednosne procese u kanalima neprekidne integracije i neprekidne isporuke (CI/CD), čime se smanjuje mogućnost ljudske greške i ubrzava oporavak. Okvir za razvoj, bezbednost i operacije (DevSecOps) podstiče saradnju između timova za razvoj, bezbednost i operacije, integrišući bezbednost u radne tokove bez usporavanja procesa isporuke.

Upravljanje identitetima i pristupom (IAM). U okruženjima oblaka, identitet predstavlja jedan od glavnih izvora bezbednosnog rizika. IAM obezbeđuje da se pristup kontroliše kroz efikasno upravljanje identitetima, pri čemu se dozvole dodeljuju u skladu sa principom najmanjih privilegija. Pored toga, najbolje prakse za IAM obuhvataju višestruku potvrdu identiteta, kontrolu pristupa zasnovanu na ulogama i neprekidno praćenje aktivnosti identiteta.

Zaštita tokom izvršavanja. Neprekidno praćenje otkriva i ublažava pretnje tokom izvršavanja aplikacije. To obuhvata otkrivanje anomalija, analizu ponašanja i smernice za sprovođenje zaštite tokom izvršavanja. Otkrivanje i reagovanje tokom izvršavanja obezbeđuju da se ranjivosti, čak i kada postoje, brzo otkriju, odrede prema nivou uticaja i stave pod kontrolu pre nego što ih napadači iskoriste.

Oporavak u okviru zatvorene povratne petlje. Automatizovane povratne petlje obezbeđuju brzo otklanjanje ranjivosti. Ovaj princip podržava neprekidno unapređivanje i otpornost sistema. Oporavak zasnovan na zatvorenoj povratnoj petlji integriše se sa CI/CD kanalima kako bi problemi bili otklonjeni na samom izvoru, čime se skraćuje vreme od otkrivanja do rešavanja problema.

Osnovne komponente bezbednosti za okruženja u oblaku

Bezbednost za okruženja oblaka obuhvata nekoliko ključnih elemenata koji zajednički štite aplikacije i infrastrukturu:

Bezbednost kontejnera i platforme Kubernetes. Kontejneri objedinjuju aplikacije i njihove zavisne elemente, čime omogućavaju prenosivost i skalabilnost aplikacija. Kubernetes orkestrira te kontejnere, upravljajući njihovim razmeštanjem i skaliranjem. Bezbednost kontejnera i Kubernetes okruženja obuhvata skeniranje slika, praćenje tokom izvršavanja i obezbeđivanje kontrolnih ravni. Pogrešno konfigurisana Kubernetes klaster okruženja predstavljaju čest vektor napada, zbog čega je upravljanje konfiguracijom od ključnog značaja.

Bezbednost API-ja. Mikroservisi komuniciraju putem API-ja, koji moraju biti zaštićeni kako bi se sprečio neovlašćeni pristup. Bezbednost API-ja obuhvata potvrdu identiteta, autorizaciju i ograničavanje broja zahteva. API sistemi za mrežni prolaz obezbeđuju centralizovanu kontrolu i nadzor, čime se smanjuje rizik od izlaganja podataka.

CNAPP platforme. CNAPP rešenja objedinjuju više bezbednosnih funkcionalnosti, uključujući upravljanje stanjem bezbednosti u oblaku (CSPM). Ove objedinjene platforme obezbeđuju potpunu vidljivost kroz ceo životni ciklus aplikacija, čime se omogućava određivanje prioriteta na osnovu rizika, dosledno sprovođenje smernica i brže otkrivanje i reagovanje na pretnje.

Usaglašenost i upravljanje. Organizacije se moraju pridržavati standarda usaglašenosti sa propisima kao što su Opšta uredba o zaštiti podataka (GDPR), Health Insurance Portability and Accountability Act (HIPAA) i the Payment Card Industry Data Security Standard (PCI-DSS). Automatizovane provere usaglašenosti i izveštavanje pomažu u održavanju usklađenosti sa standardima, čime se smanjuje rizik od pravnih sankcija.

Radna opterećenja veštačke inteligencije. Modeli veštačke inteligencije i kanali podataka uvode specifične bezbednosne izazove u okruženjima oblaka. Zaštita podataka za obučavanje, sprečavanje neovlašćene izmene modela i obezbeđivanje etičke primene veštačke inteligencije od suštinskog su značaja. Bezbednosne mere moraju obuhvatiti i poverljivost i integritet AI sistema.

Bezbednost podataka u oblaku. Podaci su primarna meta napadača. Šifrovanje, maskiranje i kontrole pristupa pružaju zaštitu osetljivim informacijama. Bezbednost baze podataka podrazumeva nadgledanje neovlašćenih upita i pravilnu konfiguraciju.

Dozvole identiteta. Prekomerne privilegije povećavaju rizik od ugrožavanja sistema. Alatke za upravljanje identitetima pomažu u sprovođenju principa najmanjih privilegija i nadgledanju anomalija. Napadi povećanjem privilegija česti su u okruženjima oblaka, zbog čega je bezbednost identiteta prioritet.

Ujednačenost stanja okruženja sa više oblaka. Bezbednost okruženja sa više oblaka predstavlja izazov za organizacije koje koriste više dobavljača oblaka, pri čemu svaki ima sopstvene bezbednosne alatke i konfiguracije. Dosledno sprovođenje smernica kroz različita okruženja smanjuje složenost i rizik.

Bezbednost kontejnera u okruženju oblaka. Ovo uključuje zaštitu registara kontejnera, implementaciju kontrola tokom izvršavanja i nadzor ranjivosti u slikama kontejnera.

Platforma za zaštitu paketa funkcija u oblaku (CWPP). CWPP rešenja obezbeđuju vidljivost i otkrivanje pretnji za radna opterećenja u različitim okruženjima, uključujući virtuelne mašine, kontejnere i funkcije bez servera.

Još jedan ključni koncept koji treba znati su „četiri C“ u terminu bezbednost za okruženje oblaka. Svako „C“ predstavlja jedan od slojeva koji moraju biti zaštićeni kako bi se obezbedila višeslojna odbrana:
 
  1. Kôd – kôd aplikacije i infrastruktura kao kod (IaC), uključujući zavisne elemente otvorenog koda.
  2. Kontejner – slike kontejnera i okruženja za izvršavanje.
  3. Klaster – platforme za orkestraciju kao što je Kubernetes.
  4. Oblak – osnovna infrastruktura oblaka, kao što su mreže, virtuelne mašine, skladištenje, identiteti i konfiguracije.

Najčešći problemi u bezbednosti za okruženja u oblaku

Savremena infrastruktura u oblaku je isplativa i skalabilna jer je prolazna, odnosno po dizajnu privremena. Njeni osnovni resursi kreiraju se i brišu po potrebi. Nažalost, ta elastičnost otežava zaštitu takve infrastrukture pomoću tradicionalnih bezbednosnih alatki. Kada takva infrastruktura postoji u više oblaka, sa različitim konfiguracijama i alatkama, nastaju praznine u vidljivosti koje napadači mogu iskoristiti za bočno kretanje kroz okruženja.

Pogrešne konfiguracije takođe predstavljaju uobičajen problem u vezi sa bezbednošću za okruženja u oblaku. Na primer, pogrešna podešavanja skladišnih kontejnera, otvoreni portovi i kontrole pristupa mogu izložiti usluge internetu. Zavisni elementi otvorenog koda i nedostaci u bibliotekama trećih strana i slikama kontejnera takođe dovode do ranjivosti.

Napadači neprestano razvijaju strategije kako bi iskoristili ove ranjivosti. Tehnike poput izlaska iz kontejnera i povećanja privilegija postaju sve sofisticiranije, a njihovo suzbijanje zahteva podjednako sofisticirane mehanizme automatizacije, nadzora i upravljanja.

Lista za proveru najboljih praksi

Obuhvatili smo veliki broj faktora koje treba razmotriti pri razvijanju strategije organizacije. Evo još nekoliko stvari koje treba imati u vidu pri izboru alatki za unapređenje stanja bezbednosti okruženja oblaka:
 
  • Primenom modela Nulta pouzdanost zajedno sa mikrosegmentacijom ograničava se mogućnost bočnog kretanja i smanjuje uticaj napada.
  • Šifrovanjem podataka tokom prenosa i u mirovanju obezbeđuje se zaštita poverljivosti i integriteta osetljivih informacija.
  • Automatizacijom skeniranja ranjivosti u CI/CD kanalima problemi se otkrivaju u najranijim fazama razvojnog procesa.
  • Redovnom revizijom usaglašenosti i procenom stanja smanjuje se rizik od regulatornih kazni.
  • Neprekidnim nadgledanjem i otkrivanjem pretnji, u kombinaciji sa dinamičkim određivanjem prioriteta rizika, bezbednosnim timovima se omogućava da se najpre fokusiraju na putanje napada koje bi najverovatnije dovele do bezbednosnog proboja.
Ako odlučite da koristite CNAPP, vodite računa o tome da pruža sledeće mogućnosti:
 
  • Pokrivenost bez agenata radi sveobuhvatne vidljivosti bez uticaja na performanse.
  • Određivanje prioriteta putanja napada radi fokusiranja na kritične rizike koji mogu dovesti do skupih bezbednosnih proboja.
  • Ograničavanje privilegija identiteta radi smanjenja izloženosti izazvane prekomernim privilegijama.
  • Integracija sa rešenjima za prošireno otkrivanje i reagovanje (XDR) radi objedinjenog otkrivanja pretnji.
  • Mogućnosti otklanjanja ranjivosti kroz ceo životni ciklus radi njihovog bržeg rešavanja.

Unapredite zaštitu okruženja oblaka uz Microsoft

Zaštita celokupnog životnog ciklusa aplikacije zahteva više od pojedinačnih alatki i delimičnih rešenja. Microsoft bezbednost pruža objedinjenu platformu za zaštitu aplikacija u okruženju oblaka, zasnovanu na veštačkoj inteligenciji, koja se integriše sa alatkama koje mnogi programeri već koriste, uključujući GitHub, Azure DevOps i Microsoft Copilot. Ugrađivanjem bezbednosti u svakodnevne tokove rada organizacije mogu brže da otkrivaju i otklanjaju probleme, uz podršku za model Nulta pouzdanost, DevSecOps i zahteve usaglašenosti u okruženjima sa više oblaka.

Uz Microsoft CNAPP, bezbednosni timovi stiču detaljan uvid u aplikacije, podatke, identitete i infrastrukturu, uz podršku saznanja zasnovanih na bilionima dnevnih signala o pretnjama i višedecenijskom iskustvu u oblasti informacija o pretnjama. Integracija rešenja Microsoft Defender for Cloud i Defender XDR pomaže bezbednosnim timovima da istražuju i rešavaju složene napade koji obuhvataju okruženja oblaka, identiteta i krajnjih uređaja. Rezultat su brže određivanje prioriteta rizika, manje bezbednosnog šuma i snažnija zaštita radnih opterećenja u oblaku i radnih opterećenja zasnovanih na veštačkoj inteligenciji, što organizacijama pruža sigurnost potrebnu za bezbedno širenje poslovanja.
RESURSI

Pronađite više resursa za bezbednost u oblaku

Koristite ove informacije za unapređenje strategije bezbednosti u okruženjima oblaka.

Najčešća pitanja

  • Pojam bezbednost za okruženja oblaka (cloud-native) odnosi se na aplikacije i usluge dizajnirane za rad u okruženjima oblaka uz upotrebu mikroservisa, kontejnera i dinamičke orkestracije.
  • „Cloud-first“ predstavlja strategiju kojom se daje prioritet usvajanju tehnologija oblaka, dok „cloud-native“ opisuje aplikacije razvijene posebno za okruženja oblaka.
  • Okruženja oblaka donose brojne bezbednosne rizike zbog raspršenosti resursa. Ti rizici obuhvataju pogrešne konfiguracije, ranjivosti lanca snabdevanja, zloupotrebu identiteta i pretnje tokom izvršavanja.
  • Četiri „C“ predstavljaju kôd (code), kontejner (container), klaster (cluster) i oblak (cloud). Zaštita svakog od ova četiri sloja čini strategiju višeslojne odbrane.
  • Platforma za bezbednost u okruženjima oblaka, kao što je CNAPP, pruža integrisanu zaštitu tokom celokupnog životnog ciklusa aplikacije, uključujući razvoj, primenu i izvršavanje.

Pratite Microsoft bezbednost