2022云技術(shù)峰會(huì)上,某業(yè)界大佬在演講中表示,云原生正成為企業(yè)上云的首選,全面云原生的時(shí)代正在來(lái)臨。

容器、微服務(wù)等技術(shù)的應(yīng)用,不僅重新定義了云上的開(kāi)發(fā)運(yùn)營(yíng)體系,加快了業(yè)務(wù)上線和變更的速度,云的使用變得比以往更加便捷、高效。

云原生在給企業(yè)帶來(lái)敏捷的同時(shí),也引入了全新的安全風(fēng)險(xiǎn)和挑戰(zhàn)。與傳統(tǒng)的安全防護(hù)能力不同,云原生安全需要安全能力和云原生平臺(tái)緊密結(jié)合,安全必須集成到持續(xù)集成和持續(xù)開(kāi)發(fā)流程中,真正成為內(nèi)生安全。

現(xiàn)在很多人將云原生安全稱為云安全的下半場(chǎng)、云安全的未來(lái),足見(jiàn)其重要程度。云原生時(shí)代,安全究竟該怎么做呢?

作為國(guó)內(nèi)云安全領(lǐng)域,市場(chǎng)占有率多年領(lǐng)先的安全廠商(根據(jù)賽迪顧問(wèn)相關(guān)報(bào)告數(shù)據(jù)),奇安信同樣在積極尋求變化,以滿足云安全合規(guī)之后,客戶對(duì)云原生安全的迫切需求。

現(xiàn)實(shí):兩成用戶無(wú)云原生安全防護(hù)能力

2022年7月,作為工信部直屬科研事業(yè)單位的中國(guó)信息通信研究院,發(fā)布了《云計(jì)算白皮書(shū)(2022年)》。白皮書(shū)顯示,中國(guó)云計(jì)算市場(chǎng)在2021年仍保持高速增長(zhǎng),市場(chǎng)規(guī)模達(dá)3,299億元,較2020年增長(zhǎng)54.4%?!丁笆奈濉睌?shù)字經(jīng)濟(jì)發(fā)展規(guī)劃》的發(fā)布、工信部《企業(yè)上云用云實(shí)施指南(2022)》編纂工作的啟動(dòng)等對(duì)政企深度上云用云的政策性指引,形成了2021年中國(guó)特色云計(jì)算產(chǎn)業(yè)發(fā)展的大背景。

技術(shù)方面,白皮書(shū)認(rèn)為,2021年的突出特點(diǎn),在于云原生正通過(guò)改進(jìn)企業(yè)的IT技術(shù)和基礎(chǔ)設(shè)施,持續(xù)加速企業(yè)IT要素的變革,成為企業(yè)用云的新范式。具體來(lái)看,表現(xiàn)在云原生生態(tài)的日趨完善、能力模型的日漸豐富、與企業(yè)IT建設(shè)目標(biāo)和要素深度融合三大方面。

中國(guó)云原生技術(shù)的實(shí)際應(yīng)用情況,中國(guó)信通院云原生產(chǎn)業(yè)聯(lián)盟(CNIA)也連續(xù)多年,以問(wèn)卷、訪談結(jié)合的形式對(duì)多行業(yè)用戶進(jìn)行了統(tǒng)計(jì)。管中窺豹,從最新的《中國(guó)云原生用戶調(diào)查報(bào)告(2021年)》中,我們能夠看到以下四個(gè)云原生應(yīng)用的重要趨勢(shì):

  • 混合云部署增長(zhǎng)明顯。僅15.74%的用戶沒(méi)有使用多云/混合云的計(jì)劃。

  • 容器用戶生產(chǎn)環(huán)境中的采納率再創(chuàng)新高。接近七成用戶在生產(chǎn)環(huán)境中使用了容器技術(shù),45.48%的用戶已將容器用于核心生產(chǎn)環(huán)境。

  • 微服務(wù)架構(gòu)獲得用戶普遍認(rèn)可。已經(jīng)使用及計(jì)劃使用微服務(wù)架構(gòu)的用戶超過(guò)八成,54.81%的用戶已經(jīng)使用微服務(wù)架構(gòu)進(jìn)行應(yīng)用開(kāi)發(fā)。

  • 無(wú)服務(wù)器技術(shù)持續(xù)升溫。近四成用戶已在生產(chǎn)環(huán)境中應(yīng)用無(wú)服務(wù)器,18.11%的用戶已將Serverless技術(shù)用于核心業(yè)務(wù)的生產(chǎn)環(huán)境。

或許是因?yàn)橛性瓢踩燃?jí)保護(hù)等合規(guī)基礎(chǔ),云原生技術(shù)在中國(guó)市場(chǎng)大放異彩的同時(shí),云原生安全并沒(méi)有被忽視。報(bào)告顯示,近7成用戶對(duì)云原生技術(shù)在大規(guī)模應(yīng)用時(shí)的安全性、可靠性、性能、連續(xù)性心存顧慮。容器逃逸、微服務(wù)和API的安全是企業(yè)最關(guān)心的云原生安全問(wèn)題。近六成的企業(yè)表示,容器及其編排系統(tǒng)自身的安全已成為最突出的云原生安全隱患。

企業(yè)最關(guān)心的云原生安全問(wèn)題

中國(guó)用戶普遍已經(jīng)開(kāi)始對(duì)云原生安全產(chǎn)生擔(dān)憂,但從安全投入和能力建設(shè)角度看,現(xiàn)狀又仍顯不足,甚至可以說(shuō)尚在起步階段。報(bào)告顯示,仍有約兩成用戶目前無(wú)任何針對(duì)云原生技術(shù)的防護(hù)能力。僅有四成用戶具備對(duì)鏡像的漏洞掃描能力和容器運(yùn)行時(shí)入侵檢測(cè)能力,具備對(duì)云原生集群的安全監(jiān)控與審計(jì)能力的用戶不到五成。企業(yè)人員架構(gòu)層面,僅有12.04%的受訪者表示,所在企業(yè)有單獨(dú)的信息安全部門(mén)來(lái)處理云原生安全問(wèn)題。

這就是2021年,中國(guó)云原生和云原生安全不容樂(lè)觀的大致現(xiàn)狀。同時(shí),這也給了云服務(wù)商、傳統(tǒng)和初創(chuàng)安全廠商在云原生安全這個(gè)角力場(chǎng)施展拳腳的空間。

云原生的安全,還是安全的云原生化?

網(wǎng)絡(luò)安全產(chǎn)業(yè)的某一細(xì)分領(lǐng)域,如果在領(lǐng)域定義、市場(chǎng)需求、產(chǎn)品類型等方面都不夠明確、統(tǒng)一的情況下,哪方能有更大的話語(yǔ)影響力,哪方就能更多的占據(jù)主動(dòng),影響甚至教育市場(chǎng)。近10年前的工控安全,目前的云原生安全,都是處于這樣一個(gè)形勢(shì)下。

觀察當(dāng)前云原生安全市場(chǎng)情況,更多是互聯(lián)網(wǎng)公司起家的云服務(wù)商,和安全廠商兩方的市場(chǎng)角力。安全廠商又可以分為傳統(tǒng)安全廠商和專注云原生安全賽道的初創(chuàng)企業(yè)兩類。

兩方的觀點(diǎn)和優(yōu)勢(shì)也是非常鮮明。

云服務(wù)商的積累優(yōu)勢(shì)在于自身全棧的云服務(wù)技術(shù)架構(gòu)、豐富的云服務(wù)產(chǎn)品以及廣泛的客戶基礎(chǔ),更強(qiáng)調(diào)安全與云原生基礎(chǔ)設(shè)施的深度融合。通過(guò)將安全能力與自家技術(shù)架構(gòu)、服務(wù)產(chǎn)品的深度綁定,強(qiáng)調(diào)云原生安全不再外掛,隨云而動(dòng),更靈活更細(xì)粒度的安全能力和更好的安全體驗(yàn)。

無(wú)疑,這是將安全云原生化,進(jìn)而讓安全像空氣一樣,在自家的云服務(wù)體系中無(wú)處不在。對(duì)于云服務(wù)商而言,云是大局,安全的云是核心。

安全廠商則不然。云原生技術(shù)當(dāng)前的應(yīng)用推廣不是迭代式,相對(duì)的云原生安全未來(lái)數(shù)年大概率還只是會(huì)作為云安全市場(chǎng)的重要補(bǔ)充。同時(shí),有一定體量、規(guī)模的安全廠商,業(yè)務(wù)一般會(huì)涉及云安全之外其他領(lǐng)域。所以,安全廠商的核心優(yōu)勢(shì),在于安全能力、專業(yè)人員、服務(wù)流程的積累,所以更強(qiáng)調(diào)安全的目標(biāo)和保護(hù)對(duì)象。

所以,對(duì)于安全廠商而言,云原生安全當(dāng)前更多是面向云原生環(huán)境和應(yīng)用的安全。

此外,云原生安全與當(dāng)前的云安全,有著明顯的區(qū)別和必然的聯(lián)系。無(wú)論是因?yàn)榘踩奶厥鈱傩?,還是為了規(guī)范市場(chǎng)、拉齊能力底線,進(jìn)入合規(guī)也是云原生安全必然的發(fā)展方向。換言之,合規(guī)的缺位也是當(dāng)前制約云原生安全市場(chǎng)快速發(fā)展的重要因素。

研究2019年發(fā)布的等保2.0系列標(biāo)準(zhǔn)中針對(duì)云計(jì)算的安全擴(kuò)展要求,不難發(fā)現(xiàn),虛擬化環(huán)境是當(dāng)時(shí)主要考慮的。從安全角度做好對(duì)云原生環(huán)境中容器、微服務(wù)等技術(shù),以及貫穿云原生應(yīng)用全生命周期的DevSecOps的支持,而不局限于某個(gè)特定云服務(wù)商的技術(shù)與產(chǎn)品體系,以更加合理的應(yīng)對(duì)客戶越來(lái)越多的混合云(不同云服務(wù)商參與)的部署場(chǎng)景,是安全廠商在理解云原生安全時(shí)更多考慮的。

制衡與內(nèi)生:奇安信云原生安全關(guān)鍵詞

作為成功實(shí)現(xiàn)2022年北京冬奧及冬殘奧會(huì)網(wǎng)絡(luò)安全“零事故”的全線安全廠商,奇安信對(duì)云原生安全理念,可以歸結(jié)為兩個(gè)關(guān)鍵詞:制衡、內(nèi)生。他們都不是新詞,但是在云原生時(shí)代,有了新的安全內(nèi)涵。

先說(shuō)“制衡”。網(wǎng)絡(luò)安全工作的制衡,無(wú)論是通過(guò)技術(shù)手段還是管理手段,核心都不是制約而是平衡,目的是要保障網(wǎng)絡(luò)安全實(shí)現(xiàn)零事故目標(biāo),即業(yè)務(wù)不中斷、數(shù)據(jù)不出事、合規(guī)不踩線。

云安全的制衡,主要體現(xiàn)在云服務(wù)商、云上租戶與安全廠商三者之間。業(yè)界耳熟能詳?shù)摹霸朴?jì)算安全責(zé)任共擔(dān)模型”,最能恰如其分的體現(xiàn)云安全三方制衡的理念。該模型對(duì)IaaS、PaaS、SaaS三種服務(wù)模式剖析云服務(wù)參與主體需要承擔(dān)的安全責(zé)任,對(duì)應(yīng)行業(yè)標(biāo)準(zhǔn)(YD/T 4060—2022)由中國(guó)信通院牽頭制定,并已于2022年7月正式發(fā)布施行。

云計(jì)算安全責(zé)任共擔(dān)模型

發(fā)生勒索、挖礦、數(shù)據(jù)泄露等安全事件,最終蒙受財(cái)務(wù)和聲譽(yù)損失的是云服務(wù)客戶。所以對(duì)于云服務(wù)客戶而言,明確自身責(zé)任內(nèi)的云安全能力真實(shí)建設(shè)情況與實(shí)際運(yùn)營(yíng)效果,應(yīng)該成為合規(guī)外的重要驅(qū)動(dòng)力。這不僅有助于真正降低云安全事件發(fā)生的概率,更有助于產(chǎn)生經(jīng)濟(jì)損失后的定責(zé)。

要實(shí)現(xiàn)此目標(biāo),客戶自然可以根據(jù)自身需求和實(shí)際市場(chǎng)情況,自由選擇云安全能力提供方進(jìn)行采購(gòu)。但是,既然責(zé)任整體一分為二,那么承擔(dān)另一部分責(zé)任的云服務(wù)商理應(yīng)避嫌。這一是出于讓責(zé)任邊界更清晰,方便客戶對(duì)供應(yīng)商進(jìn)行管理的考量,二是不能讓“共擔(dān)”這一業(yè)界共識(shí)名不副實(shí),無(wú)法實(shí)現(xiàn)共擔(dān)背后的重要意義。

但我們看到的市場(chǎng)現(xiàn)狀是,部分云服務(wù)商在部分項(xiàng)目上對(duì)安全的大包大攬。云原生安全亦是如此。設(shè)想如果云服務(wù)客戶的安全責(zé)任,也全部由云服務(wù)商或和其有利益關(guān)系的安全廠商承擔(dān),一旦出現(xiàn)安全事件,客戶能否第一時(shí)間得知真實(shí)詳情?事后如何保證定性、追責(zé)的客觀性?

當(dāng)然,這不是說(shuō)云服務(wù)商不要和安全廠商合作。恰恰相反,一個(gè)開(kāi)放的生態(tài),云服務(wù)商、安全廠商、客戶三方的積極參與和務(wù)實(shí)合作,才能讓客戶云安全工作的管理有抓手,云上安全事件的應(yīng)對(duì)底線有保障,對(duì)關(guān)鍵業(yè)務(wù)系統(tǒng)、核心生產(chǎn)環(huán)境的上云用云真正放心。

再說(shuō)“內(nèi)生”。如果說(shuō)信息化時(shí)代,安全處在伴生的位置。在數(shù)字化時(shí)代,安全應(yīng)保持與新技術(shù)應(yīng)用的“同步”,并做到內(nèi)生。

中國(guó)信通院《中國(guó)數(shù)字經(jīng)濟(jì)發(fā)展報(bào)告(2022年)》顯示,2021年產(chǎn)業(yè)數(shù)字化規(guī)模達(dá)到37.18 萬(wàn)億元,占數(shù)字經(jīng)濟(jì)比重81.7%,占GDP比重32.5%。可以說(shuō),產(chǎn)業(yè)數(shù)字化已經(jīng)成為數(shù)字經(jīng)濟(jì)發(fā)展主引擎。

實(shí)體經(jīng)濟(jì)的數(shù)字化轉(zhuǎn)型,數(shù)字化基礎(chǔ)設(shè)施是關(guān)鍵底座。云計(jì)算的發(fā)展進(jìn)程,已經(jīng)成為我國(guó)數(shù)字基建的晴雨表。

統(tǒng)籌發(fā)展與安全,是發(fā)展數(shù)字經(jīng)濟(jì)的核心指導(dǎo)思想。安全與業(yè)務(wù)系統(tǒng)同步規(guī)劃、同步建設(shè)、同步運(yùn)營(yíng)的目標(biāo),便是要實(shí)現(xiàn)安全與數(shù)字技術(shù)、與數(shù)字業(yè)務(wù)的深層次融合。云原生技術(shù)作為云計(jì)算的“新人”“紅人”,更應(yīng)在推廣應(yīng)用的早期,就圍繞云原生技術(shù)和其支撐的業(yè)務(wù)系統(tǒng),建立起自適應(yīng)、自主、自生長(zhǎng)的云原生安全能力,助力客戶實(shí)現(xiàn)“保護(hù)云原生應(yīng)用安全”這一目標(biāo)。

奇安信是內(nèi)生安全理念的提出者和堅(jiān)定踐行者。2021年,奇安信與咨詢公司Gartner聯(lián)合發(fā)布了《數(shù)字化轉(zhuǎn)型需要內(nèi)生的安全框架》報(bào)告。該報(bào)告提出,基于中國(guó)網(wǎng)絡(luò)安全建設(shè)現(xiàn)狀,需要一種更具中國(guó)特色、切實(shí)有效的網(wǎng)絡(luò)安全建設(shè)體系。

內(nèi)生安全框架由系統(tǒng)工程方法論結(jié)合“內(nèi)生安全”理念形成,包括網(wǎng)絡(luò)安全能力體系、規(guī)劃方法論與工具體系、能力化組件模型、建設(shè)實(shí)施項(xiàng)目庫(kù)(即“十工五任”)、網(wǎng)絡(luò)安全部署和運(yùn)行體系參考架構(gòu)等多個(gè)組件,目的是引導(dǎo)政企機(jī)構(gòu)規(guī)劃和建設(shè)網(wǎng)絡(luò)安全,使其從外掛走向內(nèi)生、從“走形式”轉(zhuǎn)向“實(shí)戰(zhàn)化”,適應(yīng)數(shù)字經(jīng)濟(jì)的發(fā)展。2022年北京冬奧會(huì)和冬殘奧會(huì)網(wǎng)絡(luò)安全保障任務(wù)的圓滿完成,“零事故”目標(biāo)的成功實(shí)現(xiàn),便是內(nèi)生安全框架一次在奧運(yùn)場(chǎng)景下的最佳實(shí)踐。

要實(shí)現(xiàn)安全在云原生環(huán)境的內(nèi)生,奇安信認(rèn)為云原生安全的設(shè)計(jì)規(guī)劃需秉承以下三個(gè)原則:

一是安全左移。安全從開(kāi)發(fā)階段介入,盡早暴露容器等云原生技術(shù)在應(yīng)用過(guò)程中的風(fēng)險(xiǎn),降低在運(yùn)行時(shí)階段再進(jìn)行修復(fù)的代價(jià)。

二是全生命周期覆蓋。云原生安全應(yīng)以保護(hù)云原生應(yīng)用為中心,安全能力覆蓋云原生應(yīng)用的全生命周期,真正讓Sec貫穿DevOps全流程。

三是原生融合。云原生安全體系與架構(gòu)應(yīng)能與云原生技術(shù)環(huán)境融合,從外掛式的割裂走向內(nèi)生。

在云原生安全建設(shè)思路與內(nèi)容上,奇安信認(rèn)為,云原生安全主要應(yīng)從云原生制品安全、云原生基礎(chǔ)設(shè)施安全和云原生運(yùn)行時(shí)安全三個(gè)維度入手。云原生安全能力,當(dāng)前應(yīng)覆蓋云原生基礎(chǔ)設(shè)施安全、制品安全、容器安全、微服務(wù)安全等。

針對(duì)云原生應(yīng)用的安全防護(hù),Gartner發(fā)布的《CNAPP創(chuàng)新洞察》報(bào)告認(rèn)為,云原生應(yīng)用保護(hù)平臺(tái)(CNAPP)解決方案涉及基礎(chǔ)設(shè)施即代碼(IaC)掃描、容器掃描、云工作負(fù)載保護(hù)(CWPP)、云安全態(tài)勢(shì)管理(CSPM)等跨越開(kāi)發(fā)和生產(chǎn)環(huán)境的關(guān)鍵能力。通過(guò)將這些能力工具集成在統(tǒng)一平臺(tái),CNAPP可為云原生客戶真正提供端到端的云原生應(yīng)用保護(hù),提高云原生應(yīng)用的安全可見(jiàn)性、改進(jìn)了兼容性、加快了風(fēng)險(xiǎn)識(shí)別能力、實(shí)現(xiàn)了風(fēng)險(xiǎn)和合規(guī)檢測(cè)自動(dòng)化。

奇安信基于多年云安全市場(chǎng)的積累與深耕,目前能夠提供包括容器安全、軟件供應(yīng)鏈安全、CWPP、CSPM、API安全、RASP(運(yùn)行時(shí)應(yīng)用自防護(hù))等面向云原生技術(shù)的安全能力及CNAPP平臺(tái)產(chǎn)品,穩(wěn)定可靠的支持國(guó)內(nèi)所有主流云服務(wù)商云原生環(huán)境。其專業(yè)、高成熟度的云原生安全能力,已獲得中國(guó)信通院“云原生能力成熟度-云原生基礎(chǔ)架構(gòu)安全域L4”以及“可信云云原生應(yīng)用保護(hù)平臺(tái)(CNAPP)”在代碼安全、鏡像安全、網(wǎng)絡(luò)微隔離、云工作負(fù)載保護(hù)和環(huán)境適配五方面能力的權(quán)威認(rèn)定。

正如云原生極大程度上改變?cè)频氖褂梅绞脚c效果一樣,云原生應(yīng)用保護(hù)平臺(tái)(CNAPP)及相關(guān)云原生相關(guān)能力,也將從根本上重構(gòu)未來(lái)云安全的市場(chǎng)格局。

結(jié)語(yǔ)

云原生安全的建設(shè),應(yīng)以云原生應(yīng)用為中心,覆蓋云原生應(yīng)用全生命周期,貫穿一體系(DevOps)、兩方向(安全左移與安全右移)、三環(huán)節(jié)(構(gòu)建、部署、運(yùn)行)和四目標(biāo)(面向開(kāi)發(fā)、面向云原生基礎(chǔ)設(shè)施、軟件定義、全流程一體化安全運(yùn)營(yíng))。

當(dāng)前,國(guó)內(nèi)云原生安全市場(chǎng)的主要玩家各有所長(zhǎng),但相較于幫助云服務(wù)客戶構(gòu)筑能力成熟完備、責(zé)任邊界明確、服務(wù)靈活高效的云原生安全體系這一目標(biāo),仍有距離。

隨著客戶對(duì)云原生技術(shù)的理解和應(yīng)用不斷深入,對(duì)云原生安全服務(wù)能力的需求與評(píng)價(jià)愈加明確,第三調(diào)研機(jī)構(gòu)和科研單位在該領(lǐng)域的深度參與投入以及相關(guān)報(bào)告、標(biāo)準(zhǔn)的出臺(tái),云原生安全成為中國(guó)云安全市場(chǎng)高速發(fā)展核心引擎之時(shí)指日可待。

關(guān)于作者

孫立鵬 奇安信云安全管理事業(yè)部負(fù)責(zé)人