云原生安全風險

隨著云原生架構的快速發(fā)展，核心能力逐漸穩(wěn)定，安全問題日趨緊急。在云原生安全領域不但有新技術帶來的新風險，傳統(tǒng)IT基礎設施下的安全威脅也依然存在。要想做好云原生安全，就要從這兩個方面分別進行分析和解決。

新技術帶來新的安全風險

云原生的概念定義本身就比較抽象，從誕生到現(xiàn)在也經歷了多次變化。2018年CNCF對云原生的概念進行了重定義：云原生技術有利于各組織在公有云、私有云和混合云等新型動態(tài)環(huán)境中，構建和運行可彈性擴展的應用。云原生的代表技術包括容器、服務網格、微服務、不可變基礎設施和聲明式API。雖然這是云原生概念最新的定義，但是不同的人對云原生的抽象概念理解相差很大，一直在不斷地爭論。狹義的理解直接套用定義，認為定義之外的技術不屬于云原生。廣義的理解則認為定義不夠貼切，應該從字面含義進行理解，認為只要是能利用云的特性，在軟件工程各階段提高效率，降低成本的行為、技術，都可以認為是云原生。

從普遍認知來看，云原生主要包括kubernetes和容器、微服務、云基礎設施，其中kubernetes和容器在某種程度上已經是云原生的代名詞。其中kubernetes和容器作為云原生時代的典型技術，也是帶來風險最多的技術，包括：kubernetes組件漏洞、認證鑒權不規(guī)范、公開鏡像存在漏洞、鏡像被植入惡意程序、容器隔離被突破造成逃逸等。微服務在云原生時代快速發(fā)展，在內部風險無法防范的時候會擴大安全風險，造成橫向攻擊擴散。

傳統(tǒng)IT基礎設施的威脅依然存在

云原生不能脫離底層IT基礎設施：計算、存儲、網絡而存在，因此這些IT基礎設施面臨的問題在云原生場景下依然存在。DDoS攻擊防護、cc攻擊防護、漏洞、木馬、病毒、數(shù)據(jù)泄露等等安全風險，并沒有因為云原生的發(fā)展而降低。

云原生安全構建

在云原生安全早期，人們的慣性思維就是利用傳統(tǒng)的安全防護手段去進行云原生安全防護。經過這么多年的攻防對抗，傳統(tǒng)產品在各自的領域都已經身經百戰(zhàn)，解決對應的安全問題也都不在話下，這些安全產品通過簡單地改造，就可以與云原生架構配合運行。

積木式云原生安全

這個階段云原生安全并不存在一個完整的架構，各安全產品就像搭積木一樣跟云原生架構進行配合。隨著這個安全體系的構建，工程師門很快就發(fā)現(xiàn)，安全并沒有因為云原生的到來發(fā)生什么改變，這種搭積木式的云原生安全方案，從遠處看各方面的安全都能有，方案也很完整。但是從近處看就能看到安全產品之間基本沒有聯(lián)系，使用起來并沒有什么改變，似乎安全和云原生就是兩個獨立的領域，無法支撐云原生快速發(fā)展的安全防護需求。

裝配式云原生安全

隨著在云原生安全方向上的深入研究，人們發(fā)現(xiàn)安全+云原生并不是簡單組合一下就能變成云原生安全。要想做好云原生安全，就必須按照云原生的思想去思考安全問題怎么解決，云原生安全應該是一個整體，而不是各個割裂的安全產品。Gartner認為，全面保護云原生應用需要使用來自多個供應商的多種工具，這些工具很少得到很好的集成，而且通常只為安全專業(yè)人員設計，而不是與開發(fā)人員合作。對于組織而言，這種孤立的安全工具在面對實際安全風險的并不太有效，而且會導致過多的警報、浪費開發(fā)人員的時間。在這種趨勢下，Gartner提出了CNAPP云原生應用保護平臺，將多種安全工具緊密地結合在一起，以保護日益復雜的攻擊面。

云原生的一個底層核心理念就是拆解、組合和標準化，這其實也是軟件開發(fā)領域一個軟件工程師長期追求的目標，即將業(yè)務邏輯和通用邏輯不斷拆分，通用邏輯逐漸獨立標準化，開發(fā)人員只需要關注自身業(yè)務邏輯。kubernetes從業(yè)務應用的角度將通用邏輯拆解，解決業(yè)務場景靈活多變的問題。不可變基礎設施作為云原生定義的四大要素，是最容易被忽略的，但是這個理念卻是云原生能夠持續(xù)發(fā)展的核心，極大地降低了云原生的復雜度，將標準化發(fā)揮到極致。這兩個核心技術都是底層理念的表現(xiàn)。這個理念跟裝配式建筑十分類似，把傳統(tǒng)建造方式中的大量工作轉移到工廠進行，在工廠加工制作好建筑配件（如樓板、墻板、樓梯、陽臺等），運輸?shù)浇ㄖ┕がF(xiàn)場，通過可靠的連接方式在現(xiàn)場裝配安裝而成的建筑。這種方式不僅建筑速度快，工業(yè)化質量也有保障。

裝配式云原生安全，就是按照云原生的核心理念，將各安全能力進行拆分、標準化改造、再組合。各安全能力不只是簡單的堆疊，通過云原生技術可靠地連接在一起，讓每個業(yè)務應用從誕生開始，就具備合適的安全能力，實現(xiàn)發(fā)布即安全。相比積木式能力組合，這種方式可以讓安全和業(yè)務實現(xiàn)深入且自由地組合，形成靈活又可靠的云原生安全。

應用按照時間維度可分為開發(fā)、測試、部署、運行、響應，空間維度可分為主機、操作系統(tǒng)、kubernetes、容器、服務、網絡，從這兩個維度出發(fā)，將各種安全能力進行拆解和組合，通過統(tǒng)一的云原生安全平臺進行管理，真正將安全和業(yè)務的各個階段都能緊密地連接在一起，才能形成真正的云原生安全。

審核編輯 黃宇