云原生时代下新安全范式的思考与应对

文│新华三集团安全研究院院长 顾成杰

随着云原生不断深入应用，用户更加聚焦于发挥云计算的效能。以容器、微服务、开发运营一体化（DevOps）为代表的云原生技术蓬勃发展，凭借应用简单快捷、部署应用轻松自如、运行应用按需伸缩等优点，云原生技术得到迅速推广，成为业界主流，极大地释放了云计算红利。但随着云原生的广泛应用，系统架构愈加复杂，资源规模愈加庞大，云计算威胁事件频发，迫切需要构建有效的云原生安全体系。

一、云原生带来的安全挑战

（一）安全机制的颠覆性变化

在云原生时代，传统物理边界变得模糊，安全边界也不再是数据中心边缘和企业网边缘的某个硬件盒子。在这种情况下安全问题也发生了本质变化，从 “安全的边界设置在哪里？”转变为“哪些用户能访问这些业务？特定用户具有哪些访问权限？特定用户为什么配置有这些权限？特定用户的这些权限需要随时随地根据策略进行调整吗？”。

针对云原生时代以上安全问题的提出，安全的机制也必须进行转变。首先，从“基于边界为中心”的部署原则转变为“基于以数据/业务访问为中心”的安全部署原则。第二，传统安全边界变成了无处不在的边界，“内部安全”和“边界安全”的重要性趋于一致。第三，将访问控制、认证和授权放在应用层实现，而不是在传统的网络层实现。

（二）安全需求的颠覆性变化

过去用户在其数据中心采用机械的、基于已定策略的纵深防御进行层层保护，但是在云原生时代，用户本身就具有代码设计和开发能力，主要依靠内部开发的云端服务或定制化软件来实现业务，在这种情况下，不同的客户对应不同的安全业务场景，也有不同的安全需求。

云原生时代，需要满足不同用户各类典型应用场景的安全需求。例如，金融类用户非常关注其金融数据的运行是否安全，需要对借贷业务的数据进行全链路加密和全过程监控 ; 制造业用户则关注企业内部信息资产的安全，需要满足用户的角色权限控制、证书管理与审计、数据的访问控制等；云平台提供商用户则关注是否能高效管控包括云资源、业务数据等各方的权限，需要进行密钥管理以避免泄露容器的敏感信息。

（三）防护对象的颠覆性变化

传统安全防护范畴中的“端点、网络、边界”各个层级相对清晰，而云原生时代下这些边界界限变得非常模糊。为了实现云原生属性，云应用需要在发布、服务方式、随需弹性、数据和工作负载管理等多方面重新构建。

其中，工作负载是对运行应用所需要的资源和进程的抽象化定义。从最初的物理服务器，演进为虚拟机形式，再到云服务中容器成为工作负载的主流，目前正在发展的工作负载新形式直接对应用运行时（Run-time）虚拟化，改变了传统意义上的服务进程监听运行模式，是更加精细粒度的瞬态工作负载。多种形式和生命周期的云工作负载会长期共存并共同演进，因此需要解决好对每类负载做好安全保护。

二、云原生时代需要有相适宜的新安全范式

（一）以原生的思维构建云安全体系

一方面，由于传统安全边界变成了无处不在的边界，基于边界防护的安全体系已经不再适用。另一方面，云原生是充分利用原生云能力（自动扩展、无中断部署、自动化管理和弹性等）进行应用设计和部署的方法，通过微服务、容器、云数据库、K8s、弹性搜索和遥测（Telemetry）等技术，不是简单把原有的企业网环境和虚机迁移到云里，而是为了实现云原生属性，对云应用在发布、服务方式、随需弹性、数据和工作负载管理等多方面进行了重构。

由于传统的基于边界的安全已力不从心，同时由于云原生属性明确关注云应用的快速开发与部署，这就需要有与之相适宜的新安全范式来支撑。云原生安全与过去边界原生安全的差异点在于，在云应用的全生命周期阶段将安全内嵌进来，而不是过去外挂式的干预措施来保障开发、分发、部署和运行时的安全。

云原生安全作为一种新兴的安全理念，并不是只解决云原生技术带来的安全问题，而是强调以原生的思维构建云安全体系，驱动安全与云计算深度融合，推动云服务商提供更安全的云服务，帮助客户更安全的上云。

（二）云原生时代下安全理念的变革

边界防护的安全防护理念虽然很好的运行了二三十年，但是已经很难满足如今的需求。云原生技术作为云计算基础设施的关键和新常态，随着云原生应用部署的加速，从“边界防护”到“嵌入式内生安全”的安全范式转变，正在今天的安全行业里潜移默化地发生，以解决现有“护栏式”“查缺补漏”式的安全建设模式，增强安全协调与韧性恢复能力，实现对云原生安全的动态、全局性的理解，从而演变到与云业务深度融合的多维度、全方位、内生式的安全防护体系。

在整个云原生平台、用户及云原生产品的生命周期里，首先需要系统性地梳理所需的云原生安全能力、云原生产品的安全技术保障能力、如何保障云原生安全管理平台等，以确保云原生安全成为云原生系统的有机组成。其次，将安全能力建设合理地内置到云平台的部署建设中，做到二者深度融合、全面覆盖。最后，需要云业务系统持续安全运行，实现云原生安全管理和响应闭环。

（三）云原生时代下安全产品的变革

云原生安全主要包括三大类。

一是对云原生要求不高的传统安全产品，例如防火墙（FW）、入侵防御系统（IPS）、应用控制网关（ACG）、终端检测与响应（EDR）、安全信息和事件管理（SIEM）等，这些产品一般由第三方开发，可以直接或以虚拟化形式部署上云。目前该类产品属于静态存量市场，在将来的一段时间内，会随着信息基础设施不断云化而逐渐饱和或者萎缩。

二是云平台运营商原生提供的安全组件，例如云数据库安全、应用软件编程接口（API）安全、容器安全、用户行为监控等，这类组件一般由云平台运营商自行开发部署或从第三方购买集成。目前，云平台运营商在这块也投入了大量资源进行开发。

三是云原生安全产品，例如云工作负载保护平台（CWPP）、云安全态势管理（CSPM）、云访问安全代理（CASB）等。这块安全产品的未来所在，也是安全与云计算深度融合创新的具体结合点，是未来安全厂商或者云计算厂商抢占制高权的必争之地。

未来，随着云原生安全时代的到来，涵盖基础设施安全、容器安全、应用安全、研发安全、管理安全等方面的云原生安全产品体系将趋于整合云计算 安全 方案，帮助用户快速地构建“动态创建、策略驱动、精准管控和灵活访问”云安全体系。

三、云原生时代下的安全体系建设

构建有效的云原生安全体系是夯实数字经济安全底座的基本保证。云原生安全是内生式安全，通过云平台与生俱来的安全特性来保障安全，驱动云平台提供商提供更安全的云服务。

云原生安全理念强调更安全的上云，还强调更安全的云服务，这就要求云平台提供商需要将安全前移，在云平台运营全生命周期内融入各项安全措施来提升云安全服务质量。云原生安全体系主要包括云原生计算安全、云原生网络安全、云原生应用安全、云原生数据安全和云原生安全管理等五个方面。

（一）云原生计算安全

云原生计算安全主要包括云主机安全、容器安全和运行环境安全等方面，主要实现对计算资源的安全防护和隔离。其中，云原生主机安全通过资产管理、漏洞管理、基线检查、病毒检测、威胁响应处置，实现云上工作负载的安全防护，对主机层面、容器及其上承载的数据库等工作负载进行全面的安全防护；云原生容器安全通过安全策略、镜像检测、合规基线检测、运行时检测和防护、容器网络隔离、安全运行环境，实现云上容器的安全防护。

（二）云原生网络安全

云原生网络安全主要完成连通资源间的安全防护和隔离，为用户的上层业务安全提供保障。通过云防火墙、云 Web 防火墙、分布式拒绝服务攻击（DDoS）安全防护、网络入侵防护等技术，实现云原生网络的安全防护。例如，云防火墙通过对互联网与云上资产间的东西向流量，以及云内虚拟私有云（VPC）间的南北向流量进行访问控制，实现云上流量的安全可信与可控。云 Web 防火墙通过对云上 Web 应用的恶意流量、访问行为进行检测和拦截，实现 Web 应用核心业务和数据安全。

（三）云原生应用安全

云原生应用安全主要保障应用配置安全和应用环境安全等。针对云应用的安全，通过在产品研发全生命周期便融入安全措施来提升云应用质量，覆盖云应用研发运营整个过程。可通过静态应用程序安全测试、动态应用程序安全测试、交互式应用程序安全测试、软件组成分析、运行时应用自保护等手段，满足应用数据的机密性、完整性和可用性，以实现云原生应用的安全防护。

（四）云原生数据安全

云原生应用安全主要包括密码管理、数据加密、数据脱敏、数据安全治理、数据安全审计、数据防泄漏和隐私保护等诸多方面。例如，数据分类治理对云上流转数据的发现和分类分级，并对敏感数据的泄露进行监测与拦截。数据安全审计可挖掘数据运行过程中各类潜在风险和隐患，对访问操作、会话信息、SQL 语句进行全量双向审计、分析、告警。数据防泄漏对云主机中使用的数据进行深度内容分析，监控敏感数据泄漏和发现敏感信息存储的隐患。

（五）云原生安全管理

云原生安全管理主要包括云原生安全服务、安全编排自动化及响应（SOAR）、安全运营中心（SOC）等。依托丰富的原生安全服务，同构混合的安全能力，多云安全统一管理，帮助云上用户实现安全随需可用。例如，通过自定义或内置安全编排策略，针对云上各类高级别安全事件提供更快速的响应，实现大部分风险事件告警的自动化闭环处置。通过安全运营中心平台，对于安全事件统筹协同响应处理，将本地设备和服务与云端实现全互联，如配置下发、一键封堵、情报共享、知识查询、云端探测结果同步等。

（本文刊登于《中国信息安全》杂志2022年第5期）

（编辑：站长网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!