2022云技術(shù)峰會(huì)上，某業(yè)界大佬在演講中表示，云原生正成為企業(yè)上云的首選，全面云原生的時(shí)代正在來臨。

容器、微服務(wù)等技術(shù)的應(yīng)用，不僅重新定義了云上的開發(fā)運(yùn)營(yíng)體系，加快了業(yè)務(wù)上線和變更的速度，云的使用變得比以往更加便捷、高效。

云原生在給企業(yè)帶來敏捷的同時(shí)，也引入了全新的安全風(fēng)險(xiǎn)和挑戰(zhàn)。與傳統(tǒng)的安全防護(hù)能力不同，云原生安全需要安全能力和云原生平臺(tái)緊密結(jié)合，安全必須集成到持續(xù)集成和持續(xù)開發(fā)流程中，真正成為內(nèi)生安全。

現(xiàn)在很多人將云原生安全稱為云安全的下半場(chǎng)、云安全的未來，足見其重要程度。云原生時(shí)代，安全究竟該怎么做呢？

作為國(guó)內(nèi)云安全領(lǐng)域，市場(chǎng)占有率多年領(lǐng)先的安全廠商（根據(jù)賽迪顧問相關(guān)報(bào)告數(shù)據(jù)），奇安信同樣在積極尋求變化，以滿足云安全合規(guī)之后，客戶對(duì)云原生安全的迫切需求。

現(xiàn)實(shí)：兩成用戶無云原生安全防護(hù)能力

2022年7月，作為工信部直屬科研事業(yè)單位的中國(guó)信息通信研究院，發(fā)布了《云計(jì)算白皮書（2022年）》。白皮書顯示，中國(guó)云計(jì)算市場(chǎng)在2021年仍保持高速增長(zhǎng)，市場(chǎng)規(guī)模達(dá)3,299億元，較2020年增長(zhǎng)54.4%?！丁笆奈濉睌?shù)字經(jīng)濟(jì)發(fā)展規(guī)劃》的發(fā)布、工信部《企業(yè)上云用云實(shí)施指南（2022）》編纂工作的啟動(dòng)等對(duì)政企深度上云用云的政策性指引，形成了2021年中國(guó)特色云計(jì)算產(chǎn)業(yè)發(fā)展的大背景。

技術(shù)方面，白皮書認(rèn)為，2021年的突出特點(diǎn)，在于云原生正通過改進(jìn)企業(yè)的IT技術(shù)和基礎(chǔ)設(shè)施，持續(xù)加速企業(yè)IT要素的變革，成為企業(yè)用云的新范式。具體來看，表現(xiàn)在云原生生態(tài)的日趨完善、能力模型的日漸豐富、與企業(yè)IT建設(shè)目標(biāo)和要素深度融合三大方面。

中國(guó)云原生技術(shù)的實(shí)際應(yīng)用情況，中國(guó)信通院云原生產(chǎn)業(yè)聯(lián)盟（CNIA）也連續(xù)多年，以問卷、訪談結(jié)合的形式對(duì)多行業(yè)用戶進(jìn)行了統(tǒng)計(jì)。管中窺豹，從最新的《中國(guó)云原生用戶調(diào)查報(bào)告（2021年）》中，我們能夠看到以下四個(gè)云原生應(yīng)用的重要趨勢(shì)：

• 混合云部署增長(zhǎng)明顯。僅15.74%的用戶沒有使用多云/混合云的計(jì)劃。

• 容器用戶生產(chǎn)環(huán)境中的采納率再創(chuàng)新高。接近七成用戶在生產(chǎn)環(huán)境中使用了容器技術(shù)，45.48%的用戶已將容器用于核心生產(chǎn)環(huán)境。

• 微服務(wù)架構(gòu)獲得用戶普遍認(rèn)可。已經(jīng)使用及計(jì)劃使用微服務(wù)架構(gòu)的用戶超過八成，54.81%的用戶已經(jīng)使用微服務(wù)架構(gòu)進(jìn)行應(yīng)用開發(fā)。

• 無服務(wù)器技術(shù)持續(xù)升溫。近四成用戶已在生產(chǎn)環(huán)境中應(yīng)用無服務(wù)器，18.11%的用戶已將Serverless技術(shù)用于核心業(yè)務(wù)的生產(chǎn)環(huán)境。

或許是因?yàn)橛性瓢踩燃?jí)保護(hù)等合規(guī)基礎(chǔ)，云原生技術(shù)在中國(guó)市場(chǎng)大放異彩的同時(shí)，云原生安全并沒有被忽視。報(bào)告顯示，近7成用戶對(duì)云原生技術(shù)在大規(guī)模應(yīng)用時(shí)的安全性、可靠性、性能、連續(xù)性心存顧慮。容器逃逸、微服務(wù)和API的安全是企業(yè)最關(guān)心的云原生安全問題。近六成的企業(yè)表示，容器及其編排系統(tǒng)自身的安全已成為最突出的云原生安全隱患。

企業(yè)最關(guān)心的云原生安全問題

中國(guó)用戶普遍已經(jīng)開始對(duì)云原生安全產(chǎn)生擔(dān)憂，但從安全投入和能力建設(shè)角度看，現(xiàn)狀又仍顯不足，甚至可以說尚在起步階段。報(bào)告顯示，仍有約兩成用戶目前無任何針對(duì)云原生技術(shù)的防護(hù)能力。僅有四成用戶具備對(duì)鏡像的漏洞掃描能力和容器運(yùn)行時(shí)入侵檢測(cè)能力，具備對(duì)云原生集群的安全監(jiān)控與審計(jì)能力的用戶不到五成。企業(yè)人員架構(gòu)層面，僅有12.04%的受訪者表示，所在企業(yè)有單獨(dú)的信息安全部門來處理云原生安全問題。

這就是2021年，中國(guó)云原生和云原生安全不容樂觀的大致現(xiàn)狀。同時(shí)，這也給了云服務(wù)商、傳統(tǒng)和初創(chuàng)安全廠商在云原生安全這個(gè)角力場(chǎng)施展拳腳的空間。

云原生的安全，還是安全的云原生化？

網(wǎng)絡(luò)安全產(chǎn)業(yè)的某一細(xì)分領(lǐng)域，如果在領(lǐng)域定義、市場(chǎng)需求、產(chǎn)品類型等方面都不夠明確、統(tǒng)一的情況下，哪方能有更大的話語(yǔ)影響力，哪方就能更多的占據(jù)主動(dòng)，影響甚至教育市場(chǎng)。近10年前的工控安全，目前的云原生安全，都是處于這樣一個(gè)形勢(shì)下。

觀察當(dāng)前云原生安全市場(chǎng)情況，更多是互聯(lián)網(wǎng)公司起家的云服務(wù)商，和安全廠商兩方的市場(chǎng)角力。安全廠商又可以分為傳統(tǒng)安全廠商和專注云原生安全賽道的初創(chuàng)企業(yè)兩類。

兩方的觀點(diǎn)和優(yōu)勢(shì)也是非常鮮明。

云服務(wù)商的積累優(yōu)勢(shì)在于自身全棧的云服務(wù)技術(shù)架構(gòu)、豐富的云服務(wù)產(chǎn)品以及廣泛的客戶基礎(chǔ)，更強(qiáng)調(diào)安全與云原生基礎(chǔ)設(shè)施的深度融合。通過將安全能力與自家技術(shù)架構(gòu)、服務(wù)產(chǎn)品的深度綁定，強(qiáng)調(diào)云原生安全不再外掛，隨云而動(dòng)，更靈活更細(xì)粒度的安全能力和更好的安全體驗(yàn)。

無疑，這是將安全云原生化，進(jìn)而讓安全像空氣一樣，在自家的云服務(wù)體系中無處不在。對(duì)于云服務(wù)商而言，云是大局，安全的云是核心。

安全廠商則不然。云原生技術(shù)當(dāng)前的應(yīng)用推廣不是迭代式，相對(duì)的云原生安全未來數(shù)年大概率還只是會(huì)作為云安全市場(chǎng)的重要補(bǔ)充。同時(shí)，有一定體量、規(guī)模的安全廠商，業(yè)務(wù)一般會(huì)涉及云安全之外其他領(lǐng)域。所以，安全廠商的核心優(yōu)勢(shì)，在于安全能力、專業(yè)人員、服務(wù)流程的積累，所以更強(qiáng)調(diào)安全的目標(biāo)和保護(hù)對(duì)象。

所以，對(duì)于安全廠商而言，云原生安全當(dāng)前更多是面向云原生環(huán)境和應(yīng)用的安全。

此外，云原生安全與當(dāng)前的云安全，有著明顯的區(qū)別和必然的聯(lián)系。無論是因?yàn)榘踩奶厥鈱傩?，還是為了規(guī)范市場(chǎng)、拉齊能力底線，進(jìn)入合規(guī)也是云原生安全必然的發(fā)展方向。換言之，合規(guī)的缺位也是當(dāng)前制約云原生安全市場(chǎng)快速發(fā)展的重要因素。

研究2019年發(fā)布的等保2.0系列標(biāo)準(zhǔn)中針對(duì)云計(jì)算的安全擴(kuò)展要求，不難發(fā)現(xiàn)，虛擬化環(huán)境是當(dāng)時(shí)主要考慮的。從安全角度做好對(duì)云原生環(huán)境中容器、微服務(wù)等技術(shù)，以及貫穿云原生應(yīng)用全生命周期的DevSecOps的支持，而不局限于某個(gè)特定云服務(wù)商的技術(shù)與產(chǎn)品體系，以更加合理的應(yīng)對(duì)客戶越來越多的混合云（不同云服務(wù)商參與）的部署場(chǎng)景，是安全廠商在理解云原生安全時(shí)更多考慮的。

制衡與內(nèi)生：奇安信云原生安全關(guān)鍵詞

作為成功實(shí)現(xiàn)2022年北京冬奧及冬殘奧會(huì)網(wǎng)絡(luò)安全“零事故”的全線安全廠商，奇安信對(duì)云原生安全理念，可以歸結(jié)為兩個(gè)關(guān)鍵詞：制衡、內(nèi)生。他們都不是新詞，但是在云原生時(shí)代，有了新的安全內(nèi)涵。

先說“制衡”。網(wǎng)絡(luò)安全工作的制衡，無論是通過技術(shù)手段還是管理手段，核心都不是制約而是平衡，目的是要保障網(wǎng)絡(luò)安全實(shí)現(xiàn)零事故目標(biāo)，即業(yè)務(wù)不中斷、數(shù)據(jù)不出事、合規(guī)不踩線。

云安全的制衡，主要體現(xiàn)在云服務(wù)商、云上租戶與安全廠商三者之間。業(yè)界耳熟能詳?shù)摹霸朴?jì)算安全責(zé)任共擔(dān)模型”，最能恰如其分的體現(xiàn)云安全三方制衡的理念。該模型對(duì)IaaS、PaaS、SaaS三種服務(wù)模式剖析云服務(wù)參與主體需要承擔(dān)的安全責(zé)任，對(duì)應(yīng)行業(yè)標(biāo)準(zhǔn)（YD/T 4060—2022）由中國(guó)信通院牽頭制定，并已于2022年7月正式發(fā)布施行。

云計(jì)算安全責(zé)任共擔(dān)模型

發(fā)生勒索、挖礦、數(shù)據(jù)泄露等安全事件，最終蒙受財(cái)務(wù)和聲譽(yù)損失的是云服務(wù)客戶。所以對(duì)于云服務(wù)客戶而言，明確自身責(zé)任內(nèi)的云安全能力真實(shí)建設(shè)情況與實(shí)際運(yùn)營(yíng)效果，應(yīng)該成為合規(guī)外的重要驅(qū)動(dòng)力。這不僅有助于真正降低云安全事件發(fā)生的概率，更有助于產(chǎn)生經(jīng)濟(jì)損失后的定責(zé)。

要實(shí)現(xiàn)此目標(biāo)，客戶自然可以根據(jù)自身需求和實(shí)際市場(chǎng)情況，自由選擇云安全能力提供方進(jìn)行采購(gòu)。但是，既然責(zé)任整體一分為二，那么承擔(dān)另一部分責(zé)任的云服務(wù)商理應(yīng)避嫌。這一是出于讓責(zé)任邊界更清晰，方便客戶對(duì)供應(yīng)商進(jìn)行管理的考量，二是不能讓“共擔(dān)”這一業(yè)界共識(shí)名不副實(shí)，無法實(shí)現(xiàn)共擔(dān)背后的重要意義。

但我們看到的市場(chǎng)現(xiàn)狀是，部分云服務(wù)商在部分項(xiàng)目上對(duì)安全的大包大攬。云原生安全亦是如此。設(shè)想如果云服務(wù)客戶的安全責(zé)任，也全部由云服務(wù)商或和其有利益關(guān)系的安全廠商承擔(dān)，一旦出現(xiàn)安全事件，客戶能否第一時(shí)間得知真實(shí)詳情？事后如何保證定性、追責(zé)的客觀性？

當(dāng)然，這不是說云服務(wù)商不要和安全廠商合作。恰恰相反，一個(gè)開放的生態(tài)，云服務(wù)商、安全廠商、客戶三方的積極參與和務(wù)實(shí)合作，才能讓客戶云安全工作的管理有抓手，云上安全事件的應(yīng)對(duì)底線有保障，對(duì)關(guān)鍵業(yè)務(wù)系統(tǒng)、核心生產(chǎn)環(huán)境的上云用云真正放心。

再說“內(nèi)生”。如果說信息化時(shí)代，安全處在伴生的位置。在數(shù)字化時(shí)代，安全應(yīng)保持與新技術(shù)應(yīng)用的“同步”，并做到內(nèi)生。

中國(guó)信通院《中國(guó)數(shù)字經(jīng)濟(jì)發(fā)展報(bào)告（2022年）》顯示，2021年產(chǎn)業(yè)數(shù)字化規(guī)模達(dá)到37.18 萬億元，占數(shù)字經(jīng)濟(jì)比重81.7%，占GDP比重32.5%?？梢哉f，產(chǎn)業(yè)數(shù)字化已經(jīng)成為數(shù)字經(jīng)濟(jì)發(fā)展主引擎。

實(shí)體經(jīng)濟(jì)的數(shù)字化轉(zhuǎn)型，數(shù)字化基礎(chǔ)設(shè)施是關(guān)鍵底座。云計(jì)算的發(fā)展進(jìn)程，已經(jīng)成為我國(guó)數(shù)字基建的晴雨表。

統(tǒng)籌發(fā)展與安全，是發(fā)展數(shù)字經(jīng)濟(jì)的核心指導(dǎo)思想。安全與業(yè)務(wù)系統(tǒng)同步規(guī)劃、同步建設(shè)、同步運(yùn)營(yíng)的目標(biāo)，便是要實(shí)現(xiàn)安全與數(shù)字技術(shù)、與數(shù)字業(yè)務(wù)的深層次融合。云原生技術(shù)作為云計(jì)算的“新人”“紅人”，更應(yīng)在推廣應(yīng)用的早期，就圍繞云原生技術(shù)和其支撐的業(yè)務(wù)系統(tǒng)，建立起自適應(yīng)、自主、自生長(zhǎng)的云原生安全能力，助力客戶實(shí)現(xiàn)“保護(hù)云原生應(yīng)用安全”這一目標(biāo)。

奇安信是內(nèi)生安全理念的提出者和堅(jiān)定踐行者。2021年，奇安信與咨詢公司Gartner聯(lián)合發(fā)布了《數(shù)字化轉(zhuǎn)型需要內(nèi)生的安全框架》報(bào)告。該報(bào)告提出，基于中國(guó)網(wǎng)絡(luò)安全建設(shè)現(xiàn)狀，需要一種更具中國(guó)特色、切實(shí)有效的網(wǎng)絡(luò)安全建設(shè)體系。

內(nèi)生安全框架由系統(tǒng)工程方法論結(jié)合“內(nèi)生安全”理念形成，包括網(wǎng)絡(luò)安全能力體系、規(guī)劃方法論與工具體系、能力化組件模型、建設(shè)實(shí)施項(xiàng)目庫(kù)（即“十工五任”）、網(wǎng)絡(luò)安全部署和運(yùn)行體系參考架構(gòu)等多個(gè)組件，目的是引導(dǎo)政企機(jī)構(gòu)規(guī)劃和建設(shè)網(wǎng)絡(luò)安全，使其從外掛走向內(nèi)生、從“走形式”轉(zhuǎn)向“實(shí)戰(zhàn)化”，適應(yīng)數(shù)字經(jīng)濟(jì)的發(fā)展。2022年北京冬奧會(huì)和冬殘奧會(huì)網(wǎng)絡(luò)安全保障任務(wù)的圓滿完成，“零事故”目標(biāo)的成功實(shí)現(xiàn)，便是內(nèi)生安全框架一次在奧運(yùn)場(chǎng)景下的最佳實(shí)踐。

要實(shí)現(xiàn)安全在云原生環(huán)境的內(nèi)生，奇安信認(rèn)為云原生安全的設(shè)計(jì)規(guī)劃需秉承以下三個(gè)原則：

一是安全左移。安全從開發(fā)階段介入，盡早暴露容器等云原生技術(shù)在應(yīng)用過程中的風(fēng)險(xiǎn)，降低在運(yùn)行時(shí)階段再進(jìn)行修復(fù)的代價(jià)。

二是全生命周期覆蓋。云原生安全應(yīng)以保護(hù)云原生應(yīng)用為中心，安全能力覆蓋云原生應(yīng)用的全生命周期，真正讓Sec貫穿DevOps全流程。

三是原生融合。云原生安全體系與架構(gòu)應(yīng)能與云原生技術(shù)環(huán)境融合，從外掛式的割裂走向內(nèi)生。

在云原生安全建設(shè)思路與內(nèi)容上，奇安信認(rèn)為，云原生安全主要應(yīng)從云原生制品安全、云原生基礎(chǔ)設(shè)施安全和云原生運(yùn)行時(shí)安全三個(gè)維度入手。云原生安全能力，當(dāng)前應(yīng)覆蓋云原生基礎(chǔ)設(shè)施安全、制品安全、容器安全、微服務(wù)安全等。

針對(duì)云原生應(yīng)用的安全防護(hù)，Gartner發(fā)布的《CNAPP創(chuàng)新洞察》報(bào)告認(rèn)為，云原生應(yīng)用保護(hù)平臺(tái)（CNAPP）解決方案涉及基礎(chǔ)設(shè)施即代碼（IaC）掃描、容器掃描、云工作負(fù)載保護(hù)（CWPP）、云安全態(tài)勢(shì)管理（CSPM）等跨越開發(fā)和生產(chǎn)環(huán)境的關(guān)鍵能力。通過將這些能力工具集成在統(tǒng)一平臺(tái)，CNAPP可為云原生客戶真正提供端到端的云原生應(yīng)用保護(hù)，提高云原生應(yīng)用的安全可見性、改進(jìn)了兼容性、加快了風(fēng)險(xiǎn)識(shí)別能力、實(shí)現(xiàn)了風(fēng)險(xiǎn)和合規(guī)檢測(cè)自動(dòng)化。

奇安信基于多年云安全市場(chǎng)的積累與深耕，目前能夠提供包括容器安全、軟件供應(yīng)鏈安全、CWPP、CSPM、API安全、RASP（運(yùn)行時(shí)應(yīng)用自防護(hù)）等面向云原生技術(shù)的安全能力及CNAPP平臺(tái)產(chǎn)品，穩(wěn)定可靠的支持國(guó)內(nèi)所有主流云服務(wù)商云原生環(huán)境。其專業(yè)、高成熟度的云原生安全能力，已獲得中國(guó)信通院“云原生能力成熟度-云原生基礎(chǔ)架構(gòu)安全域L4”以及“可信云云原生應(yīng)用保護(hù)平臺(tái)（CNAPP）”在代碼安全、鏡像安全、網(wǎng)絡(luò)微隔離、云工作負(fù)載保護(hù)和環(huán)境適配五方面能力的權(quán)威認(rèn)定。

正如云原生極大程度上改變?cè)频氖褂梅绞脚c效果一樣，云原生應(yīng)用保護(hù)平臺(tái)（CNAPP）及相關(guān)云原生相關(guān)能力，也將從根本上重構(gòu)未來云安全的市場(chǎng)格局。

結(jié)語(yǔ)

云原生安全的建設(shè)，應(yīng)以云原生應(yīng)用為中心，覆蓋云原生應(yīng)用全生命周期，貫穿一體系（DevOps）、兩方向（安全左移與安全右移）、三環(huán)節(jié)（構(gòu)建、部署、運(yùn)行）和四目標(biāo)（面向開發(fā)、面向云原生基礎(chǔ)設(shè)施、軟件定義、全流程一體化安全運(yùn)營(yíng)）。

當(dāng)前，國(guó)內(nèi)云原生安全市場(chǎng)的主要玩家各有所長(zhǎng)，但相較于幫助云服務(wù)客戶構(gòu)筑能力成熟完備、責(zé)任邊界明確、服務(wù)靈活高效的云原生安全體系這一目標(biāo)，仍有距離。

隨著客戶對(duì)云原生技術(shù)的理解和應(yīng)用不斷深入，對(duì)云原生安全服務(wù)能力的需求與評(píng)價(jià)愈加明確，第三調(diào)研機(jī)構(gòu)和科研單位在該領(lǐng)域的深度參與投入以及相關(guān)報(bào)告、標(biāo)準(zhǔn)的出臺(tái)，云原生安全成為中國(guó)云安全市場(chǎng)高速發(fā)展核心引擎之時(shí)指日可待。

關(guān)于作者

孫立鵬 奇安信云安全管理事業(yè)部負(fù)責(zé)人