This is the Trace Id: 5846736e2c94939d5e29050a42121c72
跳转至主内容 Microsoft Defender Microsoft Entra Microsoft Intune Microsoft Purview 智能 Microsoft Security Copilot 副驾驶® Microsoft Sentinel 查看所有产品 AI 支持的网络安全 云安全 数据安全与治理 标识和网络访问 隐私和风险管理 AI 安全性 中小型企业 统一安全运营 零信任 价格 服务 合作伙伴 为什么选择 Microsoft 安全 网络安全意识 客户案例 安全性 101 产品试用 行业认可 安全响应中心 Microsoft 安全博客 Microsoft 安全活动 Microsoft 技术社区 文件 技术内容库 培训和认证 Microsoft Cloud 合规性计划 Microsoft 信任中心 服务信任门户 Microsoft 安全未来计划 业务解决方案中心 连络销售人员 开始免费试用 Microsoft 安全 Azure Dynamics 365 Microsoft 365 Microsoft Teams Windows 365 Microsoft AI Azure Space 混合现实 Microsoft HoloLens Microsoft Viva 量子计算 教育 汽车 金融服务 政府 医疗保健 制造业 零售业 查找合作伙伴 成为合作伙伴 合作伙伴网络 Microsoft Marketplace 软件公司 博客 Microsoft Advertising 开发人员中心 文档 活动 许可 Microsoft Learn Microsoft Research 查看站点地图
一个人坐在办公桌前使用笔记本电脑。

什么是云原生安全?

了解云原生安全如何在整个应用生命周期中保护应用、数据和基础结构,并获取最佳做法和核心原则的示例。
云原生安全将安全控制和基于风险的保护措施嵌入到专为云环境设计的应用和基础结构中,从代码创建到部署再到运行时全程保护工作负载。这种方法有助于组织管理在动态多云环境中运行的分布式系统、微服务和容器化应用的安全性。
  • 云原生安全将安全集成到应用生命周期的每个阶段。

  • 它解决了容器化和基于微服务的体系结构所带来的独特安全挑战。

  • 核心实践包括零信任、自动化、安全左移和针对网络威胁的持续监视。

云原生安全简介

在应用完全在本地运行的时代,安全涉及围绕物理服务器的硬件防火墙边界。保护当今的云原生应用更为复杂。云原生应用安全必须保护跨越本地服务器和多个云的工作负载,并能够根据需求变化从数百个实例扩展到数百万个实例。

采用云原生策略的组织通常使用微服务、容器和 Kubernetes 等编排平台。这些技术实现了敏捷性和可伸缩性,但也带来了额外的风险。云原生安全通过从代码到运行时的嵌入式保护和控制来解决这些风险,确保随着云和 AI 应用的实时变化提供持续的自适应保护。

为了在整个生命周期中保护云和 AI 应用、数据及基础结构,安全措施必须将代码开发、配置、部署以及实时检测和响应连接成统一的方法。它们还必须解决敏感数据、数据库和 AI 模型的安全问题,以确保工作负载在多云环境中保持受保护状态。

添加结合了 AI 驱动的见解、运行时监视和基于身份的控制的上下文感知安全,可以帮助你在动态系统中保持合规并降低风险。云原生应用程序保护平台(即 CNAPP)旨在统一整个云和 AI 应用生命周期的安全性,解决复杂性、可见性差距以及攻击者在环境间的横向移动问题。

云原生安全的关键原则

遵循云原生安全最佳做法使组织能够在保持创新敏捷性的同时降低风险。一些基础的云原生安全原则包括:

安全左移。该实践将安全集成到开发过程的早期,在部署前减少漏洞,防止风险进入生产环境。它确保在构建和测试阶段对代码进行漏洞扫描,最大限度地减少进入生产环境的缺陷。安全左移还包括安全编码实践、自动化测试和开发者教育。

零信任体系结构通过这种方法,每个访问请求都会被验证,不会授予隐式信任。该原则适用于用户、设备和作负载,确保持续验证访问权限。执行严格的访问控制可降低环境内横向移动的风险。

自动化和 DevSecOps合适的工具可以在持续集成和交付 (CI/CD) 管道中自动化安全流程,减少人为错误并加速修复。开发、安全和运营 (DevSecOps) 框架促进了开发、安全和运营团队之间的协作,在不拖慢交付速度的情况下将安全嵌入工作流。

身份和访问管理 (IAM)在云中,身份是核心风险面。IAM 确保通过强大的身份治理来控制访问,基于最小权限原则授予权限。此外,IAM 最佳做法包括多因素认证、基于角色的访问控制以及对身份活动的持续监视。

运行时保护。持续监视可在应用执行期间检测并缓解威胁。这包括异常检测、行为分析和运行时强制执行策略。运行时检测和响应确保即使存在漏洞,也能在攻击者利用之前快速检测到、按影响确定优先级并进行遏制。

闭环修复。自动化反馈循环确保漏洞得到快速解决。该原则支持持续改进和弹性。闭环修复与 CI/CD 管道集成,从源头解决问题,缩短检测和解决之间的时间。

云原生安全的核心组件

云原生安全的关键要素协同工作以保护应用和基础结构:

容器和 Kubernetes 安全。容器打包应用程序及其依赖项,实现应用的可移植性和可伸缩性。Kubernetes 会编排这些容器,管理部署和扩展。容器和 Kubernetes 的安全包括映像扫描、运行时监视和保护控制平面。配置错误的 Kubernetes 群集是常见的攻击载体,因此配置管理至关重要。

API 安全。微服务通过 API 进行通信,必须对其进行保护以防止未经授权的访问。API 安全包括身份验证、授权和速率限制。API 网关提供集中控制和监视,降低数据泄露风险。

CNAPP。CNAPP 解决方案统一了多种安全功能,包括云安全态势管理 (CSPM)。这些统一平台提供了跨应用生命周期的端到端可见性,实现了基于风险的优先级排序、一致的策略执行以及更快的威胁检测和响应。

合规性与治理。组织必须遵守法规遵从性标准,例如一般数据保护条例 (GDPR)、Health Insurance Portability and Accountability Act (HIPAA) 和支付卡行业数据安全标准 (PCI-DSS)。自动合规检查和报告有助于保持与标准的一致性,降低法律处罚风险。

AI 工作负载。AI 模型和数据管道带来了独特的云安全挑战。保护训练数据、防止模型篡改以及确保合乎道德的 AI 实践至关重要。安全措施必须同时解决 AI 系统的机密性和完整性问题。

云数据安全数据是攻击者的主要目标。加密、屏蔽和访问控制可保护敏感信息。数据库安全包括监视未经授权的查询并确保正确配置。

身份权限。过多的权限会增加遭到入侵的风险。身份治理工具有助于执行最小权限原则并监视异常情况。权限提升攻击在云环境中很常见,这使得身份安全成为首要任务。

多云态势一致性。多云安全是使用多个云提供商的组织关注的问题,每个提供商都有独特的安全工具和配置。在不同环境中保持一致的策略可降低复杂性和风险。

云原生容器安全这包括保护容器注册表、实施运行时控制以及监视容器映像中的漏洞。

云工作负载保护 (CWPP)。CWPP 解决方案为跨环境的工作负载(包括虚拟机、容器和无服务器函数)提供可见性和威胁检测。

另一个需要了解的关键概念是云原生安全的“四个 C”。每个“C”代表为确保纵深防御方法而必须保护的一个层:
 
  1. 代码 - 应用程序代码和基础结构即代码 (IaC),包括开源依赖项。
  2. 容器 - 容器映像和运行时。
  3. 群集 - Kubernetes 等编排平台。
  4. - 底层云基础结构,例如网络、虚拟机、存储、身份和配置。

常见的云原生安全挑战

现代云基础结构之所以具有成本效益和可扩展性,是因为它是短暂的,这意味着它在设计上就是临时的。其底层资源会根据需要创建和销毁。遗憾的是,这种弹性使得传统安全工具难以保护云基础结构。当该基础结构存在于多个云中,且每个云都有自己的配置和工具时,可能会产生可见性差距,攻击者可利用这些差距在环境中横向移动。

配置错误也是云原生安全中的一个常见问题。例如,与存储桶、开放端口和访问控制相关的设置不正确可能会将服务暴露给 Internet。开源依赖项以及第三方库和容器映像中的弱点也会引入漏洞。

攻击者不断演变其策略以利用这些漏洞。容器逃逸和权限提升等技术正变得日益复杂,应对这些技术需要同样复杂的自动化、监视和治理。

最佳做法清单

在我们制定组织策略时,已经涵盖了许多需要考虑的因素。以下是你在选择加强云安全态势所需的工具时需要牢记的几点:
 
  • 实施零信任和微分段,以限制横向移动并降低攻击影响。
  • 对传输中和静态数据进行加密,以确保敏感信息的机密性和完整性。
  • 在 CI/CD 管道中自动化漏洞扫描,以便在开发过程中尽早发现问题。
  • 定期进行合规审计和态势评估,以降低遭受监管处罚的风险。
  • 启用持续监视和威胁检测,并结合动态风险优先级排序,以便安全团队首先关注最可能导致入侵的攻击路径。
如果你选择采用 CNAPP,请确保它提供:
 
  • 无智能体覆盖,以实现广泛可见性而不影响性能。
  • 攻击路径优先级排序,以专注于可能导致严重损失的关键风险。
  • 身份权限缩减,以最大限度减少因权限过多而导致的暴露。
  • 与扩展检测和响应 (XDR) 解决方案集成,以实现统一的威胁检测。
  • 基于生命周期的修正,以更快地解决漏洞。

使用 Microsoft 在云中保持保护

保护整个应用生命周期需要的不仅仅是孤立的工具和单点修复。Microsoft 安全提供了一个统一的、由 AI 驱动的云原生应用程序保护平台,该平台与许多开发人员已使用的工具集成,包括 GitHub、Azure DevOps 和 Microsoft Copilot。通过将安全嵌入日常工作流,组织可以更快地识别和修正问题,同时在多云环境中支持零信任、DevSecOps 和合规性要求。

借助 Microsoft CNAPP,安全团队可深入了解应用程序、数据、身份和基础结构 - 这得益于每天数万亿个威胁信号的支持以及数十年的威胁情报专业知识。Microsoft Defender for Cloud 和 Defender XDR 之间的集成帮助安全团队调查和响应跨越云、身份和终结点环境的复杂跨域攻击。其结果是更快的风险优先级排序、更少的安全噪音以及对云和 AI 工作负载更强的保护,使组织能够充满信心地安全扩展。
资源

发现更多云安全资源

利用此信息帮助你完善云安全策略。

常见问题解答

  • 云原生是指设计为在云环境中使用微服务、容器和动态编排运行的应用程序和服务。
  • 云优先是一种优先考虑采用云的策略,而云原生描述的是专门为云环境构建的应用程序。
  • 由于资源的分散性,云中有许多安全风险需要缓解。这些风险包括配置错误、供应链漏洞、身份滥用和运行时威胁。
  • 四个 C 分别是代码、容器、群集和云。保护这四个层构成了深度防御策略。
  • 云原生安全平台(如 CNAPP)提供跨应用程序生命周期(包括开发、部署和运行时)的集成安全。

关注 Microsoft 安全