Bảo mật thuần đám mây có một số thành phần chính hoạt động cùng nhau để bảo vệ ứng dụng và cơ sở hạ tầng:
Vùng chứa và bảo mật Kubernetes. Vùng chứa đóng gói ứng dụng và các phần phụ thuộc của ứng dụng, giúp ứng dụng có tính di động và khả năng mở rộng. Kubernetes điều phối các vùng chứa này, quản lý việc triển khai và mở rộng. Bảo mật cho vùng chứa và Kubernetes bao gồm việc quét ảnh, giám sát thời gian chạy và bảo vệ thành phần điều khiển. Các cụm Kubernetes bị cấu hình sai là một véc-tơ tấn công phổ biến, khiến cho việc quản lý cấu hình trở nên vô cùng quan trọng.
Bảo mật API. Dịch vụ vi mô giao tiếp thông qua các API. Các API phải được bảo vệ để ngăn truy cập trái phép. Bảo mật API bao gồm xác thực, ủy quyền và giới hạn tốc độ. Cổng API cung cấp khả năng kiểm soát và giám sát tập trung, giảm nguy cơ lộ dữ liệu.
CNAPP. Các giải pháp CNAPP hợp nhất nhiều tính năng bảo mật khác nhau, bao gồm cả quản lý vị thế bảo mật trên đám mây (CSPM). Các nền tảng hợp nhất này cung cấp khả năng giám sát toàn diện xuyên suốt vòng đời ứng dụng, để có thể ưu tiên dựa trên rủi ro, thực thi chính sách nhất quán, cũng như phát hiện và phản ứng với mối đe dọa nhanh hơn.
Tuân thủ và quản trị. Các tổ chức phải tuân thủ các tiêu chuẩn về
tuân thủ quy định chẳng hạn như Quy định Chung về Bảo vệ Dữ liệu (
GDPR), Đạo luật về Trách nhiệm Giải trình và Cung cấp Thông tin Bảo hiểm Y tế (HIPAA) và Tiêu chuẩn Bảo mật Dữ liệu của Ngành Thẻ Thanh toán (PCI-DSS). Việc kiểm tra tuân thủ và lập báo cáo tự động giúp duy trì sự đồng bộ với các tiêu chuẩn, làm giảm nguy cơ chịu các hình phạt pháp lý.
Khối lượng công việc AI. Các mô hình AI và hệ thống dữ liệu tạo ra những thách thức bảo mật đám mây đặc thù. Việc bảo vệ dữ liệu huấn luyện, ngăn chặn thao túng mô hình và đảm bảo các thực tiễn AI có đạo đức là những yếu tố thiết yếu. Các biện pháp bảo mật phải giải quyết cả tính bảo mật và tính toàn vẹn của các hệ thống AI.
Bảo mật dữ liệu trên đám mây. Dữ liệu là mục tiêu chính của kẻ tấn công. Việc áp dụng phương thức mã hóa, ẩn dữ liệu và kiểm soát quyền truy cập chính là cách để bảo vệ an toàn cho các thông tin nhạy cảm. Bảo mật cơ sở dữ liệu bao gồm việc giám sát các truy vấn trái phép và đảm bảo cấu hình đúng cách.
Quyền của danh tính. Có quá nhiều đặc quyền sẽ làm tăng nguy cơ bị xâm phạm. Các công cụ quản lý danh tính giúp thực thi nguyên tắc đặc quyền tối thiểu và giám sát để phát hiện các bất thường. Các cuộc tấn công leo thang đặc quyền khá phổ biến trong môi trường đám mây, vì vậy bảo mật danh tính là ưu tiên hàng đầu.
Tính nhất quán của vị thế đa đám mây. Bảo mật đa đám mây là mối lo ngại đối với các tổ chức sử dụng nhiều nhà cung cấp dịch vụ đám mây, mỗi nhà cung cấp có các công cụ và cấu hình bảo mật riêng. Duy trì các chính sách nhất quán trên các môi trường giúp giảm độ phức tạp và rủi ro.
Bảo mật vùng chứa thuần đám mây. Điều này bao gồm bảo mật sổ đăng ký vùng chứa, triển khai các biện pháp kiểm soát thời gian chạy và giám sát lỗ hổng trong hình ảnh vùng chứa.
Bảo vệ khối lượng công việc trên đám mây (CWPP). Các giải pháp CWPP cung cấp khả năng quan sát và phát hiện mối đe dọa cho khối lượng công việc trên nhiều môi trường, bao gồm máy ảo, vùng chứa và các chức năng không cần đến máy chủ.
Một khái niệm then chốt khác cần biết là mô hình “4 chữ C” của bảo mật thuần đám mây. Mỗi “C” đại diện cho một trong các lớp cần được bảo vệ để đảm bảo cách tiếp cận phòng thủ theo chiều sâu:
- Mã—mã ứng dụng và cơ sở hạ tầng dưới dạng mã (IaC), bao gồm cả các phần phụ thuộc nguồn mở.
- Vùng chứa—ảnh vùng chứa và thời gian chạy.
- Cụm—các nền tảng điều phối như Kubernetes.
- Đám mây—cơ sở hạ tầng đám mây cơ bản, chẳng hạn như mạng, máy ảo, bộ nhớ, danh tính và cấu hình.
Theo dõi Microsoft Security