【數(shù)世咨詢】云原生安全能力指南2024

?北京數(shù)字世界咨詢有限公司2024.09?北京數(shù)字世界咨詢有限公司2024.094 5 7 8 8 5作為一種新的應用程序開發(fā)和部署的方法，可以提高應用程序的可靠性、彈性和可擴展性，同時降低開發(fā)和運維的成本。云原生概念誕生已十年有余，但是采用云原生的業(yè)務開發(fā)和部署模式直到最近針對云原生開發(fā)及運營相關的云基礎設施、主機、容器、業(yè)務云安全的進階階段，它不僅繼承了云安全的理念和方法，而且在技當前許多甲方用戶對于云原生安全的認知并不十分清晰，許多人可能剛剛開始理解云安全的具體涵義，現(xiàn)在又迎來了云原生安全概念。面對新的技術方案，筆者也曾遇到很多困惑，本報告嘗試通過一個簡潔明了的方式，對云原生安全相關的技術點進行系統(tǒng)性的近兩年來，云原生安全市場在快速增長，為了得到一手的市場資料，數(shù)世咨詢邀請了九家國內云原生安全代表企業(yè)和部分甲方用戶進行實際考察，對安全廠商近三年來的產(chǎn)品營收數(shù)據(jù)進行了收集和分析，結合與安全廠商相關的研發(fā)、市場負責人等多輪線上線下6本報告技術部分主要內容：云原生概念、云原生安全挑戰(zhàn)、云原生安全定義、云原生安全能力全景圖、數(shù)世咨詢定義的“全棧云本報告市場部分主要內容：云原生安全市場規(guī)模、行業(yè)應用、能力企業(yè)點陣圖、能力企業(yè)主要業(yè)務特點、云原生安全趨勢分析以盡管本報告盡筆者所能盡量充分的進行了技術以及市場方面的調研，但受能力所限或有錯誤和偏頗之處，歡迎同行與我聯(lián)系交流。781.概念與技術種構建和運行應用程序的方法，是一套技術體系和方法論。它意味著應用程序從設計之初就考慮到云的環(huán)境，原生為云而設計，在云2015年，推動云原生應用和發(fā)展的著名組織云原生基金會致力于推廣容器化、微服務架構和開源項目，當前已建立了龐大的社區(qū)和生態(tài)系統(tǒng)，對全球云計算產(chǎn)業(yè)產(chǎn)生了深遠影響。國內眾多企過容器技術實現(xiàn)應用的高效部署和管理，通過微服務架構提高應用的模塊化和可維護性，并通過自動化工具減少人工干預和降低運維9APIs有個別概念過于抽象，筆者嘗試通俗化的解釋一下這幾個概念。不可變基礎設施不可變基礎設施是指基礎設施的配置和狀態(tài)不可變，一旦部署低風險使服務器運行穩(wěn)定，其運行環(huán)境總是面臨不斷的更改，比如：系統(tǒng)升級、打補丁、更新應用的依賴組件等，運行環(huán)境的變化經(jīng)常影響其所承載的業(yè)務，所以讓管理員焦頭爛額的事情時有發(fā)生。而在云計算環(huán)境中，服務器在完成部署后，就不再進行更改。云計算通過引入虛擬化技術，實現(xiàn)了方便地打包構建應用及其運行時的依容器和微服務相信不少人耳熟能詳了，通俗來講容器是一種打包技術，它將應用及其依賴環(huán)境打包在一起，實現(xiàn)了在不同內核的微服務微服務可理解為搭積木，先將大型的應用系統(tǒng)分解為一組小的、獨立的服務，然后象搭積木一樣通過輕量級通信協(xié)議（比如API）再搭建起來。其主要目的是實現(xiàn)單個服務的獨立部署、擴展和更新，服務網(wǎng)格服務網(wǎng)格算是為微服務提供服務的一個基礎設施層，當大的應用分解為小的微服務，微服務之間的數(shù)據(jù)通信、網(wǎng)絡連接就更為復雜，服務網(wǎng)格就相當于一個代理管家，提供了服務間的通信、安全、現(xiàn)在不用了，只需要建個配置文件，寫下來你想“要什么”就可以程，實現(xiàn)業(yè)務的快速開發(fā)與運行，從而在根本上提高工作效率和實現(xiàn)成本節(jié)約。流行多年的DevOps（開發(fā)與運營）理念天然的適配云調研發(fā)現(xiàn)，近兩年來，采用云原生開發(fā)與部署的方式正逐步成為行業(yè)內重點考慮的方向。國內的金融、互聯(lián)網(wǎng)、智能制造以及運營商等行業(yè)，已經(jīng)開始構建云原生化開發(fā)流程，進行試點或將部分業(yè)務以云原生的方式發(fā)布。預計在未來幾年，云原生化的“業(yè)務上極致自動化的極致自動化的新邊界帶來新的安全挑戰(zhàn)云計算技術的出現(xiàn)使得傳統(tǒng)的安全邊界變得模糊不清，而云原照物理區(qū)域劃分的，如機房中的機柜等設備，這些資源的標識通常是機柜編號，安全邊界為房間墻壁和防盜門。然而隨著云計算的興在云原生時代，資源的劃分已不再是依據(jù)物理設備或者虛擬機，而是以業(yè)務為中心的微服務占據(jù)了主導地位。為了更有效地利用云計算資源，通過將應用程序分解為松耦合的微服務組件，并實現(xiàn)服務的互訪，微服務之間需要的安全控制成為新的邊界。在這種情況動態(tài)變化的資產(chǎn)帶來的安全挑戰(zhàn)云原生環(huán)境強調“不可變的基礎設施”的概念，它通過犧牲基礎設施的可變性來換取更高的穩(wěn)定性、一致性和應用部署的靈活性。傳統(tǒng)環(huán)境中直接在服務器上打補丁來修復漏洞，但在云原生環(huán)境中要修復漏洞需要停止舊的容器并重新構建新的鏡像來修復漏洞，同動態(tài)資產(chǎn)增加了系統(tǒng)的復雜性，需要更高級的監(jiān)控和管理工具來跟蹤和維護資產(chǎn)狀態(tài)，同時對動態(tài)資產(chǎn)的資源管理、策略管理等適配極致自動化開發(fā)流程的安全挑戰(zhàn)云原生應用開發(fā)普遍采用DevOps、面向服務等理念構建業(yè)務系短了業(yè)務從開發(fā)到上線運行的時間窗口。這要求安全防護手段也要云原生特征的攻擊面帶來的安全挑戰(zhàn)云原生的微服務、容器化技術帶來了新的攻擊面，比如：對鏡像倉庫的保護、容器編排系統(tǒng)的安全配置、微服務間的安全控制、容器運行時的入侵防御、以及自動化CI/CD流程中的代碼和鏡像安全等，對構建一個覆蓋云原生全生命周期、動態(tài)且適應性強的安全報告中的統(tǒng)計顯示，在過去的一年中，有9成的應用云原生的企業(yè)云原生應用的開發(fā)和交付轉型是一次全方位的變革，一方面，企業(yè)的組織架構、組織流程等為適配云原生環(huán)境要發(fā)生變化，安全責任主體也需要有所調整。另一方面，在安全技術上云原生引入了大量新的基礎設施、安全防護對象，發(fā)生了顛覆性變化，面對這些相比于云安全，云原生安全更關注對云原生基礎設施、容器鏡像、容器運行時、微服務、無服務器（Serverless）等實施安全保云原生安全是指在云原生環(huán)境中應用的一種全新的安全方法，這種方法強調安全能力與云原生環(huán)境相結合，跨越云原生應用開發(fā)、構建、部署和運行全生命周期提供一種綜合的安全能力，旨在對云原生基礎設施、容器鏡像、容器運行時、微服務、服務網(wǎng)格等關鍵云原生安全屬于“數(shù)字計算環(huán)境保護”領域中“云安全”細分領域，型【云（Cloud集群（Cluster容器（Container代碼程，基于對云原生安全項目需求以及廠商解決方案的相關調研，筆者認為后者在安全能力的分步建設方面邏輯更為清晰，如下圖所示：考慮到報告的篇幅，對云原生安全全景圖中的技術能力點，筆者不打算一一科普，僅對業(yè)務流程及其中關鍵的安全能力簡要介紹云原生安全需要將安全能力規(guī)劃到軟件開發(fā)生命周期的早期階段，即“安全左移“，重要意義在于通過在設計和開發(fā)階段就識別和修復潛在的安全漏洞，可以顯著降低后期修復的成本和復雜性，減少安全風險。試想一個安全漏洞被打包進鏡像，在后期運行時，這個鏡像被復制為千萬個容器副本，那么安全風險便被指數(shù)級放大。在開發(fā)階段，安全編碼是核心。開發(fā)者需要遵循安全編碼的最佳實踐和規(guī)范進行編碼，期間定期進行代碼審查和必要安全掃描，以發(fā)現(xiàn)和修復潛在的安全漏洞。還要考慮代碼供應鏈安全，確保所有第三方庫和組件都是安全的，沒有已知的安全漏洞。代碼測試階互式應用安全測試（IAST是發(fā)現(xiàn)安全問題的有力工具。當代碼開發(fā)完成，進入編譯打包和容器鏡像構建的階段。此時需要進行漏洞掃描和敏感內容檢查，除對自建組件進行安全掃描之安全工具需要具備全面且不斷更新的漏洞庫和指紋特征，以確保能夠識別和防御廣泛的安全威脅。其次，高效的掃描效率是必不可少的，工具應支持分層掃描，這樣可以快速識別和修復各個層中鏡像構建完成后通常會進入鏡像倉庫統(tǒng)一管理，需要注意鏡像倉庫的安全防護，包括對鏡像的權限控制，實施安全加密的通信，部署階段安全措施的關鍵在于確保容器編排平臺的安全性和穩(wěn)定性。需要對容器編排平臺，如Kuberne對基礎設施即代碼（Infrastructureas查，以確保集群設置、云工作負載、虛擬化主機滿足合規(guī)，沒有配對容器運行環(huán)境設置必要的資源隔離和限制策略，比如，使用命名空間、網(wǎng)絡策略和資源配額來隔離不同的工作負載，限制容器的資源使用，避免任何單一容器的異常行為對整個系統(tǒng)造成影響。此外，日志審計可以幫助監(jiān)控和記錄所有關鍵操作，為安全事件的即使在業(yè)務流程的開發(fā)階段對鏡像、容器應用了充分的安全措施，容器在運行時仍然容易遭受各類攻擊，需要考慮容器運行時的運行時安全的核心任務是確保應用和容器的安全性，防止惡意行為和入侵。運行階段通過實施微隔離策略，將網(wǎng)絡流量限制在最小必要范圍內，限制容器之間的不必要網(wǎng)絡訪問，減少攻擊面并提在應用安全層面，也是容器運行時重點考慮的方向。多數(shù)情況下，容器是對外提供服務的，以提供WEB服務為主。所以，應用自我防護技術（RASP）能夠提供更深層次的安全保護，它可以嵌入到應用程序中，實時檢測和阻止那些WAF可能忽略的入侵和惡云原生環(huán)境中的數(shù)據(jù)有諸多分類，需要區(qū)別對待分別實施保護。對于用戶或者應用程序產(chǎn)生的數(shù)據(jù)，一般都是存儲在一個單獨掛載的存儲空間中，實際上可以應用傳統(tǒng)的數(shù)據(jù)安全工具來實施保護。對于云原生環(huán)境自身的配置文件，代碼等數(shù)據(jù)，也需要考慮應用敏以上簡單總結了云原生應用全生命周期內不同階段所需的典型安全能力，目前也存在諸多單點的安全工具來實現(xiàn)這些能力，用戶但必須要提到的是應用單點的安全工具或不同安全廠商的產(chǎn)品同時也帶來安全體系的割裂，給真正實現(xiàn)開發(fā)與安全運營的一體化帶來巨大挑戰(zhàn)。單一供應商的整體解決方案對云原生安全體系化建設來說是最好的選擇。數(shù)世咨詢將覆蓋了業(yè)務開發(fā)、構建、部署、要實現(xiàn)“全?！蹦芰?，除了具備以上導圖中提及的各階段安全能力工具的集成使得安全評估、漏洞檢測和合規(guī)性審核變得更加高效，l全生命周期內的資產(chǎn)可見性云原生全生命周期中出現(xiàn)的虛擬化主機、鏡像、容器以及微服務等資源可能數(shù)以萬計，且動態(tài)變化。資源的全面可見性不僅僅意味著實現(xiàn)對海量資產(chǎn)的管理，同時還需實現(xiàn)追蹤和監(jiān)控這些資產(chǎn)之l開發(fā)與安全運營雙向反饋雙向反饋機制是云原生應用開發(fā)與安全運營間的信息溝通，可以讓開發(fā)團隊依據(jù)生產(chǎn)環(huán)境的表現(xiàn)來優(yōu)化代碼和應對安全威脅，同2.市場情況本報告的調研選擇了九家具備云原生安全能力的典型企業(yè)、并結合線上線下客戶訪談。根據(jù)統(tǒng)計，2023年云原生安全市場規(guī)模約云原生安全在行業(yè)的應用TOP4為：金融（27.5%）、互聯(lián)網(wǎng)金融行業(yè)在數(shù)字化轉型的進程中一直扮演著排頭兵的角色，云原生在金融領域的應用已經(jīng)逐步由“面向云遷移應用”的階段演進到“面向云構建應用”的階段。近兩年來，幾大國有銀行加速利用云原生技術進行底層架構的云化升級，實現(xiàn)業(yè)務的快速迭代和靈活互聯(lián)網(wǎng)行業(yè)對業(yè)務快速迭代、高可用性和彈性有很高的內在需求，在云原生化方面表現(xiàn)出極高的活躍度和創(chuàng)新能力，據(jù)估計，80%以上的互聯(lián)網(wǎng)企業(yè)已經(jīng)實現(xiàn)了云原生化。業(yè)務集群從小規(guī)模的幾十比如新能源汽車企業(yè)普遍應用云原生架構實現(xiàn)業(yè)務的快速部署。政務、能源、交通等部分行業(yè)試點應用云原生化改造，使用容器搭建運營商的云原生安全需求更多的來自對軟件及容器鏡像供應鏈的管理，主要對鏡像來源、軟件成分分析、以及組件準入的檢查等。國內行業(yè)的云原生項目近兩年來有顯著增加，據(jù)調研的安全企發(fā)現(xiàn)，目前大多數(shù)的國內企業(yè)在云端業(yè)務改造時，往往是根據(jù)自己的單項安全工具，仍然有單獨的安全需求。比如，代碼安全測試及代碼供應鏈管理，容器掃描與漏洞管理、針對云原生開發(fā)及運營環(huán)3.能力企業(yè)由于各廠商的技術發(fā)展路線不同，不同廠商在云原生安全領域的技術起點以及技術深度多有不同。調研發(fā)現(xiàn)，盡管安全廠商都在著力打造全流程云原生安全能力體系，但目前僅有個別廠商能夠接盡管云原生安全技術的重要性和需求不斷增長，實際應用場景中對傳統(tǒng)云安全產(chǎn)品仍然存在較大比重的需求，比如云防火墻、云WAF、云工作負載安全產(chǎn)品等。同時具備云安全與云原生安全解決方先鏈安全“4+n”4.發(fā)展趨勢云原生安全與業(yè)務深入結合許多業(yè)務系統(tǒng)對安全的要求不僅僅是安全合規(guī)，更多的需要安全與業(yè)務深度集成。以金融行業(yè)微隔離安全管控為例，由于涉及大量敏感的交易數(shù)據(jù)和個人隱私信息，對安全管控的要求極為嚴格。還有其安全需求和安全策略經(jīng)常性地變化，這就需要安全產(chǎn)品不斷貼合用戶需求，進行功能進化。當安全策略在成千上萬個主機節(jié)點、幾十萬容器間進行下發(fā)或更改，這給安全工具的專業(yè)度與處理性能云原生安全向“全?！卑踩芰Ψ较蜻M化前文提到目前國內許多企業(yè)在構建云原生項目時，還是根據(jù)自己的預算以及技術能力分步進行的，主要影響因素有兩個，一是企業(yè)的云原生化變革，需要組織架構也要做相應的調整。二是要實現(xiàn)開發(fā)與運營的全流程化，在與業(yè)務融合時也存在不少技術上的困難。但降本增效是企業(yè)永遠的追求，業(yè)務的云原生化改造實現(xiàn)開發(fā)與運營的一體化恰恰很好的滿足了企業(yè)的根本訴求，云原生安全也會向“全?！卑踩芰Ψ较蜻M化。人工智能與云原生安全互驅動人工智能（AI）在安全領域的應用正隨著大型模型的發(fā)展而迅速進化，其核心優(yōu)勢在于提高安全檢測的準確性、響應速度和管理效率。AI通過機器學習和深度學習算法，能夠從大量數(shù)據(jù)中識別異量的安全數(shù)據(jù)，云原生安全與開發(fā)運營流程的深度結合產(chǎn)生的實時、動態(tài)、細?；轿⒎占墑e的安全數(shù)據(jù)，也會促進人工智能在安全云原生安全能力SaaS化原生技術融合，實現(xiàn)更靈活便捷的部署和擴展”。實際上，云原生正在重塑云安全的業(yè)務模式并為云服務商帶來更大的益處。比如以騰訊安全為代表的公有云服務商已開始將云安全能力，通過云原生化模式部署，以實現(xiàn)降本增效。與傳統(tǒng)的虛擬化資源池模式的安全信創(chuàng)安全產(chǎn)業(yè)助推云原生安全發(fā)展信創(chuàng)安全專注于提升國產(chǎn)軟硬件的安全性和自主可控性，面對而采用容器化技術的安全解決方案能夠提供對不同軟硬件環(huán)境的廣泛適應性，從而簡化信創(chuàng)安全產(chǎn)品在國產(chǎn)化過程中的適配工作。根5.代表廠商優(yōu)秀案例某股份制銀行一站式智能化云原生安全運營平臺建設案例（本案例由青藤云安全提供）項目背景在政策、市場的雙輪驅動下，金融數(shù)字化轉型進入關鍵階段，彈性、可擴展性等特性，成為金融機構數(shù)字化轉型過程中降本增效、提升自身業(yè)務敏捷性的重要引擎。與此同時，云原生引入了大量新的基礎設施，安全防護對象發(fā)生了顛覆性變化，容器以及容器云逐漸成為工作負載的主流。面對這些新技術帶來新的安全挑戰(zhàn)，某股解決方案青藤通過對該股份制銀行業(yè)務及其支撐平臺進行調研梳理和風險評估，遵循國家和行業(yè)信息安全相關標準并借鑒國內外最佳實踐，充分考慮云原生業(yè)務性能和安全防護的契合點，為客戶打造了一站整個平臺通過“一個體系、兩個方向、四個流程為中心，覆蓋云原生的整個開發(fā)過程，將安全防護嵌入到每個1.在開發(fā)階段（Dev遵循“安全左移”原則，做到上線即安通過早期定位和解決安全問題，減少攻擊面和潛在的運行問題，通過“集群風險”功能，對集群中各組件的安全漏洞進行檢查。2.在運行階段（OPS遵循“持續(xù)監(jiān)控&響應”原則，做到自適在整體安全落地的時候，進行云原生安全的全生命周期管理，包括對工作負載清點與可視化、微隔離、入侵檢測、安全響應、溯進行事件應急，發(fā)生問題后，可以采用隔離方式阻止威脅進一針對運行時的入侵行為進行檢測和發(fā)現(xiàn)，并提供響應處理方式。記錄各種日志數(shù)據(jù)，可用于各種網(wǎng)絡安全事件分析，溯源整個攻擊統(tǒng)上部署，并且平臺Agent可以支持