隨著云計(jì)算技術(shù)的成熟與發(fā)展，越來越多企業(yè)加速“上云”進(jìn)程，云原生應(yīng)用也日益普及并開始承載企業(yè)核心生產(chǎn)系統(tǒng)。

近日，騰訊安全云鼎實(shí)驗(yàn)室「安全大講堂」邀請(qǐng)中國信通院云大所云計(jì)算部副主任陳屹力，以“云原生安全發(fā)展現(xiàn)狀與趨勢(shì)分析”為主題，圍繞產(chǎn)業(yè)歷史沿革進(jìn)行前瞻性的技術(shù)及行業(yè)趨勢(shì)分享，重點(diǎn)探討了當(dāng)前云原生環(huán)境下主要的安全威脅、云原生安全防護(hù)體系建設(shè)以及云原生未來的發(fā)展趨勢(shì)。

隨著云計(jì)算的普及，云原生技術(shù)已經(jīng)成為企業(yè)基礎(chǔ)架構(gòu)主流的方案，其帶來的極致彈性能力、服務(wù)自治故障自愈能力以及大規(guī)模可復(fù)制能力，能進(jìn)一步釋放企業(yè)數(shù)字基礎(chǔ)設(shè)施生產(chǎn)力，大幅提升應(yīng)用迭代速度。根據(jù)中國信息通信研究院發(fā)布的《云原生用戶調(diào)查報(bào)告》顯示，60%以上的用戶已在生產(chǎn)環(huán)境中應(yīng)用容器技術(shù)，80%的用戶已經(jīng)使用或計(jì)劃使用微服務(wù)架構(gòu)，近30%用戶的生產(chǎn)環(huán)境中應(yīng)用了Serverless技術(shù)。

但云原生技術(shù)的廣泛應(yīng)用也加深企業(yè)上云的安全顧慮，《云原生用戶調(diào)查報(bào)告》顯示，安全性連續(xù)兩年成為企業(yè)用戶的最大顧慮，2021年近7成用戶擔(dān)心在生產(chǎn)環(huán)境中大規(guī)模應(yīng)用云原生技術(shù)時(shí)的安全性，隨后才是技術(shù)門檻高、與原有信息體系整合難、系統(tǒng)遷移難以及應(yīng)用價(jià)值不明確。

?數(shù)據(jù)來源：中國信息通信研究院《云原生用戶調(diào)查報(bào)告》

新變革帶來新風(fēng)險(xiǎn)，云原生安全威脅凸顯

云原生代表了容器編排、微服務(wù)架構(gòu)、不可變基礎(chǔ)設(shè)施、聲明式API、基礎(chǔ)設(shè)施即代碼、持續(xù)交付、持續(xù)集成、DevOps等一系列新技術(shù)。云原生的安全風(fēng)險(xiǎn)包含云原生基礎(chǔ)架構(gòu)自身的安全風(fēng)險(xiǎn)，以及上層應(yīng)用云原生化改造后新增和擴(kuò)大的安全風(fēng)險(xiǎn)。

其中，云原生基礎(chǔ)架構(gòu)包含容器、DevOps工具鏈等。當(dāng)前，容器化部署正在成為云原生計(jì)算環(huán)境風(fēng)險(xiǎn)的輸入源，在整個(gè)容器化部署過程中，云原生網(wǎng)絡(luò)增加了東西向流量互訪，避開了傳統(tǒng)南北向網(wǎng)絡(luò)防護(hù)，帶來安全隱患；編排組件自身漏洞及管理缺陷也增加容器安全風(fēng)險(xiǎn)；鏡像及鏡像倉庫模式，增加了軟件供應(yīng)鏈的監(jiān)管風(fēng)險(xiǎn)；容器運(yùn)行時(shí)通過共享操作系統(tǒng)內(nèi)核，提升了逃逸風(fēng)險(xiǎn)概率及影響范圍，容器生命周期縮短至分鐘級(jí)，顯著提升了應(yīng)用管理難度。而DevOps在運(yùn)行過程中存在設(shè)計(jì)、流程、管理和工具層面的風(fēng)險(xiǎn)，提升研運(yùn)流程和安全管理的防范難度。

云原生化應(yīng)用主要包括微服務(wù)、Serveries、以及顯著擴(kuò)大的API應(yīng)用規(guī)模。

微服務(wù)細(xì)粒度切分增加了云原生規(guī)模化應(yīng)用風(fēng)險(xiǎn)，其中微服務(wù)入口點(diǎn)增加導(dǎo)致攻擊面增大、微服務(wù)調(diào)度復(fù)雜增加訪問控制難度帶來越權(quán)風(fēng)險(xiǎn)、微服務(wù)治理框架漏洞引入應(yīng)用風(fēng)險(xiǎn)等。

Serverless模型包含了開發(fā)者開發(fā)、部署、運(yùn)行的應(yīng)用程序以及云計(jì)算供應(yīng)商提供的Serverless支撐平臺(tái)等，其應(yīng)用程序本身就固有安全風(fēng)險(xiǎn)，運(yùn)行過程中則會(huì)帶來模型和平臺(tái)的管控風(fēng)險(xiǎn)。

云原生化后，從基礎(chǔ)架構(gòu)層到上面的微服務(wù)業(yè)務(wù)層都有很多標(biāo)準(zhǔn)和非標(biāo)準(zhǔn)的API，爆發(fā)式增長導(dǎo)致API面臨分離管控和權(quán)限濫用等各方面的風(fēng)險(xiǎn)。

產(chǎn)研持續(xù)推進(jìn)，云原生安全生態(tài)蓬勃發(fā)展

近年來，云原生技術(shù)受到了國內(nèi)外相關(guān)企業(yè)、機(jī)構(gòu)、組織和政府部門的廣泛關(guān)注。

國外云原生安全開源相關(guān)的項(xiàng)目持續(xù)增加，技術(shù)成果涌現(xiàn)，新興云原生安全企業(yè)不斷誕生。此外，美國國家標(biāo)準(zhǔn)與技術(shù)研究院（NIST）發(fā)布《容器安全指南》，美國政府聯(lián)邦風(fēng)險(xiǎn)和授權(quán)管理計(jì)劃（FedRAMP）發(fā)布了《容器漏洞掃描要求》，不斷推動(dòng)容器安全標(biāo)準(zhǔn)合規(guī)化實(shí)踐。

國內(nèi)，云原生技術(shù)的引入與能力建設(shè)主要集中在頭部云服務(wù)商、傳統(tǒng)安全企業(yè)還有新興安全企業(yè)。隨著生態(tài)逐步完善，將會(huì)有更多企業(yè)積極加入云原生安全賽道。當(dāng)前，大部分企業(yè)用戶已經(jīng)認(rèn)識(shí)到云原生安全能力建設(shè)的重要性，據(jù)《云原生用戶調(diào)查報(bào)告》數(shù)據(jù)顯示，近七成企業(yè)計(jì)劃在未來一年內(nèi)提升自身云原生環(huán)境的安全能力。

?

數(shù)據(jù)來源：中國信息通信研究院《云原生用戶調(diào)查報(bào)告》

國內(nèi)技術(shù)產(chǎn)業(yè)和標(biāo)準(zhǔn)化研究也在持續(xù)推進(jìn)，在信通院的牽頭下，云原生產(chǎn)業(yè)聯(lián)盟、云原生安全工作組相繼成立，并于2021年發(fā)布《云原生架構(gòu)安全白皮書》，此外，信通院還發(fā)布了《基于容器的平臺(tái)安全能力要求》《云原生能力成熟度模型 第3部分：云原生架構(gòu)安全》兩個(gè)標(biāo)準(zhǔn)。

基于信通院的研究，云原生安全應(yīng)遵循以下設(shè)計(jì)原則：

• 零信任：假設(shè)環(huán)境中隨時(shí)存在攻擊者，不能存在任何的隱形信任。通過細(xì)粒度拆分構(gòu)建為邊界的架構(gòu)模型，并通過執(zhí)行策略限制消除數(shù)據(jù)、資產(chǎn)、應(yīng)用程序和服務(wù)的隱式信任。

• 安全左移：在云原生安全建設(shè)初期，將安全投資更多地放到開發(fā)安全，包括安全編碼、供應(yīng)鏈（軟件庫、開源軟件）安全、鏡像及鏡像倉庫安全等。

• 持續(xù)監(jiān)控和響應(yīng)：轉(zhuǎn)被動(dòng)為主動(dòng)，持續(xù)監(jiān)控盡可能多的云原生環(huán)境，如網(wǎng)絡(luò)活動(dòng)層、端點(diǎn)層、系統(tǒng)交互層等。同時(shí)應(yīng)建立持續(xù)響應(yīng)的防護(hù)機(jī)制，對(duì)攻擊進(jìn)行迅速分析和處理，并建立數(shù)據(jù)收集池進(jìn)行溯源追蹤，發(fā)現(xiàn)系統(tǒng)中的安全缺陷。

• 工作負(fù)載可觀測(cè)性：運(yùn)用可視化工具發(fā)現(xiàn)和記錄容器快速變化的應(yīng)用行為，清晰地觀察服務(wù)和中間件調(diào)用關(guān)系。為自動(dòng)化的安全檢測(cè)提供詳細(xì)準(zhǔn)確的運(yùn)行狀態(tài)數(shù)據(jù)，為自動(dòng)化的云原生安全提供充足的決策依據(jù)。

目前，云原生安全防護(hù)體系和模型處于不斷發(fā)展和成熟階段，信通院做的云原生安全防護(hù)體系，與業(yè)內(nèi)HTCK防護(hù)模型稍有差異，包括云原生應(yīng)用安全、云原生研發(fā)運(yùn)營安全、云原生數(shù)據(jù)安全、云原生基礎(chǔ)架構(gòu)安全和云原生基礎(chǔ)設(shè)施安全等五個(gè)維度。

?信通院云安全防護(hù)體系

模型構(gòu)建層面，信通院構(gòu)建的云原生安全成熟度模型（CNMM-TAS），包括六大子項(xiàng)、四大理念，打造原生架構(gòu)安全標(biāo)準(zhǔn)體系，涵蓋基礎(chǔ)設(shè)施安全、云計(jì)算環(huán)境安全、研發(fā)運(yùn)營安全、云原生應(yīng)用安全、數(shù)據(jù)安全、安全運(yùn)維全鏈條、全生命周期安全防護(hù)能力。

?云原生安全成熟度模型（CNMM-TAS）

模型按照CMM模式劃分5個(gè)評(píng)估等級(jí)，能針對(duì)不同的系統(tǒng)或者平臺(tái)提出要求，并診斷出現(xiàn)有企業(yè)當(dāng)前云原生安全能力建設(shè)短板，定制化企業(yè)未來能力改進(jìn)方向和計(jì)劃等。

體系化、精細(xì)化，云原生安全的未來挑戰(zhàn)

企業(yè)用戶在云原生安全領(lǐng)域的能力建設(shè)剛起步，更多聚焦容器安全。《云原生用戶調(diào)查報(bào)告》數(shù)據(jù)顯示57.96%的企業(yè)表示容器及編排系統(tǒng)的自身安全是最突出的云原生安全問題，55.74%的企業(yè)則表示容器網(wǎng)絡(luò)的安全問題為最突出問題。隨著企業(yè)云原生應(yīng)用的增多和云原生安全技術(shù)的發(fā)展，企業(yè)云原生安全能力建設(shè)將從基礎(chǔ)設(shè)施層向云原生架構(gòu)的全維度擴(kuò)展，強(qiáng)調(diào)體系化的安全防護(hù)。

?

企業(yè)最突出的云原生安全問題（數(shù)據(jù)來源：中國信息通信研究院《云原生用戶調(diào)查報(bào)告》）

云原生安全作為新興交叉技術(shù)領(lǐng)域，需要云原生技術(shù)與安全技術(shù)的跨界融合。目前，技術(shù)提供方既有云服務(wù)商，也有安全廠商，企業(yè)內(nèi)部也由多部門共同參與。未來云服務(wù)商與安全廠商勢(shì)必加強(qiáng)深度合作，結(jié)合雙方在技術(shù)研究，人才儲(chǔ)備，產(chǎn)品應(yīng)用等方面的積累和經(jīng)驗(yàn)，在云原生安全的不同賽道將衍生出更加專注于細(xì)分領(lǐng)域的安全服務(wù)商，進(jìn)一步豐富和完善云原生安全生態(tài)。

云原生安全產(chǎn)品形態(tài)多樣，容器化是重要部署方式。未來，云原生安全將與云原生平臺(tái)，應(yīng)用進(jìn)一步深度融合，提供新型原生新興基礎(chǔ)設(shè)施的防護(hù)、檢測(cè)和響應(yīng)能力，并將云原生技術(shù)賦能于這些安全產(chǎn)品、應(yīng)用和解決方案，實(shí)現(xiàn)進(jìn)程級(jí)防護(hù)能力、微隔離訪問控制、全流程實(shí)施監(jiān)控響應(yīng)，實(shí)現(xiàn)安全方案的內(nèi)生配置和深度融合。

傳統(tǒng)安全已經(jīng)不能滿足云原生實(shí)例頻繁啟停的生命周期變化以及海量的東西向流量交互，側(cè)重以人為主的傳統(tǒng)安全防護(hù)策略將發(fā)生改變，以服務(wù)為中心構(gòu)建的容器安全防護(hù)措施、持續(xù)監(jiān)控響應(yīng)模型、可視化平臺(tái)和一站式的安全運(yùn)營，將成為云原生安全防護(hù)的主流方案。

安全落地方案也將走向輕量化、敏捷化、精細(xì)化。隨著容器部署的環(huán)境日益復(fù)雜、運(yùn)行實(shí)例生命周期越來越短，安全方案的反應(yīng)必須迅速敏捷，及時(shí)發(fā)現(xiàn)容器啟動(dòng)，密切跟蹤容器行為，并在發(fā)現(xiàn)異常時(shí)迅速反應(yīng)。云原生提供的服務(wù)粒度越來越細(xì)，相應(yīng)的安全方案的防護(hù)粒度也需越來越細(xì)，從過去的容器粒度，到目前的函數(shù)粒度，未來可能是語句粒度、變量粒度。

云原生技術(shù)的使用與普及是數(shù)字時(shí)代發(fā)展的必然趨勢(shì)，而云原生技術(shù)使用環(huán)境日益復(fù)雜也是企業(yè)必須應(yīng)對(duì)的挑戰(zhàn)。云上開發(fā)、云上迭代、云上運(yùn)維的時(shí)代已經(jīng)來臨，企業(yè)只有明確發(fā)展需求，掌握云原生技術(shù)模式和核心理念，才能真正的趨利避害，在復(fù)雜的網(wǎng)絡(luò)安全環(huán)境中生存和前進(jìn)的同時(shí)，共同助推云原生技術(shù)往更深、更廣的領(lǐng)域?qū)嵺`與發(fā)展。

總結(jié)

以上是生活随笔為你收集整理的安全大讲堂 | 陈屹力：未来云原生安全能力建设将强调体系化的安全防护的全部內(nèi)容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯(cuò)，歡迎將生活随笔推薦給好友。