浅谈云原生安全

在说云原生安全的话题之前，我们先了解云原生是什么？

云原生是一类技术的统称，通过云原生技术，我们可以构建出更易于弹性扩展的应用程序。这些应用可以被运行在不同的环境当中，比如说私有云、公有云、混合云、还有多云的场景。它包含了当前业界的一些热门的技术，比如容器、DevOps、微服务、服务网格、Serverless、API 管理等。通过云原生技术构建出来的应用程序，称之为云原生应用，底层基础架构的耦合比较轻，因此易于迁移，它可以充分地利用云所提供的能力，因此云原生应用的开发、部署、管理相对于传统的应用程序更加高效和便捷。

云原生发展趋势和定义什么样子的？

2013 年 Pivotal 公司首次提出了云原生概念。而在 2015 年时，Pivotal 公司在其所撰写的书中第一次正式定义了云原生的五个因素：

• 符合云原生应用 12 因素

• 面向微服务架构

• 自服务敏捷架构

• 基于 API 的协作

• 具有抗脆弱性

能满足以上五个特性就属于云原生应用。

云原生发展的一个重要节点就是 CNCF 基金会成立，2015 年云原生计算基金会（CNCF）成立，CNCF 在成立之初便对云原生进行了定义：

• 应用容器化

• 面向微服务架构

• 应用支持容器的编排调度

只要满足以上三个方向的特性，就属于云原生的应用。

2018 年，随着云原生技术的发展，CNCF 根据最新的云原生基础架构设施，重新对云原生进行了定义：

• 容器化

• 服务网格

• 微服务

• 不可变的基础设施

• 声明式的 API

只要满足以上五个方向的特性就属于云原生应用了。

了解完云原生是什么了，那么，云原生安全又是什么？它能解决哪些问题呢？

云原生环境中的各类安全风险日益频发，云上的对抗也成为现实，越来越多的企业开始探讨如何设计、规划云原生环境中的安全架构，部署相应的安全能力。与云计算安全相似，云原生安全也包含两层含义：“面向云原生环境的安全”和“具有云原生特征的安全”。公认的云原生安全分为 4 个方面，分别是云（Cloud）、集群（Cluster）、容器（Container）和代码（Code）。这种分层方法增强了深度防护方法在安全性方面的防御能力，该方法被广泛认为是保护软件系统的最佳实践。

云原生安全模型的每一层都是基于下一个最外层，代码层受益于强大的基础安全层（云、集群、容器），传统模式都是通过代码层解决安全问题，而在云原生时代无法通过在代码层解决安全问题来为基础层中的安全标准提供保护。

云原生安全技术有哪些？

早期的云原生安全技术主要集中在容器、微服务、DevOps 等领域，现如今已经扩展至容器编排及管理、监测分析等细分领域。

市面上主流的做法是集成镜像容器安全管理平台，覆盖整个云原生安全，涉及镜像、容器、集群、微服务以及 DevSecOps，主要提供镜像的漏洞扫描及管理、容器的动态检测与防护、K8s 集群的安全检测及防护、微服务的发现和安全检测，同时产品也较方便地集成到了 DevOps 流程中。

关于 HummerRisk

HummerRisk 是开源的云原生安全平台，以非侵入的方式解决云原生的安全和治理问题。核心能力包括混合云的安全治理和 K8S 容器云安全检测。

访问项目地址了解试用：

https://github.com/HummerRisk/HummerRisk