2021年5月26日,云原生產(chǎn)業(yè)大會舉辦“云原生安全論壇”,,首發(fā)《云原生架構(gòu)安全白皮書(2021年)》和《云原生能力成熟度第3部分:架構(gòu)安全》標準框架,。發(fā)布了2021年“容器安全解決方案”最新評估結(jié)果,頒發(fā)了“2021年度云原生技術(shù)創(chuàng)新解決方案/產(chǎn)品”安全平臺案例,。
北京升鑫網(wǎng)絡(luò)科技有限公司(青藤云安全)“青藤蜂巢,?容器安全平臺”和北京小佑科技有限公司“鏡界容器安全防護平臺”獲得“容器安全解決方案”先進級(最高級)證書圖片
北京升鑫網(wǎng)絡(luò)科技有限公司(青藤云安全)“青藤蜂巢?容器安全平臺”獲得“2021年云原生技術(shù)創(chuàng)新解決方案/產(chǎn)品”優(yōu)秀案例(安全類)隨著全社會加快數(shù)字化轉(zhuǎn)型的步伐,,尤其是云計算成為驅(qū)動數(shù)字經(jīng)濟發(fā)展的重要力量,,云原生憑借快速部署、彈性,、可擴展性等特性,,在越來越多的領(lǐng)域落地應(yīng)用。然而,,云原生在改變云端應(yīng)用的設(shè)計,、開發(fā)、部署和運行模式的同時,,也帶來了新的安全要求和挑戰(zhàn)?!对圃脩粽{(diào)查報告》中顯示,,用戶云原生化改造的三大顧慮之一就是安全問題。
云原生究竟面臨哪些安全挑戰(zhàn),?安全風(fēng)險的引入途徑是什么,?如何提升云原生安全防護能力?本論壇邀請云服務(wù)商,、安全廠商,、行業(yè)專家,共話云原生安全的機遇與挑戰(zhàn),,干貨滿滿,!
中國信息通信研究院(以下簡稱“中國信通院”)云計算與大數(shù)據(jù)研究所鄭劍鋒帶來了《云原生安全白皮書及標準工作介紹》。2019年起,,中國信通院開始在云原生安全領(lǐng)域發(fā)力,,2019年8月啟動《基于容器的平臺安全能力要求》標準研究工作并在2021年5月報批,,2020年10月成立了云原生產(chǎn)業(yè)聯(lián)盟安全工作組,2020年10月啟動《云原生架構(gòu)安全白皮書》編寫工作并在大會當日發(fā)布,,2020年5月啟動《云原生能力成熟度第3部分:架構(gòu)安全》標準編寫,,目前已完成立項。
云原生安全風(fēng)險包括兩方面,,一方面是容器,、DevOps工具鏈等云原生技術(shù)架構(gòu)引入的全新安全風(fēng)險,另一方面是上層應(yīng)用完成微服務(wù),、無服務(wù)等云原生化改造后面臨的風(fēng)險擴大和資源濫用風(fēng)險,。針對風(fēng)險,進一步明確了安全防護對象,、安全責(zé)任,、設(shè)計原則,并構(gòu)建了涵蓋基礎(chǔ)設(shè)施安全,、云原生計算環(huán)境安全,、云原生應(yīng)用安全、云原生研發(fā)運營安全,、數(shù)據(jù)安全,、安全管理6大方面的安全防護體系,預(yù)測云原生安全將走向多元主導(dǎo),、以服務(wù)為中心,、應(yīng)用架構(gòu)深度融合、輕量化,、敏捷化和精細化,。
騰訊云SOC產(chǎn)品負責(zé)人肖煜帶來了主題演講《Cloud SOC—云時代讓安全運營煥發(fā)新生》。騰訊在安全運營方面做了很多工作,,云原生時代,,存在資產(chǎn)用完即走、攻防節(jié)奏加快,、多租戶,、整體安全呈現(xiàn)四方面的問題。針對這一問題,,騰訊的SOC產(chǎn)品從防御,、檢測響應(yīng)、平臺租戶,、可視呈現(xiàn)四個角度完美契合了安全運營需求,,實現(xiàn)了資產(chǎn)全方位、全生命周期的系統(tǒng)梳理,,構(gòu)建了基于流量監(jiān)測,、旁路阻斷,、實時響應(yīng)的機制,滿足全時段租戶專屬安全運營,,具備實時自定義可視化監(jiān)控能力,,形成了體系化的安全運營產(chǎn)品套件,滿足云原生安全需求,。
中國移動浙江有限公司信息技術(shù)安全部經(jīng)理徐良帶來了《浙江移動IT云安全防護實踐》主題演講,。隨著云化、容器化和微服務(wù)化,,現(xiàn)在運營商業(yè)務(wù)營銷的暴露面問題也日益突出,,內(nèi)網(wǎng)風(fēng)險也逐漸增加,存在以下問題:一是云內(nèi)部的威脅監(jiān)測跟防護能力不足,;二是云內(nèi)部的檢控和防護不足,;三是開源組件成為漏洞的主要來源;四是定向安全應(yīng)急處置能力亟需提升,。
浙江移動積極轉(zhuǎn)換安全工作思路,,構(gòu)建云原生安全防護方案,應(yīng)對業(yè)務(wù)安全風(fēng)險,。一是從合規(guī)管理向網(wǎng)絡(luò)對抗轉(zhuǎn)變,;二是運營機制從原來靜態(tài)防護轉(zhuǎn)向積極防御;三是從原來單一的或者相對孤立的手段要轉(zhuǎn)向聯(lián)動一體的技術(shù)手段,;四是把安全能力從做好自身防護轉(zhuǎn)向服務(wù)他人,,最終完成容器基線檢測、容器鏡像防護,、容器邊界安全防護,、容器運行時安全監(jiān)測、微服務(wù)及開源組件管理,,并具備對抗演練能力,,實現(xiàn)浙江移動的云原生安全防護體系構(gòu)建。
青藤云安全技術(shù)副總裁張嵩發(fā)表了主題演講《云原生的安全理念,、風(fēng)險與快速實踐路徑》。張嵩從金融機構(gòu)的云原生安全防護實踐經(jīng)驗出發(fā),,講述無論甲方用戶還是乙方同行,,都存在對容器或者云原生技術(shù)本身認知不到位的階段,現(xiàn)階段云原生安全更多的不是一個產(chǎn)品級的問題,,而是如何去認知和適應(yīng)這一個新技術(shù)的發(fā)展,。云原生技術(shù),從大的單體應(yīng)用到分布式到微服務(wù),,到容器化,,到編排,,再到網(wǎng)格,再到無服務(wù)階段,,隨著技術(shù)的發(fā)展,,發(fā)展的非常快,,因為它上層業(yè)務(wù)也支撐的非??欤踩藛T漸漸發(fā)現(xiàn)跟不上了,,到處都存在風(fēng)險,。
云原生安全應(yīng)該最大限度的去借助云原生已有的安全能力,它內(nèi)置了很多安全方面的系統(tǒng)和考慮,;接下來需要考慮容器安全的技術(shù)跟云平臺本身要去進行充分的結(jié)合,;再就是在云原生環(huán)境下補充一些云本身的能力??偨Y(jié)起來就是四步:第一步是底層基礎(chǔ)設(shè)施的安全性問題,;第二步是在容器或者說容器編排系統(tǒng)如何進行加強;第三步是容器鏡像層的安全防護,;第四步是容器運行態(tài)的安全監(jiān)測,。
中國移動信息技術(shù)中心研發(fā)創(chuàng)新中心王慶棟帶來了《云原生安全在中國移動磐基(Paas)平臺的安全防護實踐》主題演講。中國移動信息技術(shù)中心在云化方面要求需要從資源為中心的云計算向應(yīng)用為中心的云原生方向為轉(zhuǎn)變,,沒有云原生也沒有真正的數(shù)字化和智能化,。整個磐基PaaS平臺面臨5塊風(fēng)險:基礎(chǔ)設(shè)施安全風(fēng)險、編排組件與鏡像安全風(fēng)險,、容器運行時風(fēng)險,、微服務(wù)風(fēng)險、安全運營的復(fù)雜度,。
中國移動通過具體的實踐方法來解決安全問題,。一是通過基礎(chǔ)設(shè)施的資產(chǎn)和容器資產(chǎn)關(guān)聯(lián)分析實現(xiàn)基礎(chǔ)設(shè)施安全;二是在DevOps的軟件工具鏈的不同階段提供各類安全工具來保證順利流轉(zhuǎn),;三是容器運行時強調(diào)發(fā)現(xiàn)能力,;四是對微服務(wù)按Pod類型等各種維度進行分類管理;五是通過量化模型實現(xiàn)資源保障,。
小佑科技的CEO袁曙光帶來了主題演講《云原生安全的規(guī)劃與實踐》,。云原生和傳統(tǒng)安全不同,首先,,生命周期變化了,,物理機以年為單位、虛擬機以月為單位,、容器以天為單位,、函數(shù)以小時為單位,,資產(chǎn)管理和梳理需要動態(tài)變化;其次,,防護邊界不同了,,傳統(tǒng)IDC是以物理邊界、虛擬機以IP為邊界,、云原生時代以標簽為單位,,實現(xiàn)了動態(tài)漂移,安全出發(fā)點和資產(chǎn)對應(yīng)的關(guān)系發(fā)生了很大變化,;再就是流程的改變,,流程高度敏捷和自動化;最后就是新的攻擊模型出現(xiàn),。
云原生安全有兩個視角,,第一個是流程視角,從開發(fā)到存儲到部署到運行,;第二個是IT架構(gòu)視角,,包含基礎(chǔ)設(shè)施、計算環(huán)境,、應(yīng)用,、研發(fā)運行、數(shù)據(jù)和安全管理,。兩個視角各有側(cè)重,、各有優(yōu)劣。
云原生規(guī)劃要關(guān)注幾點:一是策略先行,,二是全面考慮,,三是根據(jù)云建設(shè)的節(jié)奏逐步完善,四是要貼合云原生,。
新華三云智產(chǎn)品線云平臺研發(fā)負責(zé)人李學(xué)峰帶來了《云原生安全的全景和架構(gòu)》,。在軟件這個行業(yè)里,能把所有跟軟件相關(guān)的技術(shù)串起來并不多,,安全算一個,。云原生時代,安全的變革因素是什么,?第一個就是應(yīng)用運行邊界的模糊,,第二個是應(yīng)用內(nèi)生性安全問題的凸顯,第三個是機械化的應(yīng)用安全管控與自動化的軟件開發(fā)流程之間的矛盾,。
云原生安全的整體建設(shè)思路就是以應(yīng)用為中心,,應(yīng)用包括應(yīng)用的運行平臺,,應(yīng)用的架構(gòu),,應(yīng)用的開發(fā),,應(yīng)用的管理四個部分。應(yīng)用運行平臺的安全包括容器層的安全,,編排系統(tǒng)的安全,,以及常規(guī)基礎(chǔ)的主機安全。應(yīng)用架構(gòu)層上的安全包括微服務(wù)與外部層的架構(gòu)安全,,東西向流量安全,,中間件安全,Service Mesh與應(yīng)用服務(wù)安全,。應(yīng)用開發(fā)流程安全總的一個思路把策略安全的管控嵌入到Devsecops流程里面,。應(yīng)用安全的管理則包括審計和密鑰安全。