近七成用户心存顾虑 云原生发展需应对自身安全挑战

 

云原生技术采纳度正逐年攀升，Gartner报告曾指出，到2022年，将有75%的全球化企业将在生产中使用云原生的容器化应用。在企业上云的趋势下，我们正在看到越来越多的企业和开发者开始把业务与技术向云原生演进。

 

 

狭义层面，云原生是技术和应用模式的改变，CNCF（云原生计算基金会，The Cloud Native Computing Foundation）给出的定义是包含不可变基础设施、服务网格、声明式API等技术，它是面向云应用设计的一种思想理念，是能够充分发挥云效能的最佳实践路径，它有弹性、可靠、松耦合、易管理可观测的特点，能够帮助企业去提升它的交付效率和降低运维复杂度。

 

广义层面，云原生不仅仅是一种技术，而是一种思维认知的改变，一种应用生在云上、长在云上的理念，所以除了技术以外还有文化、组织架构和方法论认知升级。通俗来讲，云原生就是应对业务上云、虚实结合，企业业务高效迭代新需求的一套新理念和新工具。

 

云原生概念从2013年就已经提出了，最近几年该技术发展迅猛，标准到实践相对更加成熟。对企业来说云原生是一种既能够省成本，又能够提升效率，还能增强稳定性的一种架构，同时云原生还能够很好跟人工智能和大数据等上层技术、新应用相结合。

 

云计算架构正在以云原生为技术内核加速重构，并结合窗口期应用在近两年发展进入井喷期，市场连年迅猛增长。信通院此前基于调研数据认为，企业已经开始大规模地应用云原生，并且已经应用到核心生产系统当中，云原生价值已被企业广泛认可，云计算已进入全面云原生化时代。

 

 

腾讯安全此前发布2021年云安全九大趋势就将云原生的安全问题排到了第一的位置，他们认为，云原生概念已逐渐成熟，以容器、微服务、API等技术为代表的应用逐步落地，生态开始健全。但容器安全问题频出，云原生组件安全功能普遍缺失，云原生的安全架构和技术亟需发展。

 

技术架构、应用模式的变化一定会伴生新的安全问题。据信通院调查数据显示，目前企业上云进行云原生化改造最大顾虑就是安全性，近七成用户对云原生技术在大规模应用时的安全性、可靠性、性能、连续性心存顾虑。

 

默安科技CTO云舒此前站在安全厂商一侧梳理云原生下的新挑战、新安全时认为：

 

1、在云原生环境下，业务系统的快速、成功发布是第一要务，在整个DevSecOps过程中，安全产品都必须做到高自动化、低误报，不能增加额外的用于安全检测的时间。安全产品要完全无摩擦的融入DevOPS体系中；

 

2、由于业务系统每天大量、快速地发布与迭代，容器的生命周期非常短暂。云原生需要更加敏捷的安全。传统的安全产品甚至无法感知容器的出生与消亡过程，更不用说做到安全风险的有效保护；

 

3、在云主机时代，业务部署与正式运行之间有一个窗口期，可以先部署好云主机，再部署好安全防护，最后部署业务。但是在云原生时代，业务系统部署与运行环境绑定，上线即运行，没有时间差。安全必须成为业务的基础属性，业务必须具备原生的安全能力；

 

4、微服务能够加快业务迭代速度，敏感数据在微服务之间通过API流动，带来了大量东西向流量的安全问题，传统的安全产品无法检测。

 

 

为了应对云原生带来的种种安全挑战，越来越多的组织正转向新的安全技术栈，默安科技CTO云舒告诉安全419，默安科技春季全新发布的云原生保护平台（CNPP， Cloud Native Protection Platform ）正是观察到了云原生所面临的新挑战、新安全而推出的全新云原生安全解决方案，CNPP结合了云原生本土化应用特点、发展现状，对云原生全面应用进行安全补足。

 

云舒表示，尚付CNPP在云环境、网络CNI、镜像仓库等方面都具备广泛兼容性。无论是公有云、私有云、混合云、虚拟化云还是容器云，都能够在统一的平台中使用同一种体验，呈现并管理所有资产及存在的安全风险。

 

据介绍，该平台基于“原生、左移、零信任”理念，具有DevSecOps、基础设施安全、微服务网络安全、工作负载安全，以及应用与数据安全五大核心功能；通过在统一的产品内，提供跨越多云的全生命周期、全栈的安全保护，给用户带来全所未有的安全可见性和管控性，并大幅降低对云原生这种极其复杂的业务系统提供保护能力的成本。

 

在业务全生命周期时间维度的可见和管控方面，尚付CNPP打通DevOps和容器云，让运维人员可以知道业务系统从代码、构建、分发、测试到部署每一步是在何时完成，存在什么样的安全风险。尚付CNPP在统一的CI/CD插件中，同时提供IaC安全扫描、SCA扫描、容器镜像安全扫描、IAST扫描等多种扫描能力，并突破性的将应用层的安全风险上下文信息与镜像指纹绑定，为后面的运营和管控提供更丰富的手段。

 

在全栈的空间维度可见和管控方面，尚付CNPP打通CSPM（云安全状态管理）和可以兼容容器和云主机的工作负载安全Agent，在统一的界面内展现公有云OSS、RDS等基础SaaS业务的配置错误与合规性，托管容器云与私有容器平台的配置错误与合规性，以及多云、混合云等云主机的安全问题。

 

 

信通院云原生安全专家杜岚此前基于长期观察与研究，分享过她对于云原生安全未来的发展趋势：

 

1、安全技术的主导力量从单边走向多元。云服务商与安全厂商势必将加强深度合作，结合双方在技术研究、人才储备、产品应用等方面的积累和经验；在云原生安全的不同赛道将衍生出更加专注于细分领域的安全服务商，进一步丰富和完善云原生安全生态。

 

2、安全理念以人为中心转向以服务为中心。传统安全侧重以人为主的防护策略，已经不能满足云原生实例频繁启停的生命周期变化以及海量的东西向流量交互；以服务为中心构建的容器安全防护措施，持续监控响应模型和可视化平台，将成为云原生安全防护的主流方案。

 

3、安全产品形态从粗暴上云转向与平台/应用深度融合。云原生安全将与云原生平台，应用深度融合，提供新型云原生信息基础设施的防护、检测和响应能力；并将云原生技术赋能于这些安全产品，应用和解决方案，实现进程级防护能力，微隔离访问控制，全流程实时监控响应，实现安全方案的内生配置和深度融合。

 

4、安全落地方案走向轻量化、敏捷化、精细化。随着容器部署的环节越来越复杂，运行实例生命周期越来越短，要求安全方案的反应必须迅速敏捷，及时发现容器启动，密切跟踪容器行为，并在发现异常时迅速反应；云原生提供的服务粒度越来越细，相应安全方案的防护粒度也需越来越细，从过去的容器粒度，到目前的函数粒度，未来可能是语句粒度、变量粒度。

 

安全419了解到，为推动云原生安全、云安全技术的落地，信通院目前在持续推动云原生相关标准的制定工作，其中容器安全标准经过多次会议正处于报批过程中，有望在今年推出；《云原生能力成熟度模型 第3部分：架构安全》标准征求意义稿已发布，首批试评估已启动。云原生应用保护平台框架指南，云原生安全能力的系列标准，包括API安全治理、云原生数据安全、云原生MSS等也处于立项或规划当中，未来云原生安全将依于实践，依于标准进一步快速发展。