雲端原生安全性有數個相互配合的關鍵元素,可共同保護應用程式和基礎結構:
容器與 Kubernetes 安全性。容器會將應用程式及其相依性封裝在一起,讓應用程式更容易移轉並具備擴充性。Kubernetes 會協調這些容器,管理部署與擴充。容器和 Kubernetes 的安全性包括映像掃描、執行階段監控,以及保護控制平面。設定不當的 Kubernetes 叢集是常見的攻擊途徑,因此組態管理至關重要。
API 安全性。微服務會透過 API 通訊,因此必須保護 API,以防止未經授權的存取。API 安全性包括驗證、授權和速率限制。API 閘道提供集中式控制與監控,可降低資料外洩風險。
CNAPP。CNAPP 解決方案可整合多種安全性功能,包括雲端安全性態勢管理 (CSPM)。這些統一平台可在應用程式生命週期中提供端到端可見度,並支援風險型優先順序排序、一致的原則強制執行,以及更快速的威脅偵測與回應。
合規性與治理。組織必須遵循
法規合規性 標準,例如《一般資料保護規定》(
GDPR)、《健康保險流通與責任法案》(HIPAA) 以及《支付卡產業資料安全性標準》(PCI-DSS)。自動化合規性檢查與報告有助於維持與標準一致,降低法律罰則風險。
AI 工作負載。AI 模型和資料管線會帶來獨特的雲端安全性挑戰。保護訓練資料、防止模型竄改,以及確保符合道德規範的 AI 做法至關重要。安全性措施必須同時兼顧 AI 系統的機密性與完整性。
雲端資料安全性。資料是攻擊者的主要目標。加密、遮罩和存取控制可保護敏感性資訊。資料庫安全性包括監視未授權的查詢,並確保正確的設定。
身分識別權限。過多的權限會提高遭入侵的風險。身分識別治理工具有助於強制執行最低權限原則,並監視異常。權限提升攻擊在雲端環境中很常見,因此身分識別安全性是首要任務。
多雲端安全性態勢一致性。多雲端安全性 是使用多個雲端提供者的組織所面臨的問題,而每個提供者都有不同的安全性工具和設定。在不同環境之間維持一致的原則,可降低複雜度和風險。
雲端原生 容器安全性。這包括保護容器登錄、實作執行階段控制,以及監視容器映像中的弱點。
雲端工作負載保護 (CWPP)。CWPP 解決方案可提供跨環境工作負載的可見度和威脅偵測,包括虛擬機器、容器和無伺服器函式。
另一個重要概念是雲端原生安全性的「四個 C」。每個「C」都代表必須保護的其中一層,以確保採用縱深防禦方法:
- 程式碼——應用程式程式碼和基礎結構即程式碼 (IaC),包括開放原始碼相依性。
- 容器——容器映像與執行階段。
- 叢集——如 Kubernetes 這類的協調平台。
- 雲端——底層雲端基礎結構,例如網路、虛擬機器、儲存體、身分識別和設定。
關注 Microsoft 安全性