2021年5月26日，云原生產(chǎn)業(yè)大會舉辦“云原生安全論壇”，首發(fā)《云原生架構(gòu)安全白皮書（2021年）》和《云原生能力成熟度第3部分：架構(gòu)安全》標準框架。發(fā)布了2021年“容器安全解決方案”最新評估結(jié)果，頒發(fā)了“2021年度云原生技術(shù)創(chuàng)新解決方案/產(chǎn)品”安全平臺案例。

　　北京升鑫網(wǎng)絡(luò)科技有限公司（青藤云安全）“青藤蜂巢？容器安全平臺”和北京小佑科技有限公司“鏡界容器安全防護平臺”獲得“容器安全解決方案”先進級（最高級）證書圖片

　　北京升鑫網(wǎng)絡(luò)科技有限公司（青藤云安全）“青藤蜂巢？容器安全平臺”獲得“2021年云原生技術(shù)創(chuàng)新解決方案/產(chǎn)品”優(yōu)秀案例（安全類）隨著全社會加快數(shù)字化轉(zhuǎn)型的步伐，尤其是云計算成為驅(qū)動數(shù)字經(jīng)濟發(fā)展的重要力量，云原生憑借快速部署、彈性、可擴展性等特性，在越來越多的領(lǐng)域落地應(yīng)用。然而，云原生在改變云端應(yīng)用的設(shè)計、開發(fā)、部署和運行模式的同時，也帶來了新的安全要求和挑戰(zhàn)?！对圃脩粽{(diào)查報告》中顯示，用戶云原生化改造的三大顧慮之一就是安全問題。

　　云原生究竟面臨哪些安全挑戰(zhàn)？安全風險的引入途徑是什么？如何提升云原生安全防護能力？本論壇邀請云服務(wù)商、安全廠商、行業(yè)專家，共話云原生安全的機遇與挑戰(zhàn)，干貨滿滿！

　　中國信息通信研究院（以下簡稱“中國信通院”）云計算與大數(shù)據(jù)研究所鄭劍鋒帶來了《云原生安全白皮書及標準工作介紹》。2019年起，中國信通院開始在云原生安全領(lǐng)域發(fā)力，2019年8月啟動《基于容器的平臺安全能力要求》標準研究工作并在2021年5月報批，2020年10月成立了云原生產(chǎn)業(yè)聯(lián)盟安全工作組，2020年10月啟動《云原生架構(gòu)安全白皮書》編寫工作并在大會當日發(fā)布，2020年5月啟動《云原生能力成熟度第3部分：架構(gòu)安全》標準編寫，目前已完成立項。

　　云原生安全風險包括兩方面，一方面是容器、DevOps工具鏈等云原生技術(shù)架構(gòu)引入的全新安全風險，另一方面是上層應(yīng)用完成微服務(wù)、無服務(wù)等云原生化改造后面臨的風險擴大和資源濫用風險。針對風險，進一步明確了安全防護對象、安全責任、設(shè)計原則，并構(gòu)建了涵蓋基礎(chǔ)設(shè)施安全、云原生計算環(huán)境安全、云原生應(yīng)用安全、云原生研發(fā)運營安全、數(shù)據(jù)安全、安全管理6大方面的安全防護體系，預(yù)測云原生安全將走向多元主導(dǎo)、以服務(wù)為中心、應(yīng)用架構(gòu)深度融合、輕量化、敏捷化和精細化。

　　騰訊云SOC產(chǎn)品負責人肖煜帶來了主題演講《Cloud SOC—云時代讓安全運營煥發(fā)新生》。騰訊在安全運營方面做了很多工作，云原生時代，存在資產(chǎn)用完即走、攻防節(jié)奏加快、多租戶、整體安全呈現(xiàn)四方面的問題。針對這一問題，騰訊的SOC產(chǎn)品從防御、檢測響應(yīng)、平臺租戶、可視呈現(xiàn)四個角度完美契合了安全運營需求，實現(xiàn)了資產(chǎn)全方位、全生命周期的系統(tǒng)梳理，構(gòu)建了基于流量監(jiān)測、旁路阻斷、實時響應(yīng)的機制，滿足全時段租戶專屬安全運營，具備實時自定義可視化監(jiān)控能力，形成了體系化的安全運營產(chǎn)品套件，滿足云原生安全需求。

　　中國移動浙江有限公司信息技術(shù)安全部經(jīng)理徐良帶來了《浙江移動IT云安全防護實踐》主題演講。隨著云化、容器化和微服務(wù)化，現(xiàn)在運營商業(yè)務(wù)營銷的暴露面問題也日益突出，內(nèi)網(wǎng)風險也逐漸增加，存在以下問題：一是云內(nèi)部的威脅監(jiān)測跟防護能力不足；二是云內(nèi)部的檢控和防護不足；三是開源組件成為漏洞的主要來源；四是定向安全應(yīng)急處置能力亟需提升。

　　浙江移動積極轉(zhuǎn)換安全工作思路，構(gòu)建云原生安全防護方案，應(yīng)對業(yè)務(wù)安全風險。一是從合規(guī)管理向網(wǎng)絡(luò)對抗轉(zhuǎn)變；二是運營機制從原來靜態(tài)防護轉(zhuǎn)向積極防御；三是從原來單一的或者相對孤立的手段要轉(zhuǎn)向聯(lián)動一體的技術(shù)手段；四是把安全能力從做好自身防護轉(zhuǎn)向服務(wù)他人，最終完成容器基線檢測、容器鏡像防護、容器邊界安全防護、容器運行時安全監(jiān)測、微服務(wù)及開源組件管理，并具備對抗演練能力，實現(xiàn)浙江移動的云原生安全防護體系構(gòu)建。

　　青藤云安全技術(shù)副總裁張嵩發(fā)表了主題演講《云原生的安全理念、風險與快速實踐路徑》。張嵩從金融機構(gòu)的云原生安全防護實踐經(jīng)驗出發(fā)，講述無論甲方用戶還是乙方同行，都存在對容器或者云原生技術(shù)本身認知不到位的階段，現(xiàn)階段云原生安全更多的不是一個產(chǎn)品級的問題，而是如何去認知和適應(yīng)這一個新技術(shù)的發(fā)展。云原生技術(shù)，從大的單體應(yīng)用到分布式到微服務(wù)，到容器化，到編排，再到網(wǎng)格，再到無服務(wù)階段，隨著技術(shù)的發(fā)展，發(fā)展的非?？?，因為它上層業(yè)務(wù)也支撐的非常快，安全人員漸漸發(fā)現(xiàn)跟不上了，到處都存在風險。

　　云原生安全應(yīng)該最大限度的去借助云原生已有的安全能力，它內(nèi)置了很多安全方面的系統(tǒng)和考慮；接下來需要考慮容器安全的技術(shù)跟云平臺本身要去進行充分的結(jié)合；再就是在云原生環(huán)境下補充一些云本身的能力?？偨Y(jié)起來就是四步：第一步是底層基礎(chǔ)設(shè)施的安全性問題；第二步是在容器或者說容器編排系統(tǒng)如何進行加強；第三步是容器鏡像層的安全防護；第四步是容器運行態(tài)的安全監(jiān)測。

　　中國移動信息技術(shù)中心研發(fā)創(chuàng)新中心王慶棟帶來了《云原生安全在中國移動磐基（Paas）平臺的安全防護實踐》主題演講。中國移動信息技術(shù)中心在云化方面要求需要從資源為中心的云計算向應(yīng)用為中心的云原生方向為轉(zhuǎn)變，沒有云原生也沒有真正的數(shù)字化和智能化。整個磐基PaaS平臺面臨5塊風險：基礎(chǔ)設(shè)施安全風險、編排組件與鏡像安全風險、容器運行時風險、微服務(wù)風險、安全運營的復(fù)雜度。

　　中國移動通過具體的實踐方法來解決安全問題。一是通過基礎(chǔ)設(shè)施的資產(chǎn)和容器資產(chǎn)關(guān)聯(lián)分析實現(xiàn)基礎(chǔ)設(shè)施安全；二是在DevOps的軟件工具鏈的不同階段提供各類安全工具來保證順利流轉(zhuǎn)；三是容器運行時強調(diào)發(fā)現(xiàn)能力；四是對微服務(wù)按Pod類型等各種維度進行分類管理；五是通過量化模型實現(xiàn)資源保障。

　　小佑科技的CEO袁曙光帶來了主題演講《云原生安全的規(guī)劃與實踐》。云原生和傳統(tǒng)安全不同，首先，生命周期變化了，物理機以年為單位、虛擬機以月為單位、容器以天為單位、函數(shù)以小時為單位，資產(chǎn)管理和梳理需要動態(tài)變化；其次，防護邊界不同了，傳統(tǒng)IDC是以物理邊界、虛擬機以IP為邊界、云原生時代以標簽為單位，實現(xiàn)了動態(tài)漂移，安全出發(fā)點和資產(chǎn)對應(yīng)的關(guān)系發(fā)生了很大變化；再就是流程的改變，流程高度敏捷和自動化；最后就是新的攻擊模型出現(xiàn)。

　　云原生安全有兩個視角，第一個是流程視角，從開發(fā)到存儲到部署到運行；第二個是IT架構(gòu)視角，包含基礎(chǔ)設(shè)施、計算環(huán)境、應(yīng)用、研發(fā)運行、數(shù)據(jù)和安全管理。兩個視角各有側(cè)重、各有優(yōu)劣。

　　云原生規(guī)劃要關(guān)注幾點：一是策略先行，二是全面考慮，三是根據(jù)云建設(shè)的節(jié)奏逐步完善，四是要貼合云原生。

　　新華三云智產(chǎn)品線云平臺研發(fā)負責人李學峰帶來了《云原生安全的全景和架構(gòu)》。在軟件這個行業(yè)里，能把所有跟軟件相關(guān)的技術(shù)串起來并不多，安全算一個。云原生時代，安全的變革因素是什么？第一個就是應(yīng)用運行邊界的模糊，第二個是應(yīng)用內(nèi)生性安全問題的凸顯，第三個是機械化的應(yīng)用安全管控與自動化的軟件開發(fā)流程之間的矛盾。

　　云原生安全的整體建設(shè)思路就是以應(yīng)用為中心，應(yīng)用包括應(yīng)用的運行平臺，應(yīng)用的架構(gòu)，應(yīng)用的開發(fā)，應(yīng)用的管理四個部分。應(yīng)用運行平臺的安全包括容器層的安全，編排系統(tǒng)的安全，以及常規(guī)基礎(chǔ)的主機安全。應(yīng)用架構(gòu)層上的安全包括微服務(wù)與外部層的架構(gòu)安全，東西向流量安全，中間件安全，Service Mesh與應(yīng)用服務(wù)安全。應(yīng)用開發(fā)流程安全總的一個思路把策略安全的管控嵌入到Devsecops流程里面。應(yīng)用安全的管理則包括審計和密鑰安全。