安全大讲堂 | 陈屹力：未来云原生安全能力建设将强调体系化的安全防护

随着云计算技术的成熟与发展，越来越多企业加速“上云”进程，云原生应用也日益普及并开始承载企业核心生产系统。

近日，腾讯安全云鼎实验室「安全大讲堂」邀请中国信通院云大所云计算部副主任陈屹力，以“云原生安全发展现状与趋势分析”为主题，围绕产业历史沿革进行前瞻性的技术及行业趋势分享，重点探讨了当前云原生环境下主要的安全威胁、云原生安全防护体系建设以及云原生未来的发展趋势。

随着云计算的普及，云原生技术已经成为企业基础架构主流的方案，其带来的极致弹性能力、服务自治故障自愈能力以及大规模可复制能力，能进一步释放企业数字基础设施生产力，大幅提升应用迭代速度。根据中国信息通信研究院发布的《云原生用户调查报告》显示，60%以上的用户已在生产环境中应用容器技术，80%的用户已经使用或计划使用微服务架构，近 30%用户的生产环境中应用了 Serverless 技术。

但云原生技术的广泛应用也加深企业上云的安全顾虑，《云原生用户调查报告》显示，安全性连续两年成为企业用户的最大顾虑，2021 年近 7 成用户担心在生产环境中大规模应用云原生技术时的安全性，随后才是技术门槛高、与原有信息体系整合难、系统迁移难以及应用价值不明确。

数据来源：中国信息通信研究院《云原生用户调查报告》

新变革带来新风险，云原生安全威胁凸显

云原生代表了容器编排、微服务架构、不可变基础设施、声明式 API、基础设施即代码、持续交付、持续集成、DevOps 等一系列新技术。云原生的安全风险包含云原生基础架构自身的安全风险，以及上层应用云原生化改造后新增和扩大的安全风险。

其中，云原生基础架构包含容器、DevOps 工具链等。当前，容器化部署正在成为云原生计算环境风险的输入源，在整个容器化部署过程中，云原生网络增加了东西向流量互访，避开了传统南北向网络防护，带来安全隐患；编排组件自身漏洞及管理缺陷也增加容器安全风险；镜像及镜像仓库模式，增加了软件供应链的监管风险；容器运行时通过共享操作系统内核，提升了逃逸风险概率及影响范围，容器生命周期缩短至分钟级，显著提升了应用管理难度。而 DevOps 在运行过程中存在设计、流程、管理和工具层面的风险，提升研运流程和安全管理的防范难度。

云原生化应用主要包括微服务、Serveries、以及显著扩大的 API 应用规模。

微服务细粒度切分增加了云原生规模化应用风险，其中微服务入口点增加导致攻击面增大、微服务调度复杂增加访问控制难度带来越权风险、微服务治理框架漏洞引入应用风险等。

Serverless 模型包含了开发者开发、部署、运行的应用程序以及云计算供应商提供的 Serverless 支撑平台等，其应用程序本身就固有安全风险，运行过程中则会带来模型和平台的管控风险。

云原生化后，从基础架构层到上面的微服务业务层都有很多标准和非标准的 API，爆发式增长导致 API 面临分离管控和权限滥用等各方面的风险。

产研持续推进，云原生安全生态蓬勃发展

近年来，云原生技术受到了国内外相关企业、机构、组织和政府部门的广泛关注。

国外云原生安全开源相关的项目持续增加，技术成果涌现，新兴云原生安全企业不断诞生。此外，美国国家标准与技术研究院（NIST）发布《容器安全指南》，美国政府联邦风险和授权管理计划（FedRAMP）发布了《容器漏洞扫描要求》，不断推动容器安全标准合规化实践。

国内，云原生技术的引入与能力建设主要集中在头部云服务商、传统安全企业还有新兴安全企业。随着生态逐步完善，将会有更多企业积极加入云原生安全赛道。当前，大部分企业用户已经认识到云原生安全能力建设的重要性，据《云原生用户调查报告》数据显示，近七成企业计划在未来一年内提升自身云原生环境的安全能力。

数据来源：中国信息通信研究院《云原生用户调查报告》

国内技术产业和标准化研究也在持续推进，在信通院的牵头下，云原生产业联盟、云原生安全工作组相继成立，并于 2021 年发布《云原生架构安全白皮书》，此外，信通院还发布了《基于容器的平台安全能力要求》《云原生能力成熟度模型 第 3 部分：云原生架构安全》两个标准。

基于信通院的研究，云原生安全应遵循以下设计原则：

• 零信任：假设环境中随时存在攻击者，不能存在任何的隐形信任。通过细粒度拆分构建为边界的架构模型，并通过执行策略限制消除数据、资产、应用程序和服务的隐式信任。

• 安全左移：在云原生安全建设初期，将安全投资更多地放到开发安全，包括安全编码、供应链（软件库、开源软件）安全、镜像及镜像仓库安全等。

• 持续监控和响应：转被动为主动，持续监控尽可能多的云原生环境，如网络活动层、端点层、系统交互层等。同时应建立持续响应的防护机制，对攻击进行迅速分析和处理，并建立数据收集池进行溯源追踪，发现系统中的安全缺陷。

• 工作负载可观测性：运用可视化工具发现和记录容器快速变化的应用行为，清晰地观察服务和中间件调用关系。为自动化的安全检测提供详细准确的运行状态数据，为自动化的云原生安全提供充足的决策依据。

目前，云原生安全防护体系和模型处于不断发展和成熟阶段，信通院做的云原生安全防护体系，与业内 HTCK 防护模型稍有差异，包括云原生应用安全、云原生研发运营安全、云原生数据安全、云原生基础架构安全和云原生基础设施安全等五个维度。

信通院云安全防护体系

模型构建层面，信通院构建的云原生安全成熟度模型（CNMM-TAS），包括六大子项、四大理念，打造原生架构安全标准体系，涵盖基础设施安全、云计算环境安全、研发运营安全、云原生应用安全、数据安全、安全运维全链条、全生命周期安全防护能力。

云原生安全成熟度模型（CNMM-TAS）

模型按照 CMM 模式划分 5 个评估等级，能针对不同的系统或者平台提出要求，并诊断出现有企业当前云原生安全能力建设短板，定制化企业未来能力改进方向和计划等。

体系化、精细化，云原生安全的未来挑战

企业用户在云原生安全领域的能力建设刚起步，更多聚焦容器安全。《云原生用户调查报告》数据显示 57.96%的企业表示容器及编排系统的自身安全是最突出的云原生安全问题，55.74%的企业则表示容器网络的安全问题为最突出问题。随着企业云原生应用的增多和云原生安全技术的发展，企业云原生安全能力建设将从基础设施层向云原生架构的全维度扩展，强调体系化的安全防护。

企业最突出的云原生安全问题（数据来源：中国信息通信研究院《云原生用户调查报告》）

云原生安全作为新兴交叉技术领域，需要云原生技术与安全技术的跨界融合。目前，技术提供方既有云服务商，也有安全厂商，企业内部也由多部门共同参与。未来云服务商与安全厂商势必加强深度合作，结合双方在技术研究，人才储备，产品应用等方面的积累和经验，在云原生安全的不同赛道将衍生出更加专注于细分领域的安全服务商，进一步丰富和完善云原生安全生态。

云原生安全产品形态多样，容器化是重要部署方式。未来，云原生安全将与云原生平台，应用进一步深度融合，提供新型原生新兴基础设施的防护、检测和响应能力，并将云原生技术赋能于这些安全产品、应用和解决方案，实现进程级防护能力、微隔离访问控制、全流程实施监控响应，实现安全方案的内生配置和深度融合。

传统安全已经不能满足云原生实例频繁启停的生命周期变化以及海量的东西向流量交互，侧重以人为主的传统安全防护策略将发生改变，以服务为中心构建的容器安全防护措施、持续监控响应模型、可视化平台和一站式的安全运营，将成为云原生安全防护的主流方案。

安全落地方案也将走向轻量化、敏捷化、精细化。随着容器部署的环境日益复杂、运行实例生命周期越来越短，安全方案的反应必须迅速敏捷，及时发现容器启动，密切跟踪容器行为，并在发现异常时迅速反应。云原生提供的服务粒度越来越细，相应的安全方案的防护粒度也需越来越细，从过去的容器粒度，到目前的函数粒度，未来可能是语句粒度、变量粒度。

云原生技术的使用与普及是数字时代发展的必然趋势，而云原生技术使用环境日益复杂也是企业必须应对的挑战。云上开发、云上迭代、云上运维的时代已经来临，企业只有明确发展需求，掌握云原生技术模式和核心理念，才能真正的趋利避害，在复杂的网络安全环境中生存和前进的同时，共同助推云原生技术往更深、更广的领域实践与发展。