云原生安全：“新基建”安全的基础

文／本刊记者 陈 杰

云计算作为“新基建”中信息基础设施的重要组成，是企业数字化转型的重要支撑，是实现产业互联网落地的必要途径。随着云计算的广泛普及和重要价值日益凸显，其安全性面临更高要求，如何更加全面、有效地保障云上业务安全成为行业关注的重点，云原生安全理念兴起。

“当下5G、边缘计算、物联网、工业互联网等作为新基建的重要组成部分，其安全性将在一定程度上影响着新基建的落地实施。而云原生技术与架构正在成为包括5G核心网、边缘云等的重要实现方式之一。”绿盟科技集团创新中心总监刘文懋认为，新基建安全不止云原生安全，但是新基建的安全离不开云原生安全。

云计算并不是一项新技术，产业的发展将近二十年，已然进入了新的阶段：云原生时代。以容器、服务网格、微服务等为代表的云原生技术，正在影响各行各业的IT基础设施、平台和应用系统，也在渗透到如IT/OT融合的工业互联网、IT/CT融合的5G、边缘计算等新型基础设施中。

理解云原生体系存在的新架构、新风险和新威胁，有助于构建面向新型IT基础设施的安全防护机制；利用云原生的先进技术，融合到当前的攻防体系中，也有助于我们提升整体安全防护的弹性、适应性、敏捷性。

日前，绿盟科技发布的《云原生安全技术报告》称，随着云原生越来越多的落地应用，其相关的安全风险与威胁也不断地显现出来，安全问题成为影响云原生落地的重要顾虑因素。报告主要阐明：“轻量的虚拟化”技术的容器面临的安全威胁和风险会更多；在云原生架构中，运行时的安全检测将会投入很高成本，“安全前置”或者“安全左移”可有效地收敛安全漏洞问题，尽可能更早地确定其安全性；云原生实现了云的优势，云原生安全可以使用具有云原生特性的安全技术，去实现面向云原生环境的安全；云原生的可观测性助力实现安全可见、可防；在云原生环境中，网络的隔离需求已经不仅仅是物理网络、租户网络等资源层面的隔离，甚至需要服务之间应用层面的隔离；云原生的可观测性助力实现安全可见、可防；微隔离实现零信任的云原生网络安全；API安全和业务安全成为云原生应用的重要安全威胁；Serverless的安全风险同样不容小觑；云原生安全助力新基建落地安全等十个方面，较为全面地分析了云原生落地所面临的安全风险和威胁，进而提出了云原生的防护思路和安全体系。

在当前这个产业互联网时代，企业数字业务上云将成常态，但同时云上安全威胁规模快速扩大，黑灰产业利用公有云平台发起攻击更具威胁。云原生安全一方面将构建安全服务全生命周期防护，在业务搭建之初夯实安全底座，从安全工具、产品到服务体系化，伴生业务发展全过程；另一方面云上安全产品向模块化、敏捷化和弹性化演进，在应对高强度攻击的同时，也在平稳期释放多余计算能力，使得企业应用成本降低，提升整体安全水平，可以兼顾成本、效率和安全。