2022云技术峰会上,某业界大佬在演讲中表示,云原生正成为企业上云的首选,全面云原生的时代正在来临。

容器、微服务等技术的应用,不仅重新定义了云上的开发运营体系,加快了业务上线和变更的速度,云的使用变得比以往更加便捷、高效。

云原生在给企业带来敏捷的同时,也引入了全新的安全风险和挑战。与传统的安全防护能力不同,云原生安全需要安全能力和云原生平台紧密结合,安全必须集成到持续集成和持续开发流程中,真正成为内生安全。

现在很多人将云原生安全称为云安全的下半场、云安全的未来,足见其重要程度。云原生时代,安全究竟该怎么做呢?

作为国内云安全领域,市场占有率多年领先的安全厂商(根据赛迪顾问相关报告数据),奇安信同样在积极寻求变化,以满足云安全合规之后,客户对云原生安全的迫切需求。

现实:两成用户无云原生安全防护能力

2022年7月,作为工信部直属科研事业单位的中国信息通信研究院,发布了《云计算白皮书(2022年)》。白皮书显示,中国云计算市场在2021年仍保持高速增长,市场规模达3,299亿元,较2020年增长54.4%。《“十四五”数字经济发展规划》的发布、工信部《企业上云用云实施指南(2022)》编纂工作的启动等对政企深度上云用云的政策性指引,形成了2021年中国特色云计算产业发展的大背景。

技术方面,白皮书认为,2021年的突出特点,在于云原生正通过改进企业的IT技术和基础设施,持续加速企业IT要素的变革,成为企业用云的新范式。具体来看,表现在云原生生态的日趋完善、能力模型的日渐丰富、与企业IT建设目标和要素深度融合三大方面。

中国云原生技术的实际应用情况,中国信通院云原生产业联盟(CNIA)也连续多年,以问卷、访谈结合的形式对多行业用户进行了统计。管中窥豹,从最新的《中国云原生用户调查报告(2021年)》中,我们能够看到以下四个云原生应用的重要趋势:

  • 混合云部署增长明显。仅15.74%的用户没有使用多云/混合云的计划。

  • 容器用户生产环境中的采纳率再创新高。接近七成用户在生产环境中使用了容器技术,45.48%的用户已将容器用于核心生产环境。

  • 微服务架构获得用户普遍认可。已经使用及计划使用微服务架构的用户超过八成,54.81%的用户已经使用微服务架构进行应用开发。

  • 无服务器技术持续升温。近四成用户已在生产环境中应用无服务器,18.11%的用户已将Serverless技术用于核心业务的生产环境。

或许是因为有云安全等级保护等合规基础,云原生技术在中国市场大放异彩的同时,云原生安全并没有被忽视。报告显示,近7成用户对云原生技术在大规模应用时的安全性、可靠性、性能、连续性心存顾虑。容器逃逸、微服务和API的安全是企业最关心的云原生安全问题。近六成的企业表示,容器及其编排系统自身的安全已成为最突出的云原生安全隐患。

企业最关心的云原生安全问题

中国用户普遍已经开始对云原生安全产生担忧,但从安全投入和能力建设角度看,现状又仍显不足,甚至可以说尚在起步阶段。报告显示,仍有约两成用户目前无任何针对云原生技术的防护能力。仅有四成用户具备对镜像的漏洞扫描能力和容器运行时入侵检测能力,具备对云原生集群的安全监控与审计能力的用户不到五成。企业人员架构层面,仅有12.04%的受访者表示,所在企业有单独的信息安全部门来处理云原生安全问题。

这就是2021年,中国云原生和云原生安全不容乐观的大致现状。同时,这也给了云服务商、传统和初创安全厂商在云原生安全这个角力场施展拳脚的空间。

云原生的安全,还是安全的云原生化?

网络安全产业的某一细分领域,如果在领域定义、市场需求、产品类型等方面都不够明确、统一的情况下,哪方能有更大的话语影响力,哪方就能更多的占据主动,影响甚至教育市场。近10年前的工控安全,目前的云原生安全,都是处于这样一个形势下。

观察当前云原生安全市场情况,更多是互联网公司起家的云服务商,和安全厂商两方的市场角力。安全厂商又可以分为传统安全厂商和专注云原生安全赛道的初创企业两类。

两方的观点和优势也是非常鲜明。

云服务商的积累优势在于自身全栈的云服务技术架构、丰富的云服务产品以及广泛的客户基础,更强调安全与云原生基础设施的深度融合。通过将安全能力与自家技术架构、服务产品的深度绑定,强调云原生安全不再外挂,随云而动,更灵活更细粒度的安全能力和更好的安全体验。

无疑,这是将安全云原生化,进而让安全像空气一样,在自家的云服务体系中无处不在。对于云服务商而言,云是大局,安全的云是核心。

安全厂商则不然。云原生技术当前的应用推广不是迭代式,相对的云原生安全未来数年大概率还只是会作为云安全市场的重要补充。同时,有一定体量、规模的安全厂商,业务一般会涉及云安全之外其他领域。所以,安全厂商的核心优势,在于安全能力、专业人员、服务流程的积累,所以更强调安全的目标和保护对象。

所以,对于安全厂商而言,云原生安全当前更多是面向云原生环境和应用的安全。

此外,云原生安全与当前的云安全,有着明显的区别和必然的联系。无论是因为安全的特殊属性,还是为了规范市场、拉齐能力底线,进入合规也是云原生安全必然的发展方向。换言之,合规的缺位也是当前制约云原生安全市场快速发展的重要因素。

研究2019年发布的等保2.0系列标准中针对云计算的安全扩展要求,不难发现,虚拟化环境是当时主要考虑的。从安全角度做好对云原生环境中容器、微服务等技术,以及贯穿云原生应用全生命周期的DevSecOps的支持,而不局限于某个特定云服务商的技术与产品体系,以更加合理的应对客户越来越多的混合云(不同云服务商参与)的部署场景,是安全厂商在理解云原生安全时更多考虑的。

制衡与内生:奇安信云原生安全关键词

作为成功实现2022年北京冬奥及冬残奥会网络安全“零事故”的全线安全厂商,奇安信对云原生安全理念,可以归结为两个关键词:制衡、内生。他们都不是新词,但是在云原生时代,有了新的安全内涵。

先说“制衡”。网络安全工作的制衡,无论是通过技术手段还是管理手段,核心都不是制约而是平衡,目的是要保障网络安全实现零事故目标,即业务不中断、数据不出事、合规不踩线。

云安全的制衡,主要体现在云服务商、云上租户与安全厂商三者之间。业界耳熟能详的“云计算安全责任共担模型”,最能恰如其分的体现云安全三方制衡的理念。该模型对IaaS、PaaS、SaaS三种服务模式剖析云服务参与主体需要承担的安全责任,对应行业标准(YD/T 4060—2022)由中国信通院牵头制定,并已于2022年7月正式发布施行。

云计算安全责任共担模型

发生勒索、挖矿、数据泄露等安全事件,最终蒙受财务和声誉损失的是云服务客户。所以对于云服务客户而言,明确自身责任内的云安全能力真实建设情况与实际运营效果,应该成为合规外的重要驱动力。这不仅有助于真正降低云安全事件发生的概率,更有助于产生经济损失后的定责。

要实现此目标,客户自然可以根据自身需求和实际市场情况,自由选择云安全能力提供方进行采购。但是,既然责任整体一分为二,那么承担另一部分责任的云服务商理应避嫌。这一是出于让责任边界更清晰,方便客户对供应商进行管理的考量,二是不能让“共担”这一业界共识名不副实,无法实现共担背后的重要意义。

但我们看到的市场现状是,部分云服务商在部分项目上对安全的大包大揽。云原生安全亦是如此。设想如果云服务客户的安全责任,也全部由云服务商或和其有利益关系的安全厂商承担,一旦出现安全事件,客户能否第一时间得知真实详情?事后如何保证定性、追责的客观性?

当然,这不是说云服务商不要和安全厂商合作。恰恰相反,一个开放的生态,云服务商、安全厂商、客户三方的积极参与和务实合作,才能让客户云安全工作的管理有抓手,云上安全事件的应对底线有保障,对关键业务系统、核心生产环境的上云用云真正放心。

再说“内生”。如果说信息化时代,安全处在伴生的位置。在数字化时代,安全应保持与新技术应用的“同步”,并做到内生。

中国信通院《中国数字经济发展报告(2022年)》显示,2021年产业数字化规模达到37.18 万亿元,占数字经济比重81.7%,占GDP比重32.5%。可以说,产业数字化已经成为数字经济发展主引擎。

实体经济的数字化转型,数字化基础设施是关键底座。云计算的发展进程,已经成为我国数字基建的晴雨表。

统筹发展与安全,是发展数字经济的核心指导思想。安全与业务系统同步规划、同步建设、同步运营的目标,便是要实现安全与数字技术、与数字业务的深层次融合。云原生技术作为云计算的“新人”“红人”,更应在推广应用的早期,就围绕云原生技术和其支撑的业务系统,建立起自适应、自主、自生长的云原生安全能力,助力客户实现“保护云原生应用安全”这一目标。

奇安信是内生安全理念的提出者和坚定践行者。2021年,奇安信与咨询公司Gartner联合发布了《数字化转型需要内生的安全框架》报告。该报告提出,基于中国网络安全建设现状,需要一种更具中国特色、切实有效的网络安全建设体系。

内生安全框架由系统工程方法论结合“内生安全”理念形成,包括网络安全能力体系、规划方法论与工具体系、能力化组件模型、建设实施项目库(即“十工五任”)、网络安全部署和运行体系参考架构等多个组件,目的是引导政企机构规划和建设网络安全,使其从外挂走向内生、从“走形式”转向“实战化”,适应数字经济的发展。2022年北京冬奥会和冬残奥会网络安全保障任务的圆满完成,“零事故”目标的成功实现,便是内生安全框架一次在奥运场景下的最佳实践。

要实现安全在云原生环境的内生,奇安信认为云原生安全的设计规划需秉承以下三个原则:

一是安全左移。安全从开发阶段介入,尽早暴露容器等云原生技术在应用过程中的风险,降低在运行时阶段再进行修复的代价。

二是全生命周期覆盖。云原生安全应以保护云原生应用为中心,安全能力覆盖云原生应用的全生命周期,真正让Sec贯穿DevOps全流程。

三是原生融合。云原生安全体系与架构应能与云原生技术环境融合,从外挂式的割裂走向内生。

在云原生安全建设思路与内容上,奇安信认为,云原生安全主要应从云原生制品安全、云原生基础设施安全和云原生运行时安全三个维度入手。云原生安全能力,当前应覆盖云原生基础设施安全、制品安全、容器安全、微服务安全等。

针对云原生应用的安全防护,Gartner发布的《CNAPP创新洞察》报告认为,云原生应用保护平台(CNAPP)解决方案涉及基础设施即代码(IaC)扫描、容器扫描、云工作负载保护(CWPP)、云安全态势管理(CSPM)等跨越开发和生产环境的关键能力。通过将这些能力工具集成在统一平台,CNAPP可为云原生客户真正提供端到端的云原生应用保护,提高云原生应用的安全可见性、改进了兼容性、加快了风险识别能力、实现了风险和合规检测自动化。

奇安信基于多年云安全市场的积累与深耕,目前能够提供包括容器安全、软件供应链安全、CWPP、CSPM、API安全、RASP(运行时应用自防护)等面向云原生技术的安全能力及CNAPP平台产品,稳定可靠的支持国内所有主流云服务商云原生环境。其专业、高成熟度的云原生安全能力,已获得中国信通院“云原生能力成熟度-云原生基础架构安全域L4”以及“可信云云原生应用保护平台(CNAPP)”在代码安全、镜像安全、网络微隔离、云工作负载保护和环境适配五方面能力的权威认定。

正如云原生极大程度上改变云的使用方式与效果一样,云原生应用保护平台(CNAPP)及相关云原生相关能力,也将从根本上重构未来云安全的市场格局。

结语

云原生安全的建设,应以云原生应用为中心,覆盖云原生应用全生命周期,贯穿一体系(DevOps)、两方向(安全左移与安全右移)、三环节(构建、部署、运行)和四目标(面向开发、面向云原生基础设施、软件定义、全流程一体化安全运营)。

当前,国内云原生安全市场的主要玩家各有所长,但相较于帮助云服务客户构筑能力成熟完备、责任边界明确、服务灵活高效的云原生安全体系这一目标,仍有距离。

随着客户对云原生技术的理解和应用不断深入,对云原生安全服务能力的需求与评价愈加明确,第三调研机构和科研单位在该领域的深度参与投入以及相关报告、标准的出台,云原生安全成为中国云安全市场高速发展核心引擎之时指日可待。

关于作者

孙立鹏 奇安信云安全管理事业部负责人