陳信剛 王思羽 劉堅橋 江西電信云網(wǎng)運營支撐中心 南昌市 330029

1 什么是云原生

云原生是一種構(gòu)建和運行應(yīng)用程序的方法，是一套技術(shù)體系和方法論。云原生（CloudNative）是一個組合詞，Cloud+Native［1］。Cloud表示應(yīng)用程序位于云中，而不是傳統(tǒng)的數(shù)據(jù)中心；Native表示應(yīng)用程序從設(shè)計之初即考慮到云的環(huán)境，原生為云而設(shè)計，在云上以最佳姿勢運行，充分利用和發(fā)揮云平臺的彈性、分布式優(yōu)勢［2］。云原生由DevOps、持續(xù)交付、微服務(wù)和容器四要素組成，云原生有以始為終、運維合一，縮小開發(fā)者的認(rèn)知、靈活開發(fā)方向，內(nèi)聚更強、更加敏捷，資源調(diào)度、微服務(wù)更容易的特點。

2 云原生安全及其發(fā)展階段

云原生安全包含兩層含義，面向云原生環(huán)境的安全和具有云原生特征的安全。云原生安全有兩個特點，基于云原生無處不在，能適用于各類場景。云原生安全的發(fā)展階段有：

◎安全賦能于云原生體系，構(gòu)建云原生的安全能力。當(dāng)前云原生技術(shù)發(fā)展迅速，但相應(yīng)的安全防護建設(shè)滯后，基礎(chǔ)安全如容器、鏡像安全覆蓋面不足。因而應(yīng)該研究如何將現(xiàn)有成熟的安全能力（如隔離、訪問控制、入侵檢測、應(yīng)用安全）應(yīng)用于云原生環(huán)境，構(gòu)建安全的云原生系統(tǒng)。

◎云原生的新特性具有諸多優(yōu)點，例如輕快不變的基礎(chǔ)設(shè)施、彈性的服務(wù)編排、開發(fā)運營一體化等。因而，該階段應(yīng)研究如何將這些能力賦能于傳統(tǒng)安全產(chǎn)品，通過軟件定義安全的架構(gòu)，構(gòu)建原生安全架構(gòu)，從而提供彈性、按需、云原生的安全能力，提高“防護-監(jiān)測-響應(yīng)”閉環(huán)的效率。

◎當(dāng)安全設(shè)備或平臺云原生化后，就能提供（云）原生的安全能力，不僅適用于通用云與安全場景、5G、邊緣計算等場景，甚至可以獨立部署在大型電商等需要輕量級、高彈性的傳統(tǒng)場景，最終實現(xiàn)無處不在的安全。

3 原生安全場景面臨的挑戰(zhàn)

云原生帶來了諸多安全風(fēng)險，如容器鏡像存在的安全風(fēng)險、容器編排平臺的風(fēng)險、云原生應(yīng)用的風(fēng)險、云原生應(yīng)用業(yè)務(wù)的新風(fēng)險、Serverless的風(fēng)險等，在5G核心網(wǎng)、邊緣計算、工業(yè)互聯(lián)網(wǎng)云原生場景都存在一定的挑戰(zhàn)。

3.1 云原生在5G核心網(wǎng)中面臨的挑戰(zhàn)

5G核心網(wǎng)可以視為IaaS虛擬化系統(tǒng)或CaaS容器平臺，5G核心網(wǎng)網(wǎng)元以虛擬機或容器的形態(tài)出現(xiàn)，有些開源和商業(yè)的網(wǎng)元采用了容器技術(shù)交付和部署，容器化的網(wǎng)元越來越普遍；每個5G核心網(wǎng)網(wǎng)元從設(shè)計來看功能獨立，因此5G網(wǎng)元承載的服務(wù)可以在編排平臺的支撐下，以微服務(wù)的模式提供5G控制平面的業(yè)務(wù)服務(wù)。這些基于容器、編排和微服務(wù)技術(shù)的5G核心網(wǎng)網(wǎng)元就面臨著云原生安全威脅和風(fēng)險［3］。

3.2 云原生在邊緣計算中面臨的挑戰(zhàn)

隨著5G+工業(yè)互聯(lián)網(wǎng)技術(shù)的發(fā)展與深度融合，邊緣計算技術(shù)得到廣泛應(yīng)用。很多邊緣計算平臺都采用了容器技術(shù)和編排系統(tǒng)的技術(shù)。邊緣計算具有云原生靈活、高效、穩(wěn)定的特性；但云原生面臨的風(fēng)險也會存在于邊緣計算環(huán)境中。邊緣計算面臨的安全挑戰(zhàn)有：

（1）資源受限。與傳統(tǒng)云計算環(huán)境不同的是，邊緣計算環(huán)境下算力、存儲資源有限，傳統(tǒng)安全防護軟硬件的部署受到限制。

（2）云邊平臺自身安全性。邊緣與云端共同作為云計算環(huán)境的組成部分，各自平臺系統(tǒng)自身安全性是整個云計算環(huán)境安全的基礎(chǔ)，因此依然面臨傳統(tǒng)安全威脅。

（3）邊緣應(yīng)用的時間約束。邊緣應(yīng)用自身具有復(fù)雜性、多樣性，加上容器技術(shù)的應(yīng)用，邊緣計算應(yīng)用將會越來越體現(xiàn)出高頻次、短周期的特點，攻防也會隨之變化。

（4）數(shù)據(jù)隱私與保護。在邊緣計算概念中，邊緣不再單單是一個個傳感器，而是具備一定計算、存儲能力的分布式節(jié)點，確保邊緣計算環(huán)境下的數(shù)據(jù)隱私得到合理應(yīng)用和保護變得愈加重要［4］。

3.3 云原生在工業(yè)互聯(lián)網(wǎng)中面臨的挑戰(zhàn)

在工業(yè)互聯(lián)網(wǎng)安全中，構(gòu)建IT和OT融合的全互聯(lián)、扁平化、靈活化的工業(yè)網(wǎng)絡(luò)體系結(jié)構(gòu)是工業(yè)網(wǎng)絡(luò)發(fā)展的必然趨勢，工業(yè)互聯(lián)網(wǎng)連接了IT和OT環(huán)境，如果一個惡意的容器應(yīng)用能橫向滲透到OT，則可能會造成災(zāi)難性后果。所以需要特別關(guān)注云原生與傳統(tǒng)環(huán)境的邊界，避免存在未授權(quán)訪問。

4 如何指導(dǎo)與保障云原生安全落地

云原生技術(shù)正逐步出現(xiàn)，容器、微服務(wù)、聲明式API等代表技術(shù)的應(yīng)用正在逐步落地，生態(tài)逐步健全，因此企業(yè)應(yīng)同步加強云原生安全的部署，云原生安全踐行的原則：

（1）安全左移：在云原生建設(shè)初期將安全投資更多地放到開發(fā)安全，包括安全編碼供應(yīng)鏈（軟件庫、開源軟件）安全、鏡像安全；

（2）聚焦“不變”：容器對應(yīng)的鏡像、文件系統(tǒng)都是不變的，由相同或繼承的鏡像啟動的容器進(jìn)程及其行為是相似的，用于微服務(wù)的容器進(jìn)程是少數(shù)且行為是可預(yù)測的，可以通過學(xué)習(xí)進(jìn)行畫像；

（3）業(yè)務(wù)安全：保護最貼近最終價值且處于最頂層的業(yè)務(wù)。

4.1 “內(nèi)生安全”理念指導(dǎo)云原生安全

云原生安全缺乏體系化的規(guī)劃和建設(shè)，以“部分改善”為主要措施，對云原生安全的動態(tài)、全局的理解不夠清晰。云原生安全應(yīng)進(jìn)化到“內(nèi)生安全”時代，改變單一的柵欄式的防護現(xiàn)狀，演變到與云業(yè)務(wù)融合的多維度全方位的防御［5］。“內(nèi)生安全”理念是指將網(wǎng)絡(luò)安全能力與信息化環(huán)境融合內(nèi)生，不再是外掛和局部的，從而在數(shù)字化環(huán)境的內(nèi)部，獲得無處不在的“免疫力”。

（1）構(gòu)建內(nèi)生安全體系的關(guān)鍵：面向企業(yè)數(shù)字化的網(wǎng)絡(luò)安全體系化建設(shè)與工程化落地，堅持“三同步”原則；運用三種聚合手段：技術(shù)聚合、數(shù)據(jù)聚合、人才聚合；以網(wǎng)絡(luò)、身份、應(yīng)用、數(shù)據(jù)、行為，以及數(shù)據(jù)驅(qū)動的安全運營，多維度技術(shù)與運行手段，構(gòu)建支撐企業(yè)數(shù)字化業(yè)務(wù)運營的內(nèi)生安全能力體系。

（2）構(gòu)建內(nèi)生安全體系的重點：因地制宜梳理所需云原生安全能力需求，規(guī)劃最優(yōu)組合；將安全能力合理地分配部署建設(shè)，深度融合，全面覆蓋；確保云業(yè)務(wù)持續(xù)安全運行，實現(xiàn)云原生安全管理和響應(yīng)閉環(huán)。

4.2 安全三同步保障云原生安全

云原生技術(shù)作為云計算基礎(chǔ)設(shè)施的關(guān)鍵，為了保障云原生平臺用戶及云原生產(chǎn)品的安全運行，需在云原生安全的規(guī)劃、建設(shè)和使用階段持續(xù)貫徹落實三同步要求［5］。

（1）項目規(guī)劃階段：同步考慮并規(guī)劃云原生安全設(shè)施建設(shè)需求，包括需要的云原生平臺、用戶及云原生產(chǎn)品的安全技術(shù)保障能力和如何建設(shè)原生安全管理平臺等，以確保云原生安全成為云原生系統(tǒng)的有機組成；

（2）項目建設(shè)階段：需從云原生建設(shè)的各個方面引入并融合安全能力，并確定各方的安全職責(zé)，確保云原生安全設(shè)施嚴(yán)格按照規(guī)劃設(shè)計要求進(jìn)行同步建設(shè)，上線驗收時確保云原生系統(tǒng)和產(chǎn)品通過安全風(fēng)險評估或符合等保要求；

（3）項目使用階段：確保云網(wǎng)的所有環(huán)節(jié)都充分對接，確保云安全設(shè)施正常運行、云上安全識別、監(jiān)測、處置的各項流程貫通，一旦發(fā)生安全事件能迅速處置和響應(yīng)。

5 提升云原生安全的幾點舉措

安全是相對的，企業(yè)安全投入也是有限的，因此要結(jié)合企業(yè)安全現(xiàn)狀和實際面臨的問題，按需、分步施策，逐漸完善企業(yè)云上安全防御體系。

（1）安全左移。完善上云IP、容器、鏡像、組件等資產(chǎn)全生命周期管理，建立安全上云三同步管控流程，開通時同步納入SOC資產(chǎn)管理，進(jìn)行漏洞、基線加固，上線通過安全驗收。定期對鏡像進(jìn)行升級。構(gòu)建云上組件采集分析機制，定期組織組件脆弱性治理。

（2）完善縱深防御體系。重點完善全流量與EDR覆蓋面，由點到面對云上系統(tǒng)安全進(jìn)行監(jiān)測與防護，減少內(nèi)核漏洞；引入云虛擬機、容器微隔離技術(shù)，降低暴露面風(fēng)險。

（3）加強容器安全體系建設(shè)。定期對容器鏡像進(jìn)行掃描，容器運行時合規(guī)檢查，對鏡像使用設(shè)置安全規(guī)則，對生產(chǎn)環(huán)境中鏡像進(jìn)行嚴(yán)格管控。

（4）加強網(wǎng)絡(luò)邊界治理。目前各類云池眾多，客戶資產(chǎn)與自有資產(chǎn)混合入云情況一定程度還存在，暴露面集約管控存在一定風(fēng)險。各地自建的或代建的安全責(zé)任歸屬電信的云池增多，而且不能部署在省中心時，須在當(dāng)?shù)嘏涮譏PS、防火墻、云隔等設(shè)備，同時要將這類設(shè)施經(jīng)過專線接入省中心公網(wǎng)，統(tǒng)一互聯(lián)網(wǎng)暴露面。要強化云上資源池分域管控，資源池邏輯隔離，減少東西向流量安全風(fēng)險。

（5）完善安全維護作業(yè)規(guī)程。結(jié)合安全上云的新技術(shù)新系統(tǒng)運用，要進(jìn)一步完善相應(yīng)安全維護作業(yè)規(guī)程，將安全上云系統(tǒng)、組件同步納入安全維護作業(yè)流程，確保持續(xù)運維安全。