2022年6月21日，由中国信息通信研究院（以下简称“中国信通院”）、中国通信标准化协会主办的“2022云原生产业大会——云原生安全论坛”成功召开。默安科技安全研究院院长程进亮相论坛，并以“云原生安全之变”为主题进行了分享。

　　程进的分享从云原生带来的改变、国际定义的云原生安全体系、云原生安全体系能力落地三个部分展开。

　　一、云原生带来的改变

　　IT数字化转型经历了三个阶段：

　　1、 服务器：碎片化的物理服务器，软硬件割裂，以“设备”为中心。

　　2、 云化：统一化资源池，软件迁移上云，以“资源”为中心。

　　3、云原生：统一云原生基础设施，软件云原生架构，以“应用”为中心。

　　在云计算时代，资源变得自动化，云改变了基础设施和运维，但没有改变传统的架构，仅仅将传统方案复制到云上，业务系统发布和变更迭代的速度并没有得到很大的提升。

　　而在云原生时代，随着应用的自动化，云进一步改变了业务的生产方式，支持快速更改、大规模操作和复原能力，实现了可复原、可管理、可观察的松散耦合系统，资源获取总体成本降低。现阶段很多组织会形成云原生与云计算共存的过渡期业务架构，从云到云原生，不同，却不可分割。

　　二、国际定义的云原生安全体系

　　在云原生体系中需要具备什么样安全能力？程进介绍了三种国际上对云原生安全体系的定义方式，分别来自CNCF（云原生计算基金会）、Gartner和中国信通院。

　　01CNCF

　　CNCF云原生安全白皮书从四个阶段描述了云原生安全工作：

　　开发阶段：包含代码扫描、IAST检查、SCA第三方组件检查等；

　　分发阶段：包含镜像检查、防篡改、保密性等；

　　部署阶段：包含部署准入控制、部署后环境检查等；

　　运行时阶段：包含基础设施检查、工作负载保护、网络层面、应用层面的安全防护等。

　　02Gartner

　　Gartner将云原生安全划分为DevSecOps、CSPM、CIEM、CWPP等不同领域，各领域的安全能力和CNCF相近，比较特殊的是在CIEM领域还包含了云的权限、账号层面的安全检查。

　　03中国信通院

　　中国信通院则从云原生架构层面定义了云原生安全体系：

　　从底层的基础设施安全（包括计算安全、网络安全、存储安全），到中间层的云原生计算环境安全（包括网络安全、编排及组件安全、镜像安全、运行时安全），再到最顶层的云原生应用安全、研发运营安全、数据安全，信通院对于云原生的安全能力要求同样涉及多个方面。

　　三、云原生安全体系有了，怎么落地是关键

　　基于以上三个权威机构对云原生安全体系的定义，默安科技从结构层面及全生命周期的角度思考出一套可落地的云原生安全防护思路。以信通院发布的云原生架构安全防护模型为参考，默安科技把云原生安全能力划分为五个部分：

图 云原生安全的建设内容

　　01基础设施安全

　　云原生基础设施包含承载云原生环境的云主机、云原生需要应用到的编排环境、容器、Serverless平台等。建立云原生安全体系，首先要进行基础设施安全的左移， 包括IAC扫描、编排环境和容器的漏洞检查，同时由于云的配置安全问题往往由人为造成，通过多云安全的配置检查（CSPM）来解决基础设施云平台和云主机层面的一些安全问题也尤为重要。

图 基础设施安全工作内容

　　02工作负载保护

　　工作负载保护包含了云主机、容器和Serverless三个部分。云主机的安全能力可以参照Gartner提出的云主机安全能力模型图。值得注意的是，防病毒能力被认为是可选项而非必须项，原因是工作负载越来越轻量化，很难去运行防病毒的软件了。同时工作负载里面所运行的进程，网络文件行为相对固定，不可预测性降低，导致过去入侵检测黑名单的控制形式逐渐被现在的白名单控制机制所代替。

　　容器安全贯穿开发阶段、部署阶段和运行时阶段，包含了镜像扫描、Dockerfile扫描、CI/CD集成、容器基线扫描、容器准入、镜像签名、容器内威胁检测与响应（包含容器逃逸）、容器白名单（进程、网络、文件等）、容器网络威胁检测与响应等各个方面的安全治理。

　　Serverless既面临传统的应用安全问题，也面临比如函数权限这类新的安全问题，通过采取在应用中嵌入组件，或为运行的应用过滤请求等保护措施来进行安全保护。

　　03 微服务安全

　　微服务安全主要包含两个方面：一是微服务的调用关系，将调用关系可视化以方便治理；二是微服务之间的访问控制，通过控制微服务的访问频率、访问权限，检测微服务访问过程中的异常行为，从而提升其安全能力。

　　04应用与数据安全

　　应用安全包含应用的防护和应用的治理。应用防护主要是云原生WAF，实现方式有两种：Envoy Filter、白名单请求控制。通过POD或微服务的粒度来启用WAF防护，可以通过对POD打上相关标签，按需启用WAF能力，而不是只在流量出入口进行防护。这种方式能够感知服务->服务之间的流量，进行检测与响应，同时WAF的控制粒度可以细化到单个微服务或者POD，不仅能抵御内对内的攻击，也能够对外对内的攻击行为进行防护，因为流量最终还是落到POD中，可以兼容南北向攻击。

　　应用治理分为上文提到的微服务治理以及API治理，API治理包含了API的自动发现和API的控制和治理。除了基于流量的自动发现，还可以利用多种工具实现云原生应用生命周期各个过程中的API自动发现。对API的控制，则主要是频率、参数、访问权限调用关系等等的控制。

　　05DevSecOps

　　DevSecOps作为云原生安全体系中必不可少的一环，应当包含SCA（软件成分分析）、镜像安全、IAST（交互式应用安全检测）、CI/CD（持续集成持续分发）。由于整个云原生强调DevSecOps的集成性和大一统关联性，如果云原生的开发过程和运行时过程的数据能够无缝衔接到一起，比如能够知道一个应用在开发过程中，跑在哪条流水线上、检查出哪些风险、被发布到哪些机器和资源上，如此才是符合云原生体系能力需求的安全平台。

　　结语

　　默安科技自成立之初，就开始在DevSecOps、CWPP等领域的布局，经过多年沉淀，成为国内DevSecOps领域的优秀产品和方案提供商，加上公司对容器安全、CSPM等方面的产品创新，在2022年正式推出了“尚付 CNAPP云原生保护平台”，帮助客户打造完整、体系化的云原生安全解决方案。默安科技在云原生安全领域不断积极探索，希望能够帮助广大政企客户建设更安全、更稳定的云原生体系。