2022云技術(shù)峰會上,某業(yè)界大佬在演講中表示,云原生正成為企業(yè)上云的首選,全面云原生的時代正在來臨。

容器、微服務(wù)等技術(shù)的應(yīng)用,不僅重新定義了云上的開發(fā)運營體系,加快了業(yè)務(wù)上線和變更的速度,云的使用變得比以往更加便捷、高效。

云原生在給企業(yè)帶來敏捷的同時,也引入了全新的安全風(fēng)險和挑戰(zhàn)。與傳統(tǒng)的安全防護(hù)能力不同,云原生安全需要安全能力和云原生平臺緊密結(jié)合,安全必須集成到持續(xù)集成和持續(xù)開發(fā)流程中,真正成為內(nèi)生安全。

現(xiàn)在很多人將云原生安全稱為云安全的下半場、云安全的未來,足見其重要程度。云原生時代,安全究竟該怎么做呢?

作為國內(nèi)云安全領(lǐng)域,市場占有率多年領(lǐng)先的安全廠商(根據(jù)賽迪顧問相關(guān)報告數(shù)據(jù)),奇安信同樣在積極尋求變化,以滿足云安全合規(guī)之后,客戶對云原生安全的迫切需求。

現(xiàn)實:兩成用戶無云原生安全防護(hù)能力

2022年7月,作為工信部直屬科研事業(yè)單位的中國信息通信研究院,發(fā)布了《云計算白皮書(2022年)》。白皮書顯示,中國云計算市場在2021年仍保持高速增長,市場規(guī)模達(dá)3,299億元,較2020年增長54.4%?!丁笆奈濉睌?shù)字經(jīng)濟發(fā)展規(guī)劃》的發(fā)布、工信部《企業(yè)上云用云實施指南(2022)》編纂工作的啟動等對政企深度上云用云的政策性指引,形成了2021年中國特色云計算產(chǎn)業(yè)發(fā)展的大背景。

技術(shù)方面,白皮書認(rèn)為,2021年的突出特點,在于云原生正通過改進(jìn)企業(yè)的IT技術(shù)和基礎(chǔ)設(shè)施,持續(xù)加速企業(yè)IT要素的變革,成為企業(yè)用云的新范式。具體來看,表現(xiàn)在云原生生態(tài)的日趨完善、能力模型的日漸豐富、與企業(yè)IT建設(shè)目標(biāo)和要素深度融合三大方面。

中國云原生技術(shù)的實際應(yīng)用情況,中國信通院云原生產(chǎn)業(yè)聯(lián)盟(CNIA)也連續(xù)多年,以問卷、訪談結(jié)合的形式對多行業(yè)用戶進(jìn)行了統(tǒng)計。管中窺豹,從最新的《中國云原生用戶調(diào)查報告(2021年)》中,我們能夠看到以下四個云原生應(yīng)用的重要趨勢:

  • 混合云部署增長明顯。僅15.74%的用戶沒有使用多云/混合云的計劃。

  • 容器用戶生產(chǎn)環(huán)境中的采納率再創(chuàng)新高。接近七成用戶在生產(chǎn)環(huán)境中使用了容器技術(shù),45.48%的用戶已將容器用于核心生產(chǎn)環(huán)境。

  • 微服務(wù)架構(gòu)獲得用戶普遍認(rèn)可。已經(jīng)使用及計劃使用微服務(wù)架構(gòu)的用戶超過八成,54.81%的用戶已經(jīng)使用微服務(wù)架構(gòu)進(jìn)行應(yīng)用開發(fā)。

  • 無服務(wù)器技術(shù)持續(xù)升溫。近四成用戶已在生產(chǎn)環(huán)境中應(yīng)用無服務(wù)器,18.11%的用戶已將Serverless技術(shù)用于核心業(yè)務(wù)的生產(chǎn)環(huán)境。

或許是因為有云安全等級保護(hù)等合規(guī)基礎(chǔ),云原生技術(shù)在中國市場大放異彩的同時,云原生安全并沒有被忽視。報告顯示,近7成用戶對云原生技術(shù)在大規(guī)模應(yīng)用時的安全性、可靠性、性能、連續(xù)性心存顧慮。容器逃逸、微服務(wù)和API的安全是企業(yè)最關(guān)心的云原生安全問題。近六成的企業(yè)表示,容器及其編排系統(tǒng)自身的安全已成為最突出的云原生安全隱患。

企業(yè)最關(guān)心的云原生安全問題

中國用戶普遍已經(jīng)開始對云原生安全產(chǎn)生擔(dān)憂,但從安全投入和能力建設(shè)角度看,現(xiàn)狀又仍顯不足,甚至可以說尚在起步階段。報告顯示,仍有約兩成用戶目前無任何針對云原生技術(shù)的防護(hù)能力。僅有四成用戶具備對鏡像的漏洞掃描能力和容器運行時入侵檢測能力,具備對云原生集群的安全監(jiān)控與審計能力的用戶不到五成。企業(yè)人員架構(gòu)層面,僅有12.04%的受訪者表示,所在企業(yè)有單獨的信息安全部門來處理云原生安全問題。

這就是2021年,中國云原生和云原生安全不容樂觀的大致現(xiàn)狀。同時,這也給了云服務(wù)商、傳統(tǒng)和初創(chuàng)安全廠商在云原生安全這個角力場施展拳腳的空間。

云原生的安全,還是安全的云原生化?

網(wǎng)絡(luò)安全產(chǎn)業(yè)的某一細(xì)分領(lǐng)域,如果在領(lǐng)域定義、市場需求、產(chǎn)品類型等方面都不夠明確、統(tǒng)一的情況下,哪方能有更大的話語影響力,哪方就能更多的占據(jù)主動,影響甚至教育市場。近10年前的工控安全,目前的云原生安全,都是處于這樣一個形勢下。

觀察當(dāng)前云原生安全市場情況,更多是互聯(lián)網(wǎng)公司起家的云服務(wù)商,和安全廠商兩方的市場角力。安全廠商又可以分為傳統(tǒng)安全廠商和專注云原生安全賽道的初創(chuàng)企業(yè)兩類。

兩方的觀點和優(yōu)勢也是非常鮮明。

云服務(wù)商的積累優(yōu)勢在于自身全棧的云服務(wù)技術(shù)架構(gòu)、豐富的云服務(wù)產(chǎn)品以及廣泛的客戶基礎(chǔ),更強調(diào)安全與云原生基礎(chǔ)設(shè)施的深度融合。通過將安全能力與自家技術(shù)架構(gòu)、服務(wù)產(chǎn)品的深度綁定,強調(diào)云原生安全不再外掛,隨云而動,更靈活更細(xì)粒度的安全能力和更好的安全體驗。

無疑,這是將安全云原生化,進(jìn)而讓安全像空氣一樣,在自家的云服務(wù)體系中無處不在。對于云服務(wù)商而言,云是大局,安全的云是核心。

安全廠商則不然。云原生技術(shù)當(dāng)前的應(yīng)用推廣不是迭代式,相對的云原生安全未來數(shù)年大概率還只是會作為云安全市場的重要補充。同時,有一定體量、規(guī)模的安全廠商,業(yè)務(wù)一般會涉及云安全之外其他領(lǐng)域。所以,安全廠商的核心優(yōu)勢,在于安全能力、專業(yè)人員、服務(wù)流程的積累,所以更強調(diào)安全的目標(biāo)和保護(hù)對象。

所以,對于安全廠商而言,云原生安全當(dāng)前更多是面向云原生環(huán)境和應(yīng)用的安全。

此外,云原生安全與當(dāng)前的云安全,有著明顯的區(qū)別和必然的聯(lián)系。無論是因為安全的特殊屬性,還是為了規(guī)范市場、拉齊能力底線,進(jìn)入合規(guī)也是云原生安全必然的發(fā)展方向。換言之,合規(guī)的缺位也是當(dāng)前制約云原生安全市場快速發(fā)展的重要因素。

研究2019年發(fā)布的等保2.0系列標(biāo)準(zhǔn)中針對云計算的安全擴展要求,不難發(fā)現(xiàn),虛擬化環(huán)境是當(dāng)時主要考慮的。從安全角度做好對云原生環(huán)境中容器、微服務(wù)等技術(shù),以及貫穿云原生應(yīng)用全生命周期的DevSecOps的支持,而不局限于某個特定云服務(wù)商的技術(shù)與產(chǎn)品體系,以更加合理的應(yīng)對客戶越來越多的混合云(不同云服務(wù)商參與)的部署場景,是安全廠商在理解云原生安全時更多考慮的。

制衡與內(nèi)生:奇安信云原生安全關(guān)鍵詞

作為成功實現(xiàn)2022年北京冬奧及冬殘奧會網(wǎng)絡(luò)安全“零事故”的全線安全廠商,奇安信對云原生安全理念,可以歸結(jié)為兩個關(guān)鍵詞:制衡、內(nèi)生。他們都不是新詞,但是在云原生時代,有了新的安全內(nèi)涵。

先說“制衡”。網(wǎng)絡(luò)安全工作的制衡,無論是通過技術(shù)手段還是管理手段,核心都不是制約而是平衡,目的是要保障網(wǎng)絡(luò)安全實現(xiàn)零事故目標(biāo),即業(yè)務(wù)不中斷、數(shù)據(jù)不出事、合規(guī)不踩線。

云安全的制衡,主要體現(xiàn)在云服務(wù)商、云上租戶與安全廠商三者之間。業(yè)界耳熟能詳?shù)摹霸朴嬎惆踩?zé)任共擔(dān)模型”,最能恰如其分的體現(xiàn)云安全三方制衡的理念。該模型對IaaS、PaaS、SaaS三種服務(wù)模式剖析云服務(wù)參與主體需要承擔(dān)的安全責(zé)任,對應(yīng)行業(yè)標(biāo)準(zhǔn)(YD/T 4060—2022)由中國信通院牽頭制定,并已于2022年7月正式發(fā)布施行。

云計算安全責(zé)任共擔(dān)模型

發(fā)生勒索、挖礦、數(shù)據(jù)泄露等安全事件,最終蒙受財務(wù)和聲譽損失的是云服務(wù)客戶。所以對于云服務(wù)客戶而言,明確自身責(zé)任內(nèi)的云安全能力真實建設(shè)情況與實際運營效果,應(yīng)該成為合規(guī)外的重要驅(qū)動力。這不僅有助于真正降低云安全事件發(fā)生的概率,更有助于產(chǎn)生經(jīng)濟損失后的定責(zé)。

要實現(xiàn)此目標(biāo),客戶自然可以根據(jù)自身需求和實際市場情況,自由選擇云安全能力提供方進(jìn)行采購。但是,既然責(zé)任整體一分為二,那么承擔(dān)另一部分責(zé)任的云服務(wù)商理應(yīng)避嫌。這一是出于讓責(zé)任邊界更清晰,方便客戶對供應(yīng)商進(jìn)行管理的考量,二是不能讓“共擔(dān)”這一業(yè)界共識名不副實,無法實現(xiàn)共擔(dān)背后的重要意義。

但我們看到的市場現(xiàn)狀是,部分云服務(wù)商在部分項目上對安全的大包大攬。云原生安全亦是如此。設(shè)想如果云服務(wù)客戶的安全責(zé)任,也全部由云服務(wù)商或和其有利益關(guān)系的安全廠商承擔(dān),一旦出現(xiàn)安全事件,客戶能否第一時間得知真實詳情?事后如何保證定性、追責(zé)的客觀性?

當(dāng)然,這不是說云服務(wù)商不要和安全廠商合作。恰恰相反,一個開放的生態(tài),云服務(wù)商、安全廠商、客戶三方的積極參與和務(wù)實合作,才能讓客戶云安全工作的管理有抓手,云上安全事件的應(yīng)對底線有保障,對關(guān)鍵業(yè)務(wù)系統(tǒng)、核心生產(chǎn)環(huán)境的上云用云真正放心。

再說“內(nèi)生”。如果說信息化時代,安全處在伴生的位置。在數(shù)字化時代,安全應(yīng)保持與新技術(shù)應(yīng)用的“同步”,并做到內(nèi)生。

中國信通院《中國數(shù)字經(jīng)濟發(fā)展報告(2022年)》顯示,2021年產(chǎn)業(yè)數(shù)字化規(guī)模達(dá)到37.18 萬億元,占數(shù)字經(jīng)濟比重81.7%,占GDP比重32.5%。可以說,產(chǎn)業(yè)數(shù)字化已經(jīng)成為數(shù)字經(jīng)濟發(fā)展主引擎。

實體經(jīng)濟的數(shù)字化轉(zhuǎn)型,數(shù)字化基礎(chǔ)設(shè)施是關(guān)鍵底座。云計算的發(fā)展進(jìn)程,已經(jīng)成為我國數(shù)字基建的晴雨表。

統(tǒng)籌發(fā)展與安全,是發(fā)展數(shù)字經(jīng)濟的核心指導(dǎo)思想。安全與業(yè)務(wù)系統(tǒng)同步規(guī)劃、同步建設(shè)、同步運營的目標(biāo),便是要實現(xiàn)安全與數(shù)字技術(shù)、與數(shù)字業(yè)務(wù)的深層次融合。云原生技術(shù)作為云計算的“新人”“紅人”,更應(yīng)在推廣應(yīng)用的早期,就圍繞云原生技術(shù)和其支撐的業(yè)務(wù)系統(tǒng),建立起自適應(yīng)、自主、自生長的云原生安全能力,助力客戶實現(xiàn)“保護(hù)云原生應(yīng)用安全”這一目標(biāo)。

奇安信是內(nèi)生安全理念的提出者和堅定踐行者。2021年,奇安信與咨詢公司Gartner聯(lián)合發(fā)布了《數(shù)字化轉(zhuǎn)型需要內(nèi)生的安全框架》報告。該報告提出,基于中國網(wǎng)絡(luò)安全建設(shè)現(xiàn)狀,需要一種更具中國特色、切實有效的網(wǎng)絡(luò)安全建設(shè)體系。

內(nèi)生安全框架由系統(tǒng)工程方法論結(jié)合“內(nèi)生安全”理念形成,包括網(wǎng)絡(luò)安全能力體系、規(guī)劃方法論與工具體系、能力化組件模型、建設(shè)實施項目庫(即“十工五任”)、網(wǎng)絡(luò)安全部署和運行體系參考架構(gòu)等多個組件,目的是引導(dǎo)政企機構(gòu)規(guī)劃和建設(shè)網(wǎng)絡(luò)安全,使其從外掛走向內(nèi)生、從“走形式”轉(zhuǎn)向“實戰(zhàn)化”,適應(yīng)數(shù)字經(jīng)濟的發(fā)展。2022年北京冬奧會和冬殘奧會網(wǎng)絡(luò)安全保障任務(wù)的圓滿完成,“零事故”目標(biāo)的成功實現(xiàn),便是內(nèi)生安全框架一次在奧運場景下的最佳實踐。

要實現(xiàn)安全在云原生環(huán)境的內(nèi)生,奇安信認(rèn)為云原生安全的設(shè)計規(guī)劃需秉承以下三個原則:

一是安全左移。安全從開發(fā)階段介入,盡早暴露容器等云原生技術(shù)在應(yīng)用過程中的風(fēng)險,降低在運行時階段再進(jìn)行修復(fù)的代價。

二是全生命周期覆蓋。云原生安全應(yīng)以保護(hù)云原生應(yīng)用為中心,安全能力覆蓋云原生應(yīng)用的全生命周期,真正讓Sec貫穿DevOps全流程。

三是原生融合。云原生安全體系與架構(gòu)應(yīng)能與云原生技術(shù)環(huán)境融合,從外掛式的割裂走向內(nèi)生。

在云原生安全建設(shè)思路與內(nèi)容上,奇安信認(rèn)為,云原生安全主要應(yīng)從云原生制品安全、云原生基礎(chǔ)設(shè)施安全和云原生運行時安全三個維度入手。云原生安全能力,當(dāng)前應(yīng)覆蓋云原生基礎(chǔ)設(shè)施安全、制品安全、容器安全、微服務(wù)安全等。

針對云原生應(yīng)用的安全防護(hù),Gartner發(fā)布的《CNAPP創(chuàng)新洞察》報告認(rèn)為,云原生應(yīng)用保護(hù)平臺(CNAPP)解決方案涉及基礎(chǔ)設(shè)施即代碼(IaC)掃描、容器掃描、云工作負(fù)載保護(hù)(CWPP)、云安全態(tài)勢管理(CSPM)等跨越開發(fā)和生產(chǎn)環(huán)境的關(guān)鍵能力。通過將這些能力工具集成在統(tǒng)一平臺,CNAPP可為云原生客戶真正提供端到端的云原生應(yīng)用保護(hù),提高云原生應(yīng)用的安全可見性、改進(jìn)了兼容性、加快了風(fēng)險識別能力、實現(xiàn)了風(fēng)險和合規(guī)檢測自動化。

奇安信基于多年云安全市場的積累與深耕,目前能夠提供包括容器安全、軟件供應(yīng)鏈安全、CWPP、CSPM、API安全、RASP(運行時應(yīng)用自防護(hù))等面向云原生技術(shù)的安全能力及CNAPP平臺產(chǎn)品,穩(wěn)定可靠的支持國內(nèi)所有主流云服務(wù)商云原生環(huán)境。其專業(yè)、高成熟度的云原生安全能力,已獲得中國信通院“云原生能力成熟度-云原生基礎(chǔ)架構(gòu)安全域L4”以及“可信云云原生應(yīng)用保護(hù)平臺(CNAPP)”在代碼安全、鏡像安全、網(wǎng)絡(luò)微隔離、云工作負(fù)載保護(hù)和環(huán)境適配五方面能力的權(quán)威認(rèn)定。

正如云原生極大程度上改變云的使用方式與效果一樣,云原生應(yīng)用保護(hù)平臺(CNAPP)及相關(guān)云原生相關(guān)能力,也將從根本上重構(gòu)未來云安全的市場格局。

結(jié)語

云原生安全的建設(shè),應(yīng)以云原生應(yīng)用為中心,覆蓋云原生應(yīng)用全生命周期,貫穿一體系(DevOps)、兩方向(安全左移與安全右移)、三環(huán)節(jié)(構(gòu)建、部署、運行)和四目標(biāo)(面向開發(fā)、面向云原生基礎(chǔ)設(shè)施、軟件定義、全流程一體化安全運營)。

當(dāng)前,國內(nèi)云原生安全市場的主要玩家各有所長,但相較于幫助云服務(wù)客戶構(gòu)筑能力成熟完備、責(zé)任邊界明確、服務(wù)靈活高效的云原生安全體系這一目標(biāo),仍有距離。

隨著客戶對云原生技術(shù)的理解和應(yīng)用不斷深入,對云原生安全服務(wù)能力的需求與評價愈加明確,第三調(diào)研機構(gòu)和科研單位在該領(lǐng)域的深度參與投入以及相關(guān)報告、標(biāo)準(zhǔn)的出臺,云原生安全成為中國云安全市場高速發(fā)展核心引擎之時指日可待。

關(guān)于作者

孫立鵬 奇安信云安全管理事業(yè)部負(fù)責(zé)人