陳屹力：未來云原生安全能力建設將強調體系化的安全防護 - 網安

隨著云計算技術的成熟與發展，越來越多企業加速“上云”進程，云原生應用也日益普及并開始承載企業核心生產系統。

近日，騰訊安全云鼎實驗室「安全大講堂」邀請中國信通院云大所云計算部副主任陳屹力，以“云原生安全發展現狀與趨勢分析”為主題，圍繞產業歷史沿革進行前瞻性的技術及行業趨勢分享，重點探討了當前云原生環境下主要的安全威脅、云原生安全防護體系建設以及云原生未來的發展趨勢。

隨著云計算的普及，云原生技術已經成為企業基礎架構主流的方案，其帶來的極致彈性能力、服務自治故障自愈能力以及大規模可復制能力，能進一步釋放企業數字基礎設施生產力，大幅提升應用迭代速度。根據中國信息通信研究院發布的《云原生用戶調查報告》顯示，60%以上的用戶已在生產環境中應用容器技術，80%的用戶已經使用或計劃使用微服務架構，近30%用戶的生產環境中應用了Serverless技術。

但云原生技術的廣泛應用也加深企業上云的安全顧慮，《云原生用戶調查報告》顯示，安全性連續兩年成為企業用戶的最大顧慮，2021年近7成用戶擔心在生產環境中大規模應用云原生技術時的安全性，隨后才是技術門檻高、與原有信息體系整合難、系統遷移難以及應用價值不明確。

數據來源：中國信息通信研究院《云原生用戶調查報告》

新變革帶來新風險，云原生安全威脅凸顯

云原生代表了容器編排、微服務架構、不可變基礎設施、聲明式API、基礎設施即代碼、持續交付、持續集成、DevOps等一系列新技術。云原生的安全風險包含云原生基礎架構自身的安全風險，以及上層應用云原生化改造后新增和擴大的安全風險。

其中，云原生基礎架構包含容器、DevOps工具鏈等。當前，容器化部署正在成為云原生計算環境風險的輸入源，在整個容器化部署過程中，云原生網絡增加了東西向流量互訪，避開了傳統南北向網絡防護，帶來安全隱患；編排組件自身漏洞及管理缺陷也增加容器安全風險；鏡像及鏡像倉庫模式，增加了軟件供應鏈的監管風險；容器運行時通過共享操作系統內核，提升了逃逸風險概率及影響范圍，容器生命周期縮短至分鐘級，顯著提升了應用管理難度。而DevOps在運行過程中存在設計、流程、管理和工具層面的風險，提升研運流程和安全管理的防范難度。

云原生化應用主要包括微服務、Serveries、以及顯著擴大的API應用規模。

微服務細粒度切分增加了云原生規模化應用風險，其中微服務入口點增加導致攻擊面增大、微服務調度復雜增加訪問控制難度帶來越權風險、微服務治理框架漏洞引入應用風險等。

Serverless模型包含了開發者開發、部署、運行的應用程序以及云計算供應商提供的Serverless支撐平臺等，其應用程序本身就固有安全風險，運行過程中則會帶來模型和平臺的管控風險。

云原生化后，從基礎架構層到上面的微服務業務層都有很多標準和非標準的API，爆發式增長導致API面臨分離管控和權限濫用等各方面的風險。

產研持續推進，云原生安全生態蓬勃發展

近年來，云原生技術受到了國內外相關企業、機構、組織和政府部門的廣泛關注。

國外云原生安全開源相關的項目持續增加，技術成果涌現，新興云原生安全企業不斷誕生。此外，美國國家標準與技術研究院（NIST）發布《容器安全指南》，美國政府聯邦風險和授權管理計劃（FedRAMP）發布了《容器漏洞掃描要求》，不斷推動容器安全標準合規化實踐。

國內，云原生技術的引入與能力建設主要集中在頭部云服務商、傳統安全企業還有新興安全企業。隨著生態逐步完善，將會有更多企業積極加入云原生安全賽道。當前，大部分企業用戶已經認識到云原生安全能力建設的重要性，據《云原生用戶調查報告》數據顯示，近七成企業計劃在未來一年內提升自身云原生環境的安全能力。

數據來源：中國信息通信研究院《云原生用戶調查報告》

國內技術產業和標準化研究也在持續推進，在信通院的牽頭下，云原生產業聯盟、云原生安全工作組相繼成立，并于2021年發布《云原生架構安全白皮書》，此外，信通院還發布了《基于容器的平臺安全能力要求》《云原生能力成熟度模型第3部分：云原生架構安全》兩個標準。

基于信通院的研究，云原生安全應遵循以下設計原則：

零信任：假設環境中隨時存在攻擊者，不能存在任何的隱形信任。通過細粒度拆分構建為邊界的架構模型，并通過執行策略限制消除數據、資產、應用程序和服務的隱式信任。
安全左移：在云原生安全建設初期，將安全投資更多地放到開發安全，包括安全編碼、供應鏈（軟件庫、開源軟件）安全、鏡像及鏡像倉庫安全等。
持續監控和響應：轉被動為主動，持續監控盡可能多的云原生環境，如網絡活動層、端點層、系統交互層等。同時應建立持續響應的防護機制，對攻擊進行迅速分析和處理，并建立數據收集池進行溯源追蹤，發現系統中的安全缺陷。
工作負載可觀測性：運用可視化工具發現和記錄容器快速變化的應用行為，清晰地觀察服務和中間件調用關系。為自動化的安全檢測提供詳細準確的運行狀態數據，為自動化的云原生安全提供充足的決策依據。

目前，云原生安全防護體系和模型處于不斷發展和成熟階段，信通院做的云原生安全防護體系，與業內HTCK防護模型稍有差異，包括云原生應用安全、云原生研發運營安全、云原生數據安全、云原生基礎架構安全和云原生基礎設施安全等五個維度。

信通院云安全防護體系

模型構建層面，信通院構建的云原生安全成熟度模型（CNMM-TAS），包括六大子項、四大理念，打造原生架構安全標準體系，涵蓋基礎設施安全、云計算環境安全、研發運營安全、云原生應用安全、數據安全、安全運維全鏈條、全生命周期安全防護能力。

云原生安全成熟度模型（CNMM-TAS）

模型按照CMM模式劃分5個評估等級，能針對不同的系統或者平臺提出要求，并診斷出現有企業當前云原生安全能力建設短板，定制化企業未來能力改進方向和計劃等。

體系化、精細化，云原生安全的未來挑戰

企業用戶在云原生安全領域的能力建設剛起步，更多聚焦容器安全。《云原生用戶調查報告》數據顯示57.96%的企業表示容器及編排系統的自身安全是最突出的云原生安全問題，55.74%的企業則表示容器網絡的安全問題為最突出問題。隨著企業云原生應用的增多和云原生安全技術的發展，企業云原生安全能力建設將從基礎設施層向云原生架構的全維度擴展，強調體系化的安全防護。

企業最突出的云原生安全問題（數據來源：中國信息通信研究院《云原生用戶調查報告》）

云原生安全作為新興交叉技術領域，需要云原生技術與安全技術的跨界融合。目前，技術提供方既有云服務商，也有安全廠商，企業內部也由多部門共同參與。未來云服務商與安全廠商勢必加強深度合作，結合雙方在技術研究，人才儲備，產品應用等方面的積累和經驗，在云原生安全的不同賽道將衍生出更加專注于細分領域的安全服務商，進一步豐富和完善云原生安全生態。

云原生安全產品形態多樣，容器化是重要部署方式。未來，云原生安全將與云原生平臺，應用進一步深度融合，提供新型原生新興基礎設施的防護、檢測和響應能力，并將云原生技術賦能于這些安全產品、應用和解決方案，實現進程級防護能力、微隔離訪問控制、全流程實施監控響應，實現安全方案的內生配置和深度融合。

傳統安全已經不能滿足云原生實例頻繁啟停的生命周期變化以及海量的東西向流量交互，側重以人為主的傳統安全防護策略將發生改變，以服務為中心構建的容器安全防護措施、持續監控響應模型、可視化平臺和一站式的安全運營，將成為云原生安全防護的主流方案。

安全落地方案也將走向輕量化、敏捷化、精細化。隨著容器部署的環境日益復雜、運行實例生命周期越來越短，安全方案的反應必須迅速敏捷，及時發現容器啟動，密切跟蹤容器行為，并在發現異常時迅速反應。云原生提供的服務粒度越來越細，相應的安全方案的防護粒度也需越來越細，從過去的容器粒度，到目前的函數粒度，未來可能是語句粒度、變量粒度。

云原生技術的使用與普及是數字時代發展的必然趨勢，而云原生技術使用環境日益復雜也是企業必須應對的挑戰。云上開發、云上迭代、云上運維的時代已經來臨，企業只有明確發展需求，掌握云原生技術模式和核心理念，才能真正的趨利避害，在復雜的網絡安全環境中生存和前進的同時，共同助推云原生技術往更深、更廣的領域實踐與發展。