This is the Trace Id: c531971ca0d6013b74497201462fa150
Bỏ qua để tới nội dung chính Microsoft Defender Microsoft Entra Microsoft Intune Microsoft Purview Microsoft Security Copilot Microsoft Sentinel Xem tất cả sản phẩm An ninh mạng hoạt động trên nền tảng AI Bảo mật đám mây Bảo mật và Quản trị dữ liệu Danh tính và quyền truy nhập mạng Quản lý quyền riêng tư và rủi ro Bảo mật dành cho AI Doanh nghiệp vừa và nhỏ Hoạt động bảo mật hợp nhất Zero Trust Giá cả Dịch vụ Đối tác Tại sao nên chọn Microsoft Security Nhận thức an ninh mạng Câu chuyện khách hàng Bảo mật 101 Bản dùng thử sản phẩm Sự công nhận trong ngành Microsoft Security Insider Báo cáo phòng vệ kỹ thuật số của Microsoft Trung tâm Ứng phó Bảo mật Blog Microsoft Security Các sự kiện Microsoft Security Microsoft Tech Community Tài liệu Thư viện nội dung kỹ thuật Đào tạo & chứng nhận Chương trình tuân thủ dành cho Microsoft Cloud Trung tâm Tin cậy Microsoft Service Trust Portal Microsoft Sáng kiến tương lai an toàn Trung tâm giải pháp kinh doanh Bắt đầu bản dùng thử Microsoft Security Azure Dynamics 365 Microsoft 365 Microsoft Teams Windows 365 Microsoft AI Không gian Azure Thực tế hỗn hợp Microsoft HoloLens Microsoft Viva Điện toán lượng tử Giáo dục Ô tô Dịch vụ tài chính Chính phủ Chăm sóc sức khỏe Sản xuất Bán lẻ Tìm đối tác Trở thành đối tác Mạng lưới Đối tác Microsoft Marketplace Các công ty phần mềm Blog Microsoft Advertising Trung tâm nhà phát triển Hướng dẫn sử dụng Sự kiện Cấp phép Microsoft Learn Microsoft Research Xem sơ đồ trang
Một người đang ngồi tại bàn làm việc và sử dụng máy tính xách tay.

Bảo mật thuần đám mây là gì?

Khám phá cách giải pháp bảo mật thuần đám mây bảo vệ ứng dụng, dữ liệu và hạ tầng trong suốt vòng đời ứng dụng, đi kèm các ví dụ về những biện pháp hay nhất và nguyên tắc cốt lõi.
Bảo mật thuần đám mây tích hợp sâu các biện pháp kiểm soát bảo mật và cơ chế bảo vệ dựa trên rủi ro vào các ứng dụng cũng như hạ tầng được thiết kế riêng cho môi trường đám mây, giúp bảo vệ an toàn cho các khối lượng công việc từ khâu tạo mã nguồn đến triển khai rồi thời gian chạy. Cách tiếp cận này giúp tổ chức quản lý bảo mật cho các hệ thống phân tán, dịch vụ vi mô và ứng dụng đóng gói trong vùng chứa đang vận hành trong các môi trường đa đám mây động.
  • Bảo mật thuần đám mây tích hợp bảo mật vào mọi giai đoạn của vòng đời ứng dụng.

  • Cách tiếp cận này giải quyết các thách thức bảo mật đặc thù do kiến trúc dựa trên dịch vụ vi mô và kiến trúc đóng gói trong vùng chứa gây ra.

  • Các phương thức cốt lõi bao gồm Zero Trust, tự động hóa, bảo mật dịch chuyển về bên trái và giám sát liên tục các mối đe dọa mạng.

Giới thiệu về bảo mật thuần đám mây

Trước đây, khi ứng dụng chỉ chạy tại chỗ, việc bảo mật sẽ thiết lập một hàng rào tường lửa phần cứng bao bọc xung quanh các máy chủ vật lý. Việc bảo vệ các ứng dụng thuần đám mây ngày nay trở nên phức tạp hơn. Bảo mật ứng dụng thuần đám mây phải bảo vệ các khối lượng công việc ở cả máy chủ tại chỗ và môi trường nhiều đám mây, nhờ khả năng mở rộng từ vài trăm lên đến hàng triệu phiên bản khi nhu cầu thay đổi.

Các tổ chức sử dụng chiến lược thuần đám mây thường làm việc với các dịch vụ vi mô, vùng chứa và các nền tảng điều phối ví dụ như Kubernetes. Những công nghệ này mang lại tính linh hoạt và khả năng mở rộng, nhưng cũng tạo thêm rủi ro. Bảo mật thuần đám mây giải quyết các rủi ro này bằng các cơ chế bảo vệ và kiểm soát được tích hợp sẵn từ khâu mã nguồn cho đến thời gian chạy, đảm bảo sự bảo vệ liên tục và mang tính thích ứng khi các ứng dụng đám mây và AI thay đổi theo thời gian thực.

Để bảo vệ các ứng dụng đám mây và ứng dụng AI, dữ liệu cũng như hạ tầng trong suốt toàn bộ vòng đời, các biện pháp bảo mật phải kết nối khâu phát triển mã nguồn, cấu hình, triển khai cùng khả năng phát hiện và phản ứng theo thời gian thực thành một phương pháp tiếp cận thống nhất. Các biện pháp này cũng phải xử lý dữ liệu nhạy cảm, cơ sở dữ liệu và các mô hình AI để đảm bảo rằng các khối lượng công việc luôn được bảo vệ trong môi trường đa đám mây.

Việc bổ sung giải pháp bảo mật nhận biết ngữ cảnh kết hợp giữa các thông tin chuyên sâu do AI cung cấp, giám sát thời gian chạy và các biện pháp kiểm soát dựa trên danh tính có thể giúp bạn duy trì sự tuân thủ và giảm thiểu rủi ro trong các hệ thống động. Các nền tảng bảo vệ ứng dụng thuần đám mây hay CNAPP được tạo ra để thống nhất công tác bảo mật xuyên suốt toàn bộ vòng đời ứng dụng đám mây và ứng dụng AI, nhằm giải quyết tính phức tạp, các lỗ hổng giám sát và sự di chuyển của kẻ tấn công qua các môi trường.

Các nguyên tắc chính của bảo mật thuần đám mây

Việc tuân thủ các thực tiễn tốt nhất về bảo mật thuần đám mây cho phép các tổ chức duy trì sự linh hoạt mang tính đổi mới trong khi vẫn giảm thiểu được rủi ro. Một số nguyên tắc bảo mật thuần đám mây cơ bản bao gồm:

Bảo mật dịch chuyển sang trái. Biện pháp này tích hợp bảo mật từ sớm vào quá trình phát triển, giúp giảm thiểu các lỗ hổng trước khi triển khai và ngăn chặn rủi ro tiếp cận môi trường sản xuất. Biện pháp này cũng đảm bảo mã nguồn được quét tìm lỗ hổng trong giai đoạn dựng và kiểm thử, giảm thiểu lỗi khi đưa vào môi trường sản xuất. Bảo mật dịch chuyển về bên trái cũng bao gồm các biện pháp lập trình an toàn, kiểm thử tự động và đào tạo nhà phát triển.

Kiến trúc Zero Trust. Với cách tiếp cận này, mọi yêu cầu truy cập đều được xác minh và không có cấp độ tin cậy ngầm định nào. Nguyên tắc này áp dụng cho người dùng, thiết bị và khối lượng công việc, đảm bảo quyền truy cập được xác thực liên tục. Việc thực thi kiểm soát truy cập nghiêm ngặt giúp giảm rủi ro di chuyển ngang trong các môi trường.

Tự động hoá và DevSecOps. Các công cụ phù hợp có thể tự động hóa các quy trình bảo mật trong hệ thống tích hợp và phân phối liên tục (CI/CD), giúp giảm thiểu sai sót do con người và đẩy nhanh quá trình khắc phục sự cố. Khung phát triển, bảo mật và vận hành (DevSecOps) sẽ thúc đẩy sự cộng tác giữa các nhóm phát triển, bảo mật và vận hành, đưa bảo mật vào ngay trong quy trình làm việc mà không làm ảnh hưởng đến tốc độ bàn giao.

Quản lý truy cập và danh tính (IAM). Trên môi trường đám mây, danh tính là một bề mặt rủi ro cốt lõi. IAM đảm bảo rằng quyền truy cập được kiểm soát thông qua quản trị danh tính mạnh mẽ, cấp quyền dựa trên nguyên tắc đặc quyền tối thiểu. Ngoài ra, các biện pháp tốt nhất về IAM bao gồm xác thực đa yếu tố, kiểm soát truy cập dựa trên vai trò và giám sát liên tục hoạt động dựa trên danh tính.

Bảo vệ trong thời gian chạy. Giám sát liên tục để phát hiện và giảm thiểu mối đe dọa trong khi ứng dụng đang thực thi. Điều này bao gồm việc phát hiện bất thường, phân tích hành vi và các chính sách thực thi trong thời gian chạy. Khả năng phát hiện và phản ứng trong thời gian chạy đảm bảo rằng ngay cả khi tồn tại các lỗ hổng bảo mật, chúng vẫn nhanh chóng được phát hiện, ưu tiên xử lý theo mức độ ảnh hưởng và được cô lập trước khi kẻ tấn công có thể khai thác.

Khắc phục theo vòng kín. Vòng phản hồi tự động đảm bảo các lỗ hổng được xử lý nhanh chóng. Nguyên tắc này hỗ trợ quá trình cải tiến liên tục và khả năng phục hồi. Khắc phục theo vòng kín sẽ tích hợp với hệ thống CI/CD để sửa lỗi ngay tại nguồn, giảm thời gian từ khi phát hiện đến khi giải quyết.

Các thành phần cốt lõi của bảo mật thuần đám mây

Bảo mật thuần đám mây có một số thành phần chính hoạt động cùng nhau để bảo vệ ứng dụng và cơ sở hạ tầng:

Vùng chứa và bảo mật Kubernetes. Vùng chứa đóng gói ứng dụng và các phần phụ thuộc của ứng dụng, giúp ứng dụng có tính di động và khả năng mở rộng. Kubernetes điều phối các vùng chứa này, quản lý việc triển khai và mở rộng. Bảo mật cho vùng chứa và Kubernetes bao gồm việc quét ảnh, giám sát thời gian chạy và bảo vệ thành phần điều khiển. Các cụm Kubernetes bị cấu hình sai là một véc-tơ tấn công phổ biến, khiến cho việc quản lý cấu hình trở nên vô cùng quan trọng.

Bảo mật API. Dịch vụ vi mô giao tiếp thông qua các API. Các API phải được bảo vệ để ngăn truy cập trái phép. Bảo mật API bao gồm xác thực, ủy quyền và giới hạn tốc độ. Cổng API cung cấp khả năng kiểm soát và giám sát tập trung, giảm nguy cơ lộ dữ liệu.

CNAPP. Các giải pháp CNAPP hợp nhất nhiều tính năng bảo mật khác nhau, bao gồm cả quản lý vị thế bảo mật trên đám mây (CSPM). Các nền tảng hợp nhất này cung cấp khả năng giám sát toàn diện xuyên suốt vòng đời ứng dụng, để có thể ưu tiên dựa trên rủi ro, thực thi chính sách nhất quán, cũng như phát hiện và phản ứng với mối đe dọa nhanh hơn.

Tuân thủ và quản trị. Các tổ chức phải tuân thủ các tiêu chuẩn về tuân thủ quy định chẳng hạn như Quy định Chung về Bảo vệ Dữ liệu (GDPR), Đạo luật về Trách nhiệm Giải trình và Cung cấp Thông tin Bảo hiểm Y tế (HIPAA) và Tiêu chuẩn Bảo mật Dữ liệu của Ngành Thẻ Thanh toán (PCI-DSS). Việc kiểm tra tuân thủ và lập báo cáo tự động giúp duy trì sự đồng bộ với các tiêu chuẩn, làm giảm nguy cơ chịu các hình phạt pháp lý.

Khối lượng công việc AI. Các mô hình AI và hệ thống dữ liệu tạo ra những thách thức bảo mật đám mây đặc thù. Việc bảo vệ dữ liệu huấn luyện, ngăn chặn thao túng mô hình và đảm bảo các thực tiễn AI có đạo đức là những yếu tố thiết yếu. Các biện pháp bảo mật phải giải quyết cả tính bảo mật và tính toàn vẹn của các hệ thống AI.

Bảo mật dữ liệu trên đám mây. Dữ liệu là mục tiêu chính của kẻ tấn công. Việc áp dụng phương thức mã hóa, ẩn dữ liệu và kiểm soát quyền truy cập chính là cách để bảo vệ an toàn cho các thông tin nhạy cảm. Bảo mật cơ sở dữ liệu bao gồm việc giám sát các truy vấn trái phép và đảm bảo cấu hình đúng cách.

Quyền của danh tính. Có quá nhiều đặc quyền sẽ làm tăng nguy cơ bị xâm phạm. Các công cụ quản lý danh tính giúp thực thi nguyên tắc đặc quyền tối thiểu và giám sát để phát hiện các bất thường. Các cuộc tấn công leo thang đặc quyền khá phổ biến trong môi trường đám mây, vì vậy bảo mật danh tính là ưu tiên hàng đầu.

Tính nhất quán của vị thế đa đám mây. Bảo mật đa đám mây là mối lo ngại đối với các tổ chức sử dụng nhiều nhà cung cấp dịch vụ đám mây, mỗi nhà cung cấp có các công cụ và cấu hình bảo mật riêng. Duy trì các chính sách nhất quán trên các môi trường giúp giảm độ phức tạp và rủi ro.

Bảo mật vùng chứa thuần đám mây. Điều này bao gồm bảo mật sổ đăng ký vùng chứa, triển khai các biện pháp kiểm soát thời gian chạy và giám sát lỗ hổng trong hình ảnh vùng chứa.

Bảo vệ khối lượng công việc trên đám mây (CWPP). Các giải pháp CWPP cung cấp khả năng quan sát và phát hiện mối đe dọa cho khối lượng công việc trên nhiều môi trường, bao gồm máy ảo, vùng chứa và các chức năng không cần đến máy chủ.

Một khái niệm then chốt khác cần biết là mô hình “4 chữ C” của bảo mật thuần đám mây. Mỗi “C” đại diện cho một trong các lớp cần được bảo vệ để đảm bảo cách tiếp cận phòng thủ theo chiều sâu:
 
  1. —mã ứng dụng và cơ sở hạ tầng dưới dạng mã (IaC), bao gồm cả các phần phụ thuộc nguồn mở.
  2. Vùng chứa—ảnh vùng chứa và thời gian chạy.
  3. Cụm—các nền tảng điều phối như Kubernetes.
  4. Đám mây—cơ sở hạ tầng đám mây cơ bản, chẳng hạn như mạng, máy ảo, bộ nhớ, danh tính và cấu hình.

Những thách thức hay gặp trong bảo mật thuần đám mây

Cơ sở hạ tầng đám mây hiện đại tiết kiệm chi phí và có khả năng mở rộng vì mang tính tạm thời, nghĩa là được thiết kế để chỉ tồn tại trong thời gian ngắn. Các tài nguyên cơ bản của cơ sở này được tạo ra và bị xóa khi cần. Đáng tiếc là tính linh hoạt đó khiến cơ sở hạ tầng đám mây khó được bảo vệ bằng các công cụ bảo mật truyền thống. Khi cơ sở hạ tầng đó tồn tại trên nhiều đám mây, mỗi đám mây có các cấu hình và công cụ riêng, điều này có thể tạo ra các khoảng trống về khả năng quan sát mà kẻ tấn công có thể khai thác để di chuyển ngang qua các môi trường.

Cấu hình sai cũng là một vấn đề phổ biến với bảo mật thuần đám mây. Chẳng hạn, cấu hình sai lệch liên quan đến kho lưu trữ dữ liệu, cổng kết nối đang mở hoặc qhế độ kiểm soát uyền truy cập có thể làm rò rỉ các dịch vụ lên mạng Internet. Các thành phần phụ thuộc mã nguồn mở, các điểm yếu trong thư viện của bên thứ ba và hình ảnh vùng chứa cũng làm phát sinh thêm nhiều lỗ hổng.

Kẻ tấn công liên tục phát triển chiến lược để khai thác các lỗ hổng này. Các kỹ thuật như thoát vùng chứa và leo thang đặc quyền đang trở nên ngày càng tinh vi; nên để đối phó với chúng cần tự quy trình động hóa, giám sát và quản trị cũng tinh vi không kém.

Danh sách kiểm tra phương pháp hay nhất

Chúng tôi đã đề cập nhiều yếu tố cần cân nhắc khi bạn xây dựng chiến lược cho tổ chức. Dưới đây là thêm một vài điểm cần ghi nhớ khi bạn chọn các công cụ cần thiết để tăng cường vị thế bảo mật trên đám mây của mình:
 
  • Triển khai Zero Trust cùng với phân vùng nhỏ để hạn chế di chuyển ngang, đồng thời giảm tác động của các cuộc tấn công.
  • Mã hóa dữ liệu truyền tải và dữ liệu lưu trữ để đảm bảo tính bảo mật và tính toàn vẹn của thông tin nhạy cảm.
  • Tự động hóa việc quét tìm lỗ hổng trong các hệ thống CI/CD để phát hiện sự cố sớm nhất có thể trong quá trình phát triển.
  • Thực hiện kiểm tra tuân thủ định kỳ và đánh giá vị thế bảo mật để giảm nguy cơ bị phạt theo quy định.
  • Bật tính năng giám sát liên tục và phát hiện mối đe dọa, kết hợp với ưu tiên rủi ro dạng động giúp các đội ngũ an ninh mạng có thể tập trung xử lý trước các lộ trình tấn công có nguy cơ cao nhất dẫn đến sự cố rò rỉ dữ liệu.
Nếu bạn chọn áp dụng CNAPP, hãy chắc chắn giải pháp đó cung cấp:
 
  • Phạm vi bao phủ không cần tác nhân để có khả năng quan sát rộng mà không ảnh hưởng đến hiệu năng.
  • Khả năng ưu tiên lộ trình tấn công để tập trung vào các rủi ro quan trọng có thể dẫn đến các vụ vi phạm gây tốn kém.
  • Khả năng giảm quyền truy cập danh tính để giảm thiểu mức độ tiết lộ do đặc quyền quá mức.
  • Khả năng tích hợp với giải pháp phát hiện và phản hồi mở rộng (XDR) để phát hiện mối đe dọa hợp nhất.
  • Biện pháp khắc phục dựa trên vòng đời để giải quyết lỗ hổng nhanh hơn.

Luôn được bảo vệ trên đám mây với Microsoft

Để đảm bảo an toàn cho toàn bộ vòng đời ứng dụng, chúng ta cần nhiều hơn là các công cụ rời rạc và các bản vá lỗi cục bộ. Microsoft Security cung cấp một nền tảng bảo vệ ứng dụng thuần đám mây (CNAPP) hợp nhất, vận hành bằng AI, có khả năng tích hợp trực tiếp với các công cụ mà nhiều nhà phát triển đã và đang sử dụng, bao gồm GitHub, Azure DevOps và Microsoft Copilot. Bằng cách tích hợp bảo mật vào quy trình làm việc hàng ngày, các tổ chức có thể phát hiện và xử lý sự cố nhanh hơn, đồng thời đáp ứng các tiêu chuẩn về Zero Trust, DevSecOps và yêu cầu tuân thủ trên các môi trường đa đám mây.

Với giải pháp Microsoft CNAPP, các đội ngũ bảo mật sẽ có được khả năng giám sát toàn diện đối với ứng dụng, dữ liệu, danh tính và cơ sở hạ tầng—nhờ vào các thông tin chuyên sâu được phân tích từ hàng nghìn tỷ tín hiệu đe dọa mỗi ngày cùng kinh nghiệm hàng thập kỷ liên quan đến thông tin về mối đe doạ. Sự tích hợp giữa Microsoft Defender for Cloud và Defender XDR giúp các đội ngũ bảo mật điều tra và ứng phó với các cuộc tấn công liên miền phức tạp, trải rộng từ môi trường đám mây, môi trường danh tính cho đến môi trường điểm cuối. Kết quả mang lại là khả năng phân loại ưu tiên rủi ro nhanh hơn, giảm thiểu các cảnh báo nhiễu và tăng cường bảo mật cho khối lượng công việc AI và trên đám mây, giúp các tổ chức tự tin mở rộng quy mô hệ thống một cách an toàn.
TÀI NGUYÊN

Khám phá thêm các tài nguyên về bảo mật đám mây

Sử dụng thông tin này để giúp tinh chỉnh chiến lược bảo mật đám mây của bạn.

Các câu hỏi thường gặp

  • Khái niệm thuần đám mây dùng để chỉ các ứng dụng và dịch vụ được thiết kế để chạy trong môi trường đám mây bằng dịch vụ vi mô, vùng chứa và hệ thống phân phối động.
  • Ưu tiên đám mây là chiến lược ưu tiên áp dụng nền tảng đám mây, trong khi thuần đám mây mô tả các ứng dụng được xây dựng riêng cho môi trường đám mây.
  • Có nhiều rủi ro bảo mật cần giảm thiểu trong môi trường đám mây do bản chất tài nguyên phân tán. Các rủi ro này bao gồm cấu hình sai, lỗ hổng chuỗi cung ứng, lạm dụng danh tính và mối đe dọa trong thời gian chạy.
  • Nguyên tắc 4C là mã, vùng chứa, cụm và đám mây. Bảo vệ từng lớp trong bốn lớp này là một phần của chiến lược phòng thủ theo chiều sâu.
  • Nền tảng bảo mật thuần đám mây, chẳng hạn như CNAPP, cung cấp bảo mật tích hợp trên toàn bộ vòng đời ứng dụng, bao gồm phát triển, triển khai và thời gian chạy.

Theo dõi Microsoft Security

Tiếng Việt (Việt Nam) Quyền riêng tư về Sức khỏe người tiêu dùng Liên hệ với Microsoft Quyền riêng tư Quản lý cookie Điều khoản sử dụng Nhãn hiệu Giới thiệu về quảng cáo của chúng tôi