2021年5月26日，云原生產(chǎn)業(yè)大會舉辦“云原生安全論壇”，首發(fā)《云原生架構安全白皮書（2021年）》和《云原生能力成熟度第3部分：架構安全》標準框架。發(fā)布了2021年“容器安全解決方案”最新評估結果，頒發(fā)了“2021年度云原生技術創(chuàng)新解決方案/產(chǎn)品”安全平臺案例。

　　北京升鑫網(wǎng)絡科技有限公司（青藤云安全）“青藤蜂巢？容器安全平臺”和北京小佑科技有限公司“鏡界容器安全防護平臺”獲得“容器安全解決方案”先進級（最高級）證書圖片

　　北京升鑫網(wǎng)絡科技有限公司（青藤云安全）“青藤蜂巢？容器安全平臺”獲得“2021年云原生技術創(chuàng)新解決方案/產(chǎn)品”優(yōu)秀案例（安全類）隨著全社會加快數(shù)字化轉型的步伐，尤其是云計算成為驅動數(shù)字經(jīng)濟發(fā)展的重要力量，云原生憑借快速部署、彈性、可擴展性等特性，在越來越多的領域落地應用。然而，云原生在改變云端應用的設計、開發(fā)、部署和運行模式的同時，也帶來了新的安全要求和挑戰(zhàn)。《云原生用戶調(diào)查報告》中顯示，用戶云原生化改造的三大顧慮之一就是安全問題。

　　云原生究竟面臨哪些安全挑戰(zhàn)？安全風險的引入途徑是什么？如何提升云原生安全防護能力？本論壇邀請云服務商、安全廠商、行業(yè)專家，共話云原生安全的機遇與挑戰(zhàn)，干貨滿滿！

　　中國信息通信研究院（以下簡稱“中國信通院”）云計算與大數(shù)據(jù)研究所鄭劍鋒帶來了《云原生安全白皮書及標準工作介紹》。2019年起，中國信通院開始在云原生安全領域發(fā)力，2019年8月啟動《基于容器的平臺安全能力要求》標準研究工作并在2021年5月報批，2020年10月成立了云原生產(chǎn)業(yè)聯(lián)盟安全工作組，2020年10月啟動《云原生架構安全白皮書》編寫工作并在大會當日發(fā)布，2020年5月啟動《云原生能力成熟度第3部分：架構安全》標準編寫，目前已完成立項。

　　云原生安全風險包括兩方面，一方面是容器、DevOps工具鏈等云原生技術架構引入的全新安全風險，另一方面是上層應用完成微服務、無服務等云原生化改造后面臨的風險擴大和資源濫用風險。針對風險，進一步明確了安全防護對象、安全責任、設計原則，并構建了涵蓋基礎設施安全、云原生計算環(huán)境安全、云原生應用安全、云原生研發(fā)運營安全、數(shù)據(jù)安全、安全管理6大方面的安全防護體系，預測云原生安全將走向多元主導、以服務為中心、應用架構深度融合、輕量化、敏捷化和精細化。

　　騰訊云SOC產(chǎn)品負責人肖煜帶來了主題演講《Cloud SOC—云時代讓安全運營煥發(fā)新生》。騰訊在安全運營方面做了很多工作，云原生時代，存在資產(chǎn)用完即走、攻防節(jié)奏加快、多租戶、整體安全呈現(xiàn)四方面的問題。針對這一問題，騰訊的SOC產(chǎn)品從防御、檢測響應、平臺租戶、可視呈現(xiàn)四個角度完美契合了安全運營需求，實現(xiàn)了資產(chǎn)全方位、全生命周期的系統(tǒng)梳理，構建了基于流量監(jiān)測、旁路阻斷、實時響應的機制，滿足全時段租戶專屬安全運營，具備實時自定義可視化監(jiān)控能力，形成了體系化的安全運營產(chǎn)品套件，滿足云原生安全需求。

　　中國移動浙江有限公司信息技術安全部經(jīng)理徐良帶來了《浙江移動IT云安全防護實踐》主題演講。隨著云化、容器化和微服務化，現(xiàn)在運營商業(yè)務營銷的暴露面問題也日益突出，內(nèi)網(wǎng)風險也逐漸增加，存在以下問題：一是云內(nèi)部的威脅監(jiān)測跟防護能力不足；二是云內(nèi)部的檢控和防護不足；三是開源組件成為漏洞的主要來源；四是定向安全應急處置能力亟需提升。

　　浙江移動積極轉換安全工作思路，構建云原生安全防護方案，應對業(yè)務安全風險。一是從合規(guī)管理向網(wǎng)絡對抗轉變；二是運營機制從原來靜態(tài)防護轉向積極防御；三是從原來單一的或者相對孤立的手段要轉向聯(lián)動一體的技術手段；四是把安全能力從做好自身防護轉向服務他人，最終完成容器基線檢測、容器鏡像防護、容器邊界安全防護、容器運行時安全監(jiān)測、微服務及開源組件管理，并具備對抗演練能力，實現(xiàn)浙江移動的云原生安全防護體系構建。

　　青藤云安全技術副總裁張嵩發(fā)表了主題演講《云原生的安全理念、風險與快速實踐路徑》。張嵩從金融機構的云原生安全防護實踐經(jīng)驗出發(fā)，講述無論甲方用戶還是乙方同行，都存在對容器或者云原生技術本身認知不到位的階段，現(xiàn)階段云原生安全更多的不是一個產(chǎn)品級的問題，而是如何去認知和適應這一個新技術的發(fā)展。云原生技術，從大的單體應用到分布式到微服務，到容器化，到編排，再到網(wǎng)格，再到無服務階段，隨著技術的發(fā)展，發(fā)展的非?？?，因為它上層業(yè)務也支撐的非?？?，安全人員漸漸發(fā)現(xiàn)跟不上了，到處都存在風險。

　　云原生安全應該最大限度的去借助云原生已有的安全能力，它內(nèi)置了很多安全方面的系統(tǒng)和考慮；接下來需要考慮容器安全的技術跟云平臺本身要去進行充分的結合；再就是在云原生環(huán)境下補充一些云本身的能力?？偨Y起來就是四步：第一步是底層基礎設施的安全性問題；第二步是在容器或者說容器編排系統(tǒng)如何進行加強；第三步是容器鏡像層的安全防護；第四步是容器運行態(tài)的安全監(jiān)測。

　　中國移動信息技術中心研發(fā)創(chuàng)新中心王慶棟帶來了《云原生安全在中國移動磐基（Paas）平臺的安全防護實踐》主題演講。中國移動信息技術中心在云化方面要求需要從資源為中心的云計算向應用為中心的云原生方向為轉變，沒有云原生也沒有真正的數(shù)字化和智能化。整個磐基PaaS平臺面臨5塊風險：基礎設施安全風險、編排組件與鏡像安全風險、容器運行時風險、微服務風險、安全運營的復雜度。

　　中國移動通過具體的實踐方法來解決安全問題。一是通過基礎設施的資產(chǎn)和容器資產(chǎn)關聯(lián)分析實現(xiàn)基礎設施安全；二是在DevOps的軟件工具鏈的不同階段提供各類安全工具來保證順利流轉；三是容器運行時強調(diào)發(fā)現(xiàn)能力；四是對微服務按Pod類型等各種維度進行分類管理；五是通過量化模型實現(xiàn)資源保障。

　　小佑科技的CEO袁曙光帶來了主題演講《云原生安全的規(guī)劃與實踐》。云原生和傳統(tǒng)安全不同，首先，生命周期變化了，物理機以年為單位、虛擬機以月為單位、容器以天為單位、函數(shù)以小時為單位，資產(chǎn)管理和梳理需要動態(tài)變化；其次，防護邊界不同了，傳統(tǒng)IDC是以物理邊界、虛擬機以IP為邊界、云原生時代以標簽為單位，實現(xiàn)了動態(tài)漂移，安全出發(fā)點和資產(chǎn)對應的關系發(fā)生了很大變化；再就是流程的改變，流程高度敏捷和自動化；最后就是新的攻擊模型出現(xiàn)。

　　云原生安全有兩個視角，第一個是流程視角，從開發(fā)到存儲到部署到運行；第二個是IT架構視角，包含基礎設施、計算環(huán)境、應用、研發(fā)運行、數(shù)據(jù)和安全管理。兩個視角各有側重、各有優(yōu)劣。

　　云原生規(guī)劃要關注幾點：一是策略先行，二是全面考慮，三是根據(jù)云建設的節(jié)奏逐步完善，四是要貼合云原生。

　　新華三云智產(chǎn)品線云平臺研發(fā)負責人李學峰帶來了《云原生安全的全景和架構》。在軟件這個行業(yè)里，能把所有跟軟件相關的技術串起來并不多，安全算一個。云原生時代，安全的變革因素是什么？第一個就是應用運行邊界的模糊，第二個是應用內(nèi)生性安全問題的凸顯，第三個是機械化的應用安全管控與自動化的軟件開發(fā)流程之間的矛盾。

　　云原生安全的整體建設思路就是以應用為中心，應用包括應用的運行平臺，應用的架構，應用的開發(fā)，應用的管理四個部分。應用運行平臺的安全包括容器層的安全，編排系統(tǒng)的安全，以及常規(guī)基礎的主機安全。應用架構層上的安全包括微服務與外部層的架構安全，東西向流量安全，中間件安全，Service Mesh與應用服務安全。應用開發(fā)流程安全總的一個思路把策略安全的管控嵌入到Devsecops流程里面。應用安全的管理則包括審計和密鑰安全。