云原生安全的关键要素协同工作以保护应用和基础结构:
容器和 Kubernetes 安全。容器打包应用程序及其依赖项,实现应用的可移植性和可伸缩性。Kubernetes 会编排这些容器,管理部署和扩展。容器和 Kubernetes 的安全包括映像扫描、运行时监视和保护控制平面。配置错误的 Kubernetes 群集是常见的攻击载体,因此配置管理至关重要。
API 安全。微服务通过 API 进行通信,必须对其进行保护以防止未经授权的访问。API 安全包括身份验证、授权和速率限制。API 网关提供集中控制和监视,降低数据泄露风险。
CNAPP。CNAPP 解决方案统一了多种安全功能,包括云安全态势管理 (CSPM)。这些统一平台提供了跨应用生命周期的端到端可见性,实现了基于风险的优先级排序、一致的策略执行以及更快的威胁检测和响应。
合规性与治理。组织必须遵守
法规遵从性标准,例如一般数据保护条例 (
GDPR)、Health Insurance Portability and Accountability Act (HIPAA) 和支付卡行业数据安全标准 (PCI-DSS)。自动合规检查和报告有助于保持与标准的一致性,降低法律处罚风险。
AI 工作负载。AI 模型和数据管道带来了独特的云安全挑战。保护训练数据、防止模型篡改以及确保合乎道德的 AI 实践至关重要。安全措施必须同时解决 AI 系统的机密性和完整性问题。
云数据安全。数据是攻击者的主要目标。加密、屏蔽和访问控制可保护敏感信息。数据库安全包括监视未经授权的查询并确保正确配置。
身份权限。过多的权限会增加遭到入侵的风险。身份治理工具有助于执行最小权限原则并监视异常情况。权限提升攻击在云环境中很常见,这使得身份安全成为首要任务。
多云态势一致性。多云安全是使用多个云提供商的组织关注的问题,每个提供商都有独特的安全工具和配置。在不同环境中保持一致的策略可降低复杂性和风险。
云原生容器安全。这包括保护容器注册表、实施运行时控制以及监视容器映像中的漏洞。
云工作负载保护 (CWPP)。CWPP 解决方案为跨环境的工作负载(包括虚拟机、容器和无服务器函数)提供可见性和威胁检测。
另一个需要了解的关键概念是云原生安全的“四个 C”。每个“C”代表为确保纵深防御方法而必须保护的一个层:
- 代码 - 应用程序代码和基础结构即代码 (IaC),包括开源依赖项。
- 容器 - 容器映像和运行时。
- 群集 - Kubernetes 等编排平台。
- 云 - 底层云基础结构,例如网络、虚拟机、存储、身份和配置。
关注 Microsoft 安全