什麼是雲端原生安全性？

什麼是雲端原生安全性？

雲端原生安全性是指針對雲端的獨特安全性挑戰而設計的安全做法和技術。雲端資源是短暫的、可設定的、可擴展的，且可以透過多種不同的方式相互整合。許多雲端服務還將安全責任從客戶身上轉移到雲端提供者。儘管通常來說，雲端使用降低了與內部部署基礎架構相關聯的傳統安全性風險，但仍有許多與雲端相關的新風險需要使用雲端原生安全性進行管理。

雲端原生安全性與為保護內部部署基礎架構而建置的安全性形成對比。它旨在保護基於雲端的應用程式基礎架構，同時支援資料合規性和治理，即使雲端應用程式的功能、服務、API 和（潛在的）底層硬體發生變化也是如此。

為什麼雲端原生安全性很重要？

雲端應用程式不斷變化。基於雲端的軟體脫離了硬體，因此保護雲端應用程式安全並不需要保護給定的伺服器、電腦、資料中心或本地網路。

想像一下家庭安全系統：有安全意識的房主會在家裡的門窗上安裝感應器，以防止未經授權的進入。但如果屋主翻新房屋，突然增加更多窗戶並移動門，則必須重新設定安全系統。

雲端應用程式就像一座不斷翻新的房子：以靜態和不變的架構為基礎建立的老式安全系統不太可能非常有效，而且需要不斷地手動重新設定。但雲端原生安全性並非基於一切都始終位於同一位置的假設，而是專注於保護工作負載和身分，並持續監控雲端中的流量和事件。

什麼是雲端原生應用程式？

雲端原生應用程式針對雲端而設計並部署於其中。它們往往具有靈活且高度可擴展的架構，並在多個位置執行，因此基於邊界的安全性方法通常不是很有效，從而對雲端原生安全性提出了需求。

基於雲端的應用程式可以使用多種不同的架構，這些架構可以單獨使用，也可以相互組合使用，主要包括微服務、無伺服器功能、基於容器的後端或所有這些的組合。

所有這些架構的共同點是頻繁的變更和擴展以及隨需運算。例如，構成無伺服器後端的函數會根據需要執行和擴展，而不是在一定的運算能力下持續執行。

並非針對雲端而設計的應用程式通常為「單體式」。此類應用程式是一個獨立的堆疊，更新會套用至整個應用程式。相比之下，雲端原生應用程式由多個部分組成，通常透過 API 連接。這些部分可以彼此分開移動、變更、更新或擴展。

由於雲端原生應用程式是遠離內部部署的本地化硬體和網路的幾個抽象層，因此沒有需要防禦的「網路週邊」。傳統的安全措施著重於將威脅阻擋在明確定義的網路之外。有時會採用這些安全措施來保護雲端，但效果往往不盡如人意，而且無法靈活擴展。雲端原生安全性則是專門為基於雲端的架構而構建的。

有哪些主要的雲端原生應用程式安全風險？

快速擴展和變化的基礎架構會擴大應用程式的攻擊面。一些主要威脅包括：

• API 安全性風險：構成雲端原生應用程式的函數、容器和微服務透過 API 相互連接。API 安全性漏洞可能會暴露資料、讓攻擊者獲得存取權限或以其他多種方式使雲端原生應用程式面臨風險。
• 設定錯誤：雲端部署中的設定錯誤對雲端中的資料構成重大風險。雲端部署可能會意外暴露在公用網際網路上或出現設定錯誤，從而導致重大資料外洩。
• 內部人員威脅：有權存取雲端資料的內部人員可能會意外或惡意編輯、複製或刪除資料。
• 資料外流：由於大多數基於雲端的應用程式中嵌入了大量雲端服務，且雲端基礎架構具有多租用戶特性，因此雲端提供了大量攻擊媒介來對敏感性資料進行未經授權的傳輸。
• 缺乏可見度：基於雲端的應用程式構建在由外部方擁有和營運的基礎架構上。這樣做的優點是雲端原生開發的開銷要少得多，但缺點是缺乏對資料所在位置、工作負載所在位置以及資料去向的可見度。此外，影子 IT 部署（使用未經授權的服務或應用程式）也是一個主要問題，因為它們不受監控。
• 合規性風險：在雲端中，由於缺乏可見度，可能很難控制資料的去向和存取方式，這使得遵守區域資料法規成為一項挑戰。

雲端原生安全性有哪些組成部分？

• 身分識別與存取管理 (IAM)：這些功能會驗證實體的身分，以及其被允許做什麼。雲端中的 IAM 應該驗證使用者、應用程式、伺服器和 API 的身分。所有這些實體的存取都應受到嚴格的控制和監控。如果一個使用者或服務遭到入侵並擁有過多的存取權限，則可能會導致重大洩露。最低權限原則有助於確保任何人、服務或裝置都沒有過多的存取權限。
• 工作負載安全性：現代安全性的一個真理是，威脅既可能存在於應用程式外部，也可能存在於應用程式內部。工作負載安全性是在雲端工作負載（工作負載是使用一定運算能力的程式或應用程式）內部尋找威脅的做法。工作負載在雲端中的不同抽象層執行，其可能在容器中執行，在虛擬機器上執行，也可能作為無伺服器函數執行。工作負載安全性（例如由 CWPP 提供的安全性）在所有這些不同的環境中尋找惡意程式碼和已知漏洞。
• Web 應用程式和 API 保護 (WAAP)：需要保護雲端原生應用程式，以抵禦資料隱碼攻擊、分散式阻斷服務 (DDoS)攻擊等各種應用程式層攻擊。API 整合到幾乎所有現代應用程式中，也需要保護，因為 API 容易遭受多種攻擊。
• 網路安全性：雲端原生安全性還會分析所有網路流量，以識別和緩解惡意流量，並防止敏感性資料離開安全的環境。
• 基礎架構即程式碼 (IaC) 掃描：基礎架構即程式碼 (IaC) 是一種使用程式碼（指令碼）而非手動過程來管理和設定雲端基礎架構的方法。IaC 掃描在這些指令碼中查找威脅和漏洞。
• 雲端安全狀態管理 (CSPM)：CSPM 是一種自動化工具，可掃描雲端基礎架構中的安全設定錯誤、可能的合規性違規行為以及漏洞。
• 資料保護：為了確保資料安全和維持合規性，組織應該識別雲端原生應用程式儲存的所有資料，瞭解資料的位置，並確保其受到保護。
• 持續監控和報告：應持續監控和記錄雲端應用程式和基礎架構，以偵測可能表明存在洩露或漏洞的異常情況。監控還可以偵測安全性設定錯誤。

什麼是 CNAPP？

雲端原生應用程式保護平台 (CNAPP) 是一種為應用程式提供一體化雲端安全性和合規性的安全解決方案。CNAPP 可以幫助開發人員和安全團隊在開發週期早期識別威脅和缺陷，而不是在部署後才發現問題。

Cloudflare 如何保護雲端原生應用程式？

Cloudflare 透過雲端存取安全性代理程式(CASB) 和 WAAP 服務，提供對 SaaS 和雲端應用程式的深入可見度、偵測錯誤設定、封鎖攻擊，並協助防止雲端應用程式和基礎架構的資料暴露。瞭解 Cloudflare 如何在混合和多雲端環境中保護應用程式、API 和資料。