This is the Trace Id: 4b31f1c45e96f3b7a1f02366cb781faa
Перейти до основного Microsoft Defender Microsoft Entra Microsoft Intune Microsoft Purview Microsoft Security Copilot Microsoft Sentinel Переглянути всі продукти Кібербезпека на основі ШІ Безпека в хмарі Безпеки й система керування даними Доступ до ідентичностей і мережі Захист конфіденційності та керування ризиками Захист для ШІ Для малого та середнього бізнесу Уніфіковані операції системи безпеки Нульова довіра Ціни Послуги Партнери Переваги Захисного комплексу Microsoft Поінформованість про кібербезпеку Історії клієнтів Основи безпеки Ознайомлювальні версії продуктів Визнання в галузі Microsoft Security Insider Звіт про цифровий захист (Digital Defense Report) від корпорації Майкрософт Центр реагування на кіберзагрози Блоґ про Захисний комплекс Microsoft Заходи, присвячена Захисному комплексу Microsoft Спільнота технічних спеціалістів Microsoft Документація Бібліотека технічного вмісту Навчання та сертифікація Програма забезпечення відповідності вимогам для Microsoft Cloud Центр безпеки та конфіденційності Microsoft Портал надійності Microsoft Ініціатива щодо безпечного майбутнього Центр рішень для бізнесу Зв’язатися з відділом збуту Почати безкоштовне ознайомлення Захисний комплекс Microsoft Azure Dynamics 365 Microsoft 365 Microsoft Teams Windows 365 Microsoft AI Azure Space Гібридна реальність Microsoft HoloLens Microsoft Viva Квантові обчислення Освіта Автомобілі Фінансові послуги Державні установи Охорона здоров’я Виробництво Торгівля Знайти партнера Стати партнером Мережа партнерів Microsoft Marketplace Компанії з розробки ПЗ Блоґ Microsoft Advertising Центр розробників Документація Заходи Ліцензування Microsoft Learn Дослідження Microsoft Переглянути карту сайту
Людина сидить за столом і працює з ноутбуком.

Що таке хмарна безпека?

Дізнайтеся, як хмарна безпека захищає програми, дані та інфраструктуру протягом життєвого циклу програми, а також ознайомтеся з прикладами передових практик і основними принципами.
Хмарна безпека вбудовує засоби контролю безпеки та механізми захисту на основі ризиків у програми й інфраструктуру, розроблені для хмарних середовищ, забезпечуючи захист робочих навантажень від створення коду до розгортання та виконання. Такий підхід допомагає організаціям керувати безпекою розподілених систем, мікросервісів і контейнеризованих програм, що працюють у динамічних багатохмарних середовищах.
  • Хмарна безпека інтегрує засоби безпеки на кожному етапі життєвого циклу програми.

  • Вона вирішує унікальні проблеми безпеки, пов’язані з контейнеризованими архітектурами та архітектурами на основі мікросервісів.

  • До основних практик належать модель нульової довіри, автоматизація, безпека на ранніх етапах розробки та безперервний моніторинг кіберзагроз.

Вступ до хмарної безпеки

За часів, коли програми працювали виключно в локальних середовищах, безпека ґрунтувалася на периметрі апаратних брандмауерів навколо фізичних серверів. Захист сучасних хмарних програм є складнішим. Безпека хмарних програм має захищати робочі навантаження, що охоплюють локальні сервери та кілька хмарних середовищ, із можливістю масштабування від кількох сотень екземплярів до мільйонів у міру зміни попиту.

Організації, які впроваджують хмарні стратегії, часто використовують мікросервіси, контейнери та платформи оркестрування, такі як Kubernetes. Ці технології забезпечують гнучкість і масштабованість, але також створюють додаткові ризики. Хмарна безпека усуває ці ризики завдяки вбудованим засобам захисту та контролю на всіх етапах – від коду до середовища виконання, забезпечуючи безперервний адаптивний захист у міру змін хмарних програм і програм зі штучним інтелектом у реальному часі.

Для захисту хмарних програм і програм зі штучним інтелектом, даних та інфраструктури протягом усього життєвого циклу заходи безпеки мають поєднувати розробку коду, конфігурацію, розгортання, а також виявлення загроз і реагування на них у реальному часі в єдиний підхід. Вони також мають охоплювати конфіденційні дані, бази даних і моделі штучного інтелекту, щоб забезпечити захист робочих навантажень у багатохмарних середовищах.

Додавання контекстно-орієнтованих засобів безпеки, які поєднують аналітику на основі штучного інтелекту, моніторинг виконання та елементи керування на основі ідентичностей, може допомогти підтримувати відповідність вимогам і зменшувати ризики в динамічних системах. Платформи захисту програм для хмар або CNAPP створено для уніфікації безпеки протягом усього життєвого циклу хмарних програм і програм зі штучним інтелектом, усуваючи складність, прогалини у видимості та можливості переміщення зловмисників між середовищами.

Ключові принципи хмарної безпеки

Дотримання передових практик хмарної безпеки дає змогу організаціям зберігати інноваційну гнучкість і водночас зменшувати ризики. Деякі базові принципи хмарної безпеки включають:

Безпека на ранніх етапах розробки. Ця практика інтегрує безпеку на ранніх етапах процесу розробки, зменшуючи вразливості ще до розгортання та запобігаючи появі ризиків у продуктивному середовищі. Вона забезпечує перевірку коду на наявність вразливостей на етапах збірки та тестування, мінімізуючи недоліки, що потрапляють у продуктивне середовище. Безпека на ранніх етапах розробки також включає безпечне програмування, автоматизоване тестування та навчання розробників.

Архітектура нульової довіри. З таким підходом кожен запит на доступ перевіряється, і жодна неявна довіра не надається. Цей принцип застосовується до користувачів, пристроїв і робочих навантажень, забезпечуючи безперервну перевірку доступу. Застосування суворих засобів контролю доступу зменшує ризик горизонтального переміщення всередині середовищ.

Автоматизація та DevSecOps. Правильні інструменти можуть автоматизувати процеси безпеки в конвеєрах безперервної інтеграції та доставки (CI/CD), зменшуючи людські помилки та прискорюючи усунення вразливостей. Фреймворк розробки, безпеки та операцій (DevSecOps) сприяє співпраці між командами розробки, безпеки та операцій, вбудовуючи безпеку в робочі процеси без уповільнення постачання.

Система керування ідентичністю та доступом (IAM). У хмарі ідентичність – це ключова зона ризику. IAM забезпечує керування доступом через надійне управління ідентичностями, надаючи дозволи на основі принципу найменших привілеїв. Крім того, передові практики IAM включають багатофакторну автентифікацію, керування доступом на основі ролей та безперервний моніторинг активності ідентичностей.

Захист під час виконання. Безперервний моніторинг виявляє та пом’якшує загрози під час виконання програми. Це включає виявлення аномалій, поведінковий аналіз і політики примусового виконання в середовищі виконання. Виявлення та реагування в середовищі виконання забезпечує, що навіть якщо вразливості існують, їх швидко виявляють, пріоритизують за впливом і локалізують до того, як зловмисники зможуть їх використати.

Замкнений цикл усунення вразливостей. Автоматизовані зворотні цикли забезпечують швидке усунення вразливостей. Цей принцип підтримує безперервне вдосконалення та стійкість. Замкнений цикл усунення інтегрується з CI/CD-конвеєрами для виправлення проблем у джерелі, зменшуючи час між виявленням і усуненням.

Основні компоненти хмарної безпеки

Хмарна безпека має кілька ключових елементів, які разом працюють для захисту програм та інфраструктури:

Безпека контейнерів і Kubernetes. Контейнери пакують застосунки та їхні залежності, забезпечуючи портативність і масштабованість програм. Kubernetes оркеструє ці контейнери, керуючи розгортанням і масштабуванням. Безпека для контейнерів і Kubernetes включає сканування образів, моніторинг під час виконання та захист площин керування. Неправильно налаштовані кластери Kubernetes є поширеним вектором атак, тому управління конфігураціями є критично важливим.

Безпека АРІ. Мікросервіси взаємодіють через API, які необхідно захищати для запобігання несанкціонованому доступу. Безпека API включає автентифікацію, авторизацію та обмеження трафіку. API-шлюзи забезпечують централізований контроль і моніторинг, зменшуючи ризик витоку даних.

CNAPP. Рішення CNAPP об’єднують кілька можливостей безпеки, включно з керуванням захищеністю хмари (CSPM). Ці уніфіковані платформи забезпечують наскрізну видимість протягом життєвого циклу програми, дозволяючи пріоритизацію на основі ризиків, послідовне застосування політик і швидше виявлення та реагування на загрози.

Відповідність вимогам і система керування. Організації повинні дотримуватися стандартів відповідності нормативним вимогам, таких як Генеральний регламент із захисту персональних даних (GDPR),Закон про звітність та безпеку медичного страхування (HIPAA) та Стандарт безпеки даних індустрії платіжних карток (PCI-DSS). Автоматизовані перевірки відповідності та звітність допомагають підтримувати відповідність стандартам і зменшують ризик юридичних санкцій.

Навантаження штучного інтелекту. Моделі штучного інтелекту та конвеєри даних створюють унікальні проблеми безпеки в хмарі. Захист навчальних даних, запобігання підробці моделей і забезпечення етичних практик ШІ є критично важливими. Заходи безпеки мають охоплювати як конфіденційність, так і цілісність систем ШІ.

Безпека хмарних даних. Дані – це основна ціль для зловмисників. Шифрування, маскування та елементи керування доступом захищають конфіденційну інформацію. Безпека баз даних включає моніторинг несанкціонованих запитів і забезпечення правильної конфігурації.

Права доступу до ідентичностей. Надмірні привілеї збільшують ризик компрометації. Інструменти керування ідентичностями допомагають забезпечувати принцип найменших привілеїв і відстежувати аномалії. Атаки з підвищенням привілеїв є поширеними в хмарних середовищах, тому безпека ідентичностей є пріоритетом.

Узгодженість конфігурацій в мультихмарі. Безпека мультихмари є проблемою для організацій, які використовують кілька хмарних постачальників, кожен зі своїми унікальними засобами безпеки та налаштуваннями. Підтримання узгоджених політик між середовищами зменшує складність і ризики.

Безпека контейнерів у хмарних середовищах. Це включає захист контейнерних реєстрів, впровадження контролю під час виконання та моніторинг вразливостей у образах контейнерів.

Захист хмарних завантаженостей (CWPP). Рішення CWPP забезпечують видимість і виявлення загроз для робочих навантажень у різних середовищах, включно з віртуальними машинами, контейнерами та безсерверними функціями.

Ще однією ключовою концепцією є "чотири C" хмарної безпеки. Кожна "C" представляє один із рівнів, які необхідно захищати для забезпечення багаторівневого підходу до захисту:
 
  1. Code (код) – код застосунку та інфраструктура як код (IaC), включно з залежностями з відкритим кодом.
  2. Container (контейнер) – образи контейнерів і середовища виконання.
  3. Cluster (кластер) – платформи оркестрування, такі як Kubernetes.
  4. Cloud (хмара) – базова хмарна інфраструктура, така як мережі, віртуальні машини, сховище, ідентичності та конфігурації.

Поширені проблеми хмарної безпеки

Сучасна хмарна інфраструктура є економічно ефективною та масштабованою, оскільки вона є еферемерною, тобто тимчасовою за своєю природою. Її базові ресурси створюються та видаляються за потреби. На жаль, така еластичність ускладнює захист хмарної інфраструктури за допомогою традиційних інструментів безпеки. Коли така інфраструктура існує в кількох хмарах, кожна з яких має власні конфігурації та інструменти, це може створювати прогалини у видимості, які зловмисники можуть використовувати для горизонтального переміщення між середовищами.

Неправильні конфігурації також є поширеною проблемою хмарної безпеки. Наприклад, некоректні налаштування, пов’язані з контейнерами зберігання, відкритими портами та контролем доступу, можуть наражати сервіси на доступ з Інтернету. Відкриті залежності та вразливості в сторонніх бібліотеках і образах контейнерів також створюють зони вразливості.

Зловмисники постійно вдосконалюють свої стратегії для експлуатації цих вразливостей. Такі техніки, як вихід із контейнера та підвищення привілеїв, стають дедалі складнішими, і протидія їм вимагає не менш складної автоматизації, моніторингу та управління.

Контрольний список передових практик

Ми розглянули багато факторів, які слід враховувати під час розробки стратегії вашої організації. Ось ще кілька моментів, які варто врахувати, коли ви вибираєте потрібні засоби для посилення положення безпеки хмари:
 
  • Впроваджуйте модель нульової довіри разом із мікросегментацією, щоб обмежити горизонтальне переміщення та зменшити вплив атак.
  • Шифруйте дані під час передачі та в стані зберігання, щоб забезпечити конфіденційність і цілісність конфіденційної інформації.
  • Автоматизуйте сканування вразливостей у конвеєрах CI/CD, щоб виявляти проблеми якомога раніше в процесі розробки.
  • Проводьте регулярні аудити відповідності та оцінки стану безпеки, щоб зменшити ризик штрафів від регуляторних органів.
  • Забезпечте безперервний моніторинг і виявлення загроз у поєднанні з динамічною пріоритизацією ризиків, щоб команди безпеки могли спершу зосереджуватися на шляхах атаки, які найімовірніше призведуть до порушення вимог безпеки.
Якщо ви вирішите впровадити CNAPP, переконайтеся, що він забезпечує:
 
  • Покриття без агентів для широкої видимості без впливу на продуктивність.
  • Пріоритизація шляхів атаки для фокусування на критичних ризиках, що можуть призвести до витратних порушень вимог безпеки.
  • Зменшення прав доступу до ідентичностей для мінімізації ризику через надмірні привілеї.
  • Інтеграція з рішенням розширеного виявлення і реагування (XDR) для уніфікованого виявлення загроз.
  • Усунення вразливостей на основі життєвого циклу для швидшого усунення вразливостей.

Залишайтеся захищеними в хмарі разом із Microsoft

Захист усього життєвого циклу застосунку потребує більшого, ніж ізольовані інструменти та точкові виправлення. Захисний комплекс Microsoft надає уніфіковану платформу захисту програм для хмар із підтримкою ШІ, яка інтегрується з інструментами, якими вже користуються багато розробників, включно з GitHub, Azure DevOps і Microsoft Copilot. Вбудовуючи безпеку в щоденні робочі процеси, організації можуть швидше виявляти та усувати проблеми, одночасно підтримуючи принципи нульової довіри, DevSecOps і вимоги відповідності в мультихмарних середовищах.

За допомогою Microsoft CNAPP фахівці з безпеки отримують глибоку видимість застосунків, даних, ідентичностей та інфраструктури – на основі даних із трильйонів щоденних сигналів про загрози та десятиліть досвіду у сфері аналізу кіберзагроз. Інтеграція між Microsoft Defender for Cloud та Microsoft Defender XDR допомагає командам безпеки розслідувати та реагувати на складні кросдоменні атаки, що охоплюють хмару, ідентичності та середовища кінцевих точок. Результат – швидша пріоритизація ризиків, менше "шуму" безпеки та сильніший захист хмарних навантажень і навантажень ШІ, що дає організаціям впевненість у безпечному масштабуванні.
РЕСУРСИ

Дізнайтеся більше про ресурси для хмарної безпеки

Використайте цю інформацію, щоб допомогти удосконалити вашу стратегію хмарної безпеки.

Запитання й відповіді

  • "Хмарний" означає застосунки та сервіси, створені для роботи в хмарних середовищах із використанням мікросервісів, контейнерів і динамічного оркестрування.
  • Термін "орієнтований на хмару" стосується стратегії визначення пріоритетів у запровадженні хмари, тоді як "хмарний" описує застосунки, створені спеціально для хмарних середовищ.
  • Існує багато ризиків безпеки, які потрібно зменшувати в хмарі через розподілену природу ресурсів. До цих ризиків належать неправильні конфігурації, вразливості ланцюжка постачання, зловживання ідентичностями та загрози процесу виконання.
  • Чотири C – це код, контейнер, кластер і хмара. Захист кожного з цих чотирьох рівнів є частиною стратегії багаторівневої безпеки.
  • Платформа хмарної безпеки, така як CNAPP, забезпечує інтегрований захист протягом усього життєвого циклу застосунку, включно з розробкою, розгортанням і виконанням.

Підпишіться на новини про Захисний комплекс Microsoft

Українська (Україна) Конфіденційність інформації про здоров’я споживачів Звернутися до корпорації Microsoft Конфіденційність Керування файлами cookie Умови використання Товарні знаки Відомості про рекламу