This is the Trace Id: a8f0d70ce8f859c43fde6c1055d293cf
跳到主要內容 Microsoft Defender Microsoft Entra Microsoft Intune Microsoft Purview Microsoft Security Copilot Microsoft Sentinel 檢視所有產品 AI 支援的網路安全性 雲端安全性 資料安全性與治理 身分識別和網路存取權 隱私權與風險管理 AI 的安全性 中小型企業 整合安全性作業 零信任 價格 服務 合作夥伴 為何選擇使用 Microsoft 安全性 網路安全性意識 客戶案例 安全說明資訊 產品試用 受業界認可 Microsoft Security Insider Microsoft 數位防禦報告 安全回應中心 Microsoft 安全性部落格 Microsoft 安全性事件 Microsoft 技術社群 文件 技術內容庫 訓練與認證 Microsoft Cloud 合規性計畫 Microsoft 信任中心 服務信任入口網站 Microsoft 安全未來倡議 Business Solutions Hub 連絡銷售人員 開始免費試用 Microsoft 安全性 Azure Dynamics 365 Microsoft 365 Microsoft Teams Windows 365 Microsoft AI Azure Space 混合實境 Microsoft HoloLens Microsoft Viva 量子運算 教育 汽車業 金融服務 政府機關 醫療保健 製造 零售 尋找合作夥伴 成為合作夥伴 合作夥伴網絡 Microsoft Marketplace 軟件公司 網誌 Microsoft 廣告 開發人員中心 文件 活動 授權 Microsoft 學習 Microsoft 研究 查看網站地圖
一名人員坐在桌前使用膝上型電腦。

什麼是雲端原生安全性?

探索雲端原生安全性如何在應用程式生命週期中保護應用程式、資料和基礎結構,並了解最佳做法與核心原則的範例。
雲端原生安全性會將安全性控制和風險型保護內嵌到專為雲端環境設計的應用程式和基礎結構中,從程式碼建立到部署與執行階段,持續保護工作負載。這種方法可協助組織管理在動態多雲端環境中運作的分散式系統、微服務和容器化應用程式安全性。
  • 雲端原生安全性會將安全性整合到應用程式生命週期的每個階段。

  • 它會因應容器化和微服務型架構所帶來的獨特安全性挑戰。

  • 核心做法包括零信任、自動化、左移安全性,以及持續監控網路威脅。

雲端原生安全性簡介

在應用程式僅在內部部署環境中執行的年代,安全性仰賴實體伺服器周圍的硬體防火牆邊界。保護現今的雲端原生應用程式更加複雜。雲端原生應用程式安全性必須保護跨越內部部署伺服器和多個雲端的工作負載,並能隨著需求變化,從數百個執行個體擴充到數百萬個執行個體。

採用雲端原生策略的組織通常會使用微服務、容器,以及如 Kubernetes 之類的協調平台。這些技術可提升敏捷性與擴充性,但也會帶來額外風險。雲端原生安全性會透過從程式碼到執行階段的內嵌保護與控制來因應這些風險,確保雲端與 AI 應用程式在即時變化時仍能持續且具適應性地受到保護。

若要在完整生命週期中保護雲端與 AI 應用程式、資料和基礎結構,安全性措施必須將程式碼開發、設定、部署,以及即時偵測和回應連結成統一的方法。這些措施也必須涵蓋敏感性資料、資料庫和 AI 模型,確保工作負載在多雲端環境中持續受到保護。

加入具情境感知的安全性,其可結合 AI 驅動的深入解析、執行階段監控與身分識別型控制項,來協助您維持合規性並降低動態系統中的風險。雲端原生應用程式保護平台,或 CNAPP,是為統一整個雲端與 AI 應用程式生命週期的安全性而建立,藉此因應複雜度、可見度缺口,以及跨環境的攻擊者移動。

雲端原生安全性的關鍵原則

遵循最佳的雲端原生安全性做法,可讓組織在降低風險的同時,維持創新的敏捷性。一些雲端原生安全性的基礎原則包括:

左移安全性。這項做法會在開發初期整合安全性,在部署前減少弱點,並防止風險進入正式環境。它可確保在建置和測試階段掃描程式碼中的弱點,將進入正式環境的缺陷降到最低。左移安全性也包含安全程式碼撰寫做法、自動化測試和開發人員教育。

零信任架構採用這種方法時,每個存取要求都會經過驗證,不會授予任何隱含信任。這項原則適用於使用者、裝置和工作負載,確保存取權會持續受到驗證。強制執行嚴格的存取控制,可降低環境內橫向移動的風險。

自動化與 DevSecOps適當的工具可自動化持續整合與傳遞 (CI/CD) 管線中的安全性流程,減少人為錯誤並加快補救速度。開發、安全性與作業 (DevSecOps) 架構可促進開發、安全性與作業團隊之間的共同作業,將安全性內嵌到工作流程中,而不會拖慢交付速度。

身分識別與存取權管理(IAM)在雲端中,身分識別是核心風險面。IAM 可透過強式身分識別治理來控管存取權,並依最低權限原則授與權限。此外,IAM 最佳做法還包括多重要素驗證、角色型存取控制,以及持續監控身分識別活動。

執行階段保護。持續監控可在應用程式執行期間偵測並緩解威脅。這包括異常偵測、行為分析,以及執行階段強制執行原則。執行階段偵測與回應可確保即使存在弱點,也能快速偵測、依影響程度排序,並在攻擊者利用之前加以封鎖。

閉環補救。自動化意見反應迴圈可確保快速處理弱點。這項原則有助於持續改善與提升韌性。閉環補救會與 CI/CD 管線整合,在來源端修正問題,縮短偵測與解決之間的時間。

雲端原生安全性的核心元件

雲端原生安全性有數個相互配合的關鍵元素,可共同保護應用程式和基礎結構:

容器與 Kubernetes 安全性。容器會將應用程式及其相依性封裝在一起,讓應用程式更容易移轉並具備擴充性。Kubernetes 會協調這些容器,管理部署與擴充。容器和 Kubernetes 的安全性包括映像掃描、執行階段監控,以及保護控制平面。設定不當的 Kubernetes 叢集是常見的攻擊途徑,因此組態管理至關重要。

API 安全性。微服務會透過 API 通訊,因此必須保護 API,以防止未經授權的存取。API 安全性包括驗證、授權和速率限制。API 閘道提供集中式控制與監控,可降低資料外洩風險。

CNAPP。CNAPP 解決方案可整合多種安全性功能,包括雲端安全性態勢管理 (CSPM)。這些統一平台可在應用程式生命週期中提供端到端可見度,並支援風險型優先順序排序、一致的原則強制執行,以及更快速的威脅偵測與回應。

合規性與治理。組織必須遵循 法規合規性 標準,例如《一般資料保護規定》(GDPR)、《健康保險流通與責任法案》(HIPAA) 以及《支付卡產業資料安全性標準》(PCI-DSS)。自動化合規性檢查與報告有助於維持與標準一致,降低法律罰則風險。

AI 工作負載。AI 模型和資料管線會帶來獨特的雲端安全性挑戰。保護訓練資料、防止模型竄改,以及確保符合道德規範的 AI 做法至關重要。安全性措施必須同時兼顧 AI 系統的機密性與完整性。

雲端資料安全性資料是攻擊者的主要目標。加密、遮罩和存取控制可保護敏感性資訊。資料庫安全性包括監視未授權的查詢,並確保正確的設定。

身分識別權限。過多的權限會提高遭入侵的風險。身分識別治理工具有助於強制執行最低權限原則,並監視異常。權限提升攻擊在雲端環境中很常見,因此身分識別安全性是首要任務。

多雲端安全性態勢一致性。多雲端安全性 是使用多個雲端提供者的組織所面臨的問題,而每個提供者都有不同的安全性工具和設定。在不同環境之間維持一致的原則,可降低複雜度和風險。

雲端原生 容器安全性這包括保護容器登錄、實作執行階段控制,以及監視容器映像中的弱點。

雲端工作負載保護 (CWPP)。CWPP 解決方案可提供跨環境工作負載的可見度和威脅偵測,包括虛擬機器、容器和無伺服器函式。

另一個重要概念是雲端原生安全性的「四個 C」。每個「C」都代表必須保護的其中一層,以確保採用縱深防禦方法:
 
  1. 程式碼——應用程式程式碼和基礎結構即程式碼 (IaC),包括開放原始碼相依性。
  2. 容器——容器映像與執行階段。
  3. 叢集——如 Kubernetes 這類的協調平台。
  4. 雲端——底層雲端基礎結構,例如網路、虛擬機器、儲存體、身分識別和設定。

常見雲端原生安全性挑戰

現代雲端基礎結構之所以具備成本效益且可擴展,是因為它具有短暫性——也就是從設計上即為暫時性。其底層資源會依需求建立與刪除。可惜的是,這種彈性也讓雲端基礎結構難以用傳統安全性工具來保護。當這類基礎結構橫跨多個雲端,而且每個雲端都有自己的設定和工具時,就可能產生可見度落差,讓攻擊者有機可乘,進而在不同環境之間橫向移動。

設定錯誤也是雲端原生安全性中的常見問題。例如,與儲存體容器、開啟的連接埠和存取控制相關的設定不正確,可能會讓服務暴露到網際網路。開放原始碼相依性,以及第三方程式庫和容器映像中的弱點,也會引入弱點。

攻擊者會持續演進其策略,以利用這些弱點。容器逃逸和權限提升等技術正變得愈來愈精密,而要對抗這些技術,就需要同樣精密的自動化、監視和治理。

最佳做法檢查清單

我們已經討論了許多在擬定組織策略時需要考量的因素。以下還有幾個重點,供您在選擇強化您的 雲端安全性 態勢所需的工具時參考:
 
  • 搭配微分段實作零信任,以限制橫向移動並降低攻擊影響。
  • 對傳輸中和靜態的資料進行加密,以確保敏感性資訊的機密性與完整性。
  • 在 CI/CD 管線中自動化弱點掃描,盡早在開發流程中偵測問題。
  • 定期執行法規遵循稽核與狀態評估,降低遭受法規罰款的風險。
  • 啟用持續監視和威脅偵測,並搭配動態風險優先順序設定,讓安全性團隊能先專注於最有可能導致資料外洩的攻擊路徑。
如果您選擇採用 CNAPP,請確認它提供:
 
  • 無代理程式涵蓋範圍,可在不影響效能的情況下提供廣泛可見度。
  • 攻擊路徑優先順序設定,可將注意力集中在可能導致高成本資料外洩的關鍵風險上。
  • 身分識別權限縮減,可將過多權限造成的暴露風險降到最低。
  • 與延伸式偵測及回應 (XDR) 解決方案整合,可提供統一的威脅偵測。
  • 以生命週期為基礎的補救,可更快解決弱點。

使用 Microsoft 在雲端中保持防護

保護整個應用程式生命週期,需要的不只是各自獨立的工具和單點修正。Microsoft 安全性提供統一的 AI 支援雲端原生應用程式保護平台,可與許多開發人員已在使用的工具整合,包括 GitHub、Azure DevOps 和 Microsoft Copilot。將安全性內建到日常工作流程中,組織就能更快識別並修正問題,同時支援跨多雲端環境的零信任、DevSecOps 和合規性要求。

使用 Microsoft CNAPP,安全性團隊可深入掌握應用程式、資料、身分識別和基礎結構的可見度,並獲得來自每天數兆個威脅信號和數十年威脅情報專業知識所提供的支援。適用於雲端的 Microsoft Defender 與 Defender 全面偵測回應之間的整合,有助於安全性團隊調查並回應跨越雲端、身分識別和端點環境的複雜跨領域攻擊。結果就是更快的風險優先順序設定、更少的安全性雜訊,以及對雲端和 AI 工作負載更強大的保護,讓組織能放心地安全擴展。
資源

深入探索雲端安全性資源

請使用這些資訊,協助您最佳化雲端安全性策略。

常見問題集

  • 雲端原生是指設計來在雲端環境中執行的應用程式與服務,並使用微服務、容器和動態協調。
  • 雲端優先是一種優先採用雲端的策略,而雲端原生則是指專為雲端環境打造的應用程式。
  • 由於資源分散,雲端中有許多需要降低的安全性風險。這些風險包括設定錯誤、供應鏈弱點、身分識別濫用,以及執行階段威脅。
  • 這四個 C 分別是程式碼、容器、叢集和雲端。保護這四層中的每一層,構成縱深防禦策略。
  • 雲端原生安全性平台,例如 CNAPP,可在應用程式生命週期的各階段提供整合式安全性,包括開發、部署和執行階段。

關注 Microsoft 安全性