This is the Trace Id: 60a4f55c714ec1279615914fded9144c
跳转至主内容 Microsoft Defender Microsoft Entra Microsoft Intune Microsoft Purview 智能 Microsoft Security Copilot 副驾驶® Microsoft Sentinel 查看所有产品 AI 支持的网络安全 云安全 数据安全与治理 标识和网络访问 隐私和风险管理 AI 安全性 中小型企业 统一安全运营 零信任 价格 服务 合作伙伴 为什么选择 Microsoft 安全 网络安全意识 客户案例 安全性 101 产品试用 行业认可 安全响应中心 Microsoft 安全博客 Microsoft 安全活动 Microsoft 技术社区 文件 技术内容库 培训和认证 Microsoft Cloud 合规性计划 Microsoft 信任中心 服务信任门户 Microsoft 安全未来计划 业务解决方案中心 连络销售人员 开始免费试用 Microsoft 安全 Azure Dynamics 365 Microsoft 365 Microsoft Teams Windows 365 Microsoft AI Azure Space 混合现实 Microsoft HoloLens Microsoft Viva 量子计算 教育 汽车 金融服务 政府 医疗保健 制造业 零售业 查找合作伙伴 成为合作伙伴 合作伙伴网络 Microsoft Marketplace 软件公司 博客 Microsoft Advertising 开发人员中心 文档 活动 许可 Microsoft Learn Microsoft Research 查看站点地图
一个人在现代办公环境中使用笔记本电脑工作。

什么是 CNAPP?

云原生应用程序保护平台 (CNAPP) 可为云原生应用提供统一的可见性、保护和风险优先级排序,从构建到运行时全程覆盖。
CNAPP 帮助保护为云构建的应用、数据和基础结构。随着云原生采用的加速,环境变得更加分散,使用碎片化工具更难保护它们。CNAPP 将所有功能整合在一起,在现代云和 AI 辅助环境中提供统一的可见性、上下文风险见解和保护。
  • CNAPP 将分散的安全工具统一到一个平台中,减少差距并提高效率。
  • 从云构建和部署到运行时操作,它在整个应用生命周期内提供全面保护。
  • CNAPP 通过在开发管道及开发、安全和运营 (DevSecOps) 工作流中尽早集成保护,实现左移安全方法。
  • 它们在混合云和多云环境中提供统一的可见性,帮助团队在风险升级之前识别和缓解风险。
  • 通过连接安全、开发和运营,CNAPP 支持协作并简化维护强大、持续保护的工作。

什么是 CNAPP

CNAPP 是一种统一的云安全方法,旨在通过在整个应用生命周期内持续评估风险,保护云原生和 AI 辅助应用及其支持的基础结构。

CNAPP 将关键安全功能整合到一个框架中。这有助于减少工具独立运行时可能出现的盲点。通过连接可见性、上下文和保护,CNAPP 支持从开发到部署和运行时的一致安全性。

在现代云环境中,应用变化迅速,并依赖共享基础结构、自动化管道和动态资源。CNAPP 将保护与构建和运营流程对齐,帮助管理云原生应用的风险,同时不会拖慢团队节奏。

为什么需要 CNAPP?

传统安全工具往往难以跟上现代云原生环境的步伐。应用和基础结构变化迅速,传统工具无法提供团队所需的可见性或保护。CNAPP 通过将安全信号、上下文和控制整合在一起,帮助团队在云和 AI 辅助应用中识别、优先处理和修复最重要的风险。
云原生安全中的关键挑战

可见性和碎片化
 
  • 工具蔓延:管理多个安全工具会造成盲区,并减慢跨云响应速度。
  • 工具和团队脱节:当安全和开发各自为政时,漏洞修复时间更长,风险也更难发现。
  • ⁠与扩展检测和响应 (XDR) 的集成有限:如果没有共享数据,调查就会缺少跨应用和环境的上下文。
  • ⁠云检测和响应 (CDR) 能力有限:仅保护工作负载是不够的,还需要对整个云环境的可见性。

规模和复杂性
 
  • 攻击面不断扩大:云原生和 AI 辅助应用将数据、应用和基础结构分散在各个环境中,为攻击者创造更多入口点。
  • 合规要求不断变化:多云环境使合规更难跟踪,增加处罚或泄露的可能性。
  • 风险优先级排序挑战:确定安全、合规、成本和数据方面哪些风险最重要仍然很复杂。

配置和访问风险
 
  • ⁠配置错误和过度授权访问:设置或身份中的小错误可能迅速导致泄露或合规差距。将 云访问安全代理 (CASB) 与 CNAPP 集成可为云访问提供额外一层控制,支持跨所有服务的安全使用。
  • 警报太多,指导不足:开发人员通常缺乏如何高效修复代码和 API 问题的明确指导。

速度和开发压力
 
  • 速度与安全的压力:快速发布周期使保护开源代码、AI 模型和不断变化的应用变得更加困难。
  • 跨团队修复缓慢: 安全修复通常需要跨团队协调,手动流程会延迟解决。

新兴 AI 风险
 
  • ⁠新的生成式 AI 挑战:提示、模型和训练数据会带来数据泄露、提示注入和意外行为的风险。
如果没有统一的安全平台,这些缺口会使组织面临泄露、合规失败和运营风险。CNAPP 帮助将一切整合在一起,使团队能够在复杂的云原生环境中更自信地管理风险。

CNAPP 的重要组成部分

CNAPP 将多种安全能力整合在一起,为团队提供跨云环境的可见性和控制。它帮助检测和修复配置错误、漏洞和威胁,同时将安全集成到开发和运行时工作流中。通过连接从开发人员到云架构师再到安全运营的团队,CNAPP 支持协作和更有效的风险管理。

核心 CNAPP 组件作为一个统一系统协同工作,关联态势、身份、工作负载和运行时信号,在云环境中提供有意义的风险上下文。

态势和配置管理
 
  • 云安全态势管理 (CSPM)与主要云提供商集成,分析配置、合规性和身份权限,检测配置错误和暴露。
  • Kubernetes 安全状况管理 (KSPM):评估风险并管理 Kubernetes 编排平台的安全状况。
  • 基础结构即代码 (IaC) 扫描:分析 IaC 脚本中的漏洞和配置错误,帮助确保云基础结构部署的安全。
  • ⁠应用程序安全状况管理 (ASPM):监视并管理云原生和 AI 辅助应用的安全状况。
  • ⁠⁠数据安全状况管理 (DSPM)通过识别敏感数据、跟踪暴露和优先处理跨云服务的风险,支持云数据安全

身份验证和访问控制
 
  • 身份、角色、权限和权利管理:理解和控制云身份、角色和权限,构建按风险优先级排序的攻击图。
  • 云基础结构权利管理 (CIEM):管理并保护云身份和访问权限,执行最小权限原则。
  • 身份和访问管理 (IAM)为跨云资源的身份验证、角色和权限建立基础控制。

工作负载和运行时保护
 
  • 云工作负载保护平台(CWPP)提供基于代理和无代理的虚拟机、容器和无服务器函数运行时可见性,包括实时和时间点分析以及攻击路径评估。
  • 容器和容器注册表扫描:检查容器和容器注册表中的漏洞、配置错误和暴露的机密。
  • 工作负载漂移检测:检测与预期工作负载状态的偏差,突出显示未经授权的更改或风险。

网络、API 和流量安全
 
  • API发现和监视:识别并监视 API,以检测安全风险、漏洞和异常行为。
  • 流量监视和连接映射:跟踪网络流量并映射连接关系,揭示威胁和异常模式。

检测和应对
 

CNAPP 的优势

CNAPP 通过在人员、流程和技术之间统一安全,帮助团队更自信地管理云原生和 AI 辅助应用。
 
CNAPP 的关键优势
 
  • 在多云环境中增强可见性:无论在哪里运行,都能清晰地查看云资源、工作负载和应用。
  • 覆盖整个云应用生命周期的统一安全性:获取内置的、原生集成的控制,保护从开发到运行时的应用和基础结构。
  • 主动降低风险:使用统一的态势管理、威胁情报和上下文攻击路径分析,识别并解决整个数字资产中的漏洞。
  • 减少工具蔓延和运营复杂性:将安全功能整合到一个平台中,简化工作流并最大限度地减少缺口。
  • 自动化威胁检测和响应:实时检测和响应云和 AI 辅助威胁,包括高级持续性威胁 (APT) 活动。
  • 为云工作负载提供深度保护:通过全面的安全覆盖,保护云存储、数据库和生成式 AI 模型。
  • 左移安全与 DevSecOps 的集成:弥合开发和安全团队之间的差距,在开发生命周期早期嵌入保护。
  • 提高合规性和治理:与不断演进的标准和法规要求保持一致。
  • 降低成本:通过整合和预防性安全措施,降低运营开销和潜在的数据泄露成本。

CNAPP 与传统云安全工具的区别

传统云安全工具通常只覆盖环境的一部分,在问题出现后才做出反应,在多云安全中留下缺口。CNAPP 采用不同的方法:主动、互联,旨在从头到尾保护云原生和 AI 辅助应用。

主要差异
 
  • ⁠主动与被动:CNAPP 可及早发现风险,帮助在漏洞发生前加以防范。传统工具通常等到问题出现后才做出响应。
  • ⁠全面覆盖与单点解决方案:CSPM、CWPP 或 IAM 等独立工具仅覆盖特定领域。CNAPP 将它们整合在一起,提供跨工作负载、应用和基础结构的统一视图。
  • 上下文与优先级:CNAPP 在上下文中评估威胁,让团队知道优先处理什么,而不是在孤立的警报中筛选。

统一平台的优势
 
  • 更少的工具重叠,更低的碎片化
  • ⁠在混合云和多云环境中提供清晰的见解
  • ⁠安全、开发和运营团队之间的协作更顺畅
CNAPP 让保护分布式环境变得更轻松,不会拖慢开发进度或增加复杂性,通过一个统一平台支持混合云和多云策略。

CNAPP 常见用例

CNAPP 可应对云原生和 AI 辅助环境中的各类挑战,帮助团队在简化安全运营的同时领先于威胁。常见用例如下:
 
  • ⁠防止配置错误和合规违规:在云设置和基础结构中的错误导致漏洞或监管问题之前将其检测出来。
  • 保护多云环境:在多个云提供商和混合部署中保持一致的安全策略和可见性。
  • 防范 APT:识别并缓解针对应用、工作负载和数据的复杂攻击。
  • 强化身份安全和访问管理:管理身份、角色和权限,以实施最小权限访问并降低内部风险
  • ⁠确保容器安全并集成 DevSecOps:将安全嵌入容器化应用和开发管道中,在不拖慢交付速度的情况下提供保护。
  • ⁠主动为事件做好准备:通过自动化监视、警报和风险评估来预判并应对潜在威胁。
  • 监视网络安全:监控流量和连接,以识别异常和潜在的攻击路径。
  • 在整个应用生命周期中提供统一安全:从开发到部署和运行时全方位保护应用。
  • 提供全面的可见性和控制:获取云环境、工作负载和应用的完整视图,以有效管理风险。
  • 检测风险并确定优先级:在上下文中评估漏洞和威胁,帮助团队专注于最重要的事项。

实施策略和最佳做法

成功实施 CNAPP 需要周密的规划、协作和持续监视。采用最佳做法可帮助你的团队在云原生和 AI 辅助环境中降低风险,同时保持速度和效率。

战略规划
 
  • ⁠与业务目标对齐:了解你的组织规模、类型、行业和目标,以根据实际需求定制 CNAPP 策略。
  • ⁠清点并映射依赖关系:列出所有本地和云工作负载,识别关键资产和敏感数据,并映射依赖关系以确定保护优先级。
  • ⁠评估当前安全状况:建立基线、识别差距,并为实现安全目标设定切实可行的时间线。
  • ⁠考虑监管要求:在规划 CNAPP 策略时纳入相关合规标准,以确保工作负载满足必要的义务。
  • ⁠注重 DevSecOps 体验:设计安全集成,通过更好的协作减少开发人员摩擦、改进风险识别并最大程度减少误报。

实施最佳做法
 
  • 实施最小权限并采用零信任原则:仅授予必要的访问权限,并持续验证信任。
  • ⁠细分工作负载并保护 Kubernetes 环境:隔离应用和编排的工作负载,以减少攻击面
  • ⁠自动化漏洞扫描和事件响应:使用自动化工具检测风险并快速响应事件。
  • ⁠将 CNAPP 与现有 DevSecOps 工作流集成:在不拖慢交付速度的情况下将安全嵌入开发管道。
  • ⁠培养安全优先的文化:鼓励团队了解并积极使用安全工具,以保持良好的安全实践。
  • 实施持续监视和风险评估:定期评估环境,识别运行不正常或不安全的资源,并及时修正问题。
  • ⁠慎重选择解决方案:优先选择覆盖全面、风险上下文丰富且具备减少警报疲劳功能的平台。

选择 CNAPP 解决方案

要选择合适的 CNAPP,受限要寻找一个全面且统一的平台。寻找具备广泛且深入的功能、高级分析和风险优先级的平台,以在所有云和 AI 环境中提供可见性和控制。一个支持协作、提升开发人员体验并可跨混合云和多云环境扩展的平台,可帮助团队在不拖慢创新的前提下保持一致的安全性。

评估 CNAPP 时的关键考量
 
  • 多云和混合云支持:确保平台在所有环境和云提供商中提供一致的保护。
  • 可伸缩性:解决方案应随你的组织一同成长,并适应不断变化的工作负载。
  • 与现有工具集成:选择一个能与你的 DevSecOps 管道和其他安全解决方案无缝协作的 CNAPP。
  • 高级分析和风险优先级排序:根据上下文和影响确定威胁优先级,帮助团队专注于最重要的事项。
  • 可见性和控制:保持对应用、工作负载和基础结构的清晰视图,以主动管理风险。
  • 开发人员体验和协作:平台应支持安全开发,而不会拖慢团队速度或产生摩擦。

面向未来的云原生环境

CNAPP 应支持新兴技术、不断演变的威胁和不断变化的合规要求。投资于成熟的统一解决方案,可帮助你的组织在保持面向未来工作负载和 AI 辅助应用灵活性的同时领先于风险。


探索 Microsoft Defender for Cloud

Defender for Cloud 是一个由行业领先的生成式 AI 和威胁情报驱动的集成 CNAPP。它在整个应用生命周期中统一安全,结合由全球威胁情报驱动的全面可见性、实时 CDR 和主动风险优先级排序。

常见问题解答

  • CNAPP 表示云原生应用程序保护平台。这是一种在整个应用生命周期内保护云原生和 AI 辅助应用及其支持基础结构的统一方法。
  • CNAPP 是一个统一的安全平台,将通常分散在独立工具中的功能结合在一起,例如云安全态势管理、工作负载保护和身份管理。与通常各自为政且在问题出现后才做出反应的传统云安全工具不同,CNAPP 可在你的云和 AI 辅助应用中提供主动保护、全面可见性和上下文风险优先级排序。
  • 选择用于云安全的 CNAPP 意味着寻找一个统一、广泛且功能深入的平台。它应支持混合云和多云环境,与现有 DevSecOps 工作流集成,随你的组织扩展,并提供高级风险优先级排序。该平台还应在持续监视你的环境的同时,提升开发人员体验。
  • CNAPP 与持续集成/持续交付 (CI/CD) 管道和开发人员工作流的集成,意味着将安全直接嵌入开发过程。CNAPP 会扫描基础结构即代码、容器和 API,提供上下文警报,使开发人员能够及早处理风险。它还支持开发、运营和安全团队之间的协作,而不会拖慢交付速度。
  • CNAPP 通过统一云原生和 AI 辅助应用中的可见性、保护和风险管理来改善云安全。它会主动检测配置错误、漏洞和威胁,优先处理最关键的风险,减少警报疲劳,并帮助团队在复杂的分布式环境中保持强大的安全状况。
  • CNAPP 与云检测和响应 (CDR) 之间的区别在于范围和集成。CDR 侧重于检测和响应云工作负载和网络中的威胁。CNAPP 包含这些功能,同时还增加了态势管理、身份安全、容器和 API 保护以及风险优先级排序,为云和 AI 辅助应用安全提供统一方法。
  • CNAPP 通过持续监视配置、访问控制和工作负载以确保与不断演变的标准保持一致,从而帮助满足合规和监管要求。它们为报告提供可操作的见解,防止配置错误,并降低多云和混合环境中违规的风险。

关注 Microsoft 安全