2021年5月26日，云原生產(chǎn)業(yè)大會(huì)舉辦“云原生安全論壇”,，首發(fā)《云原生架構(gòu)安全白皮書（2021年）》和《云原生能力成熟度第3部分：架構(gòu)安全》標(biāo)準(zhǔn)框架,。發(fā)布了2021年“容器安全解決方案”最新評(píng)估結(jié)果，頒發(fā)了“2021年度云原生技術(shù)創(chuàng)新解決方案/產(chǎn)品”安全平臺(tái)案例,。

　　北京升鑫網(wǎng)絡(luò)科技有限公司（青藤云安全）“青藤蜂巢,？容器安全平臺(tái)”和北京小佑科技有限公司“鏡界容器安全防護(hù)平臺(tái)”獲得“容器安全解決方案”先進(jìn)級(jí)（最高級(jí)）證書圖片

　　北京升鑫網(wǎng)絡(luò)科技有限公司（青藤云安全）“青藤蜂巢？容器安全平臺(tái)”獲得“2021年云原生技術(shù)創(chuàng)新解決方案/產(chǎn)品”優(yōu)秀案例（安全類）隨著全社會(huì)加快數(shù)字化轉(zhuǎn)型的步伐,，尤其是云計(jì)算成為驅(qū)動(dòng)數(shù)字經(jīng)濟(jì)發(fā)展的重要力量,，云原生憑借快速部署、彈性,、可擴(kuò)展性等特性,，在越來越多的領(lǐng)域落地應(yīng)用。然而,，云原生在改變?cè)贫藨?yīng)用的設(shè)計(jì),、開發(fā)、部署和運(yùn)行模式的同時(shí),，也帶來了新的安全要求和挑戰(zhàn),。《云原生用戶調(diào)查報(bào)告》中顯示,，用戶云原生化改造的三大顧慮之一就是安全問題,。

　　云原生究竟面臨哪些安全挑戰(zhàn)？安全風(fēng)險(xiǎn)的引入途徑是什么,？如何提升云原生安全防護(hù)能力,？本論壇邀請(qǐng)?jiān)品?wù)商、安全廠商,、行業(yè)專家,，共話云原生安全的機(jī)遇與挑戰(zhàn)，干貨滿滿,！

　　中國信息通信研究院（以下簡稱“中國信通院”）云計(jì)算與大數(shù)據(jù)研究所鄭劍鋒帶來了《云原生安全白皮書及標(biāo)準(zhǔn)工作介紹》,。2019年起,，中國信通院開始在云原生安全領(lǐng)域發(fā)力，2019年8月啟動(dòng)《基于容器的平臺(tái)安全能力要求》標(biāo)準(zhǔn)研究工作并在2021年5月報(bào)批,，2020年10月成立了云原生產(chǎn)業(yè)聯(lián)盟安全工作組,，2020年10月啟動(dòng)《云原生架構(gòu)安全白皮書》編寫工作并在大會(huì)當(dāng)日發(fā)布，2020年5月啟動(dòng)《云原生能力成熟度第3部分：架構(gòu)安全》標(biāo)準(zhǔn)編寫,，目前已完成立項(xiàng),。

　　云原生安全風(fēng)險(xiǎn)包括兩方面，一方面是容器,、DevOps工具鏈等云原生技術(shù)架構(gòu)引入的全新安全風(fēng)險(xiǎn),，另一方面是上層應(yīng)用完成微服務(wù)、無服務(wù)等云原生化改造后面臨的風(fēng)險(xiǎn)擴(kuò)大和資源濫用風(fēng)險(xiǎn),。針對(duì)風(fēng)險(xiǎn),，進(jìn)一步明確了安全防護(hù)對(duì)象、安全責(zé)任,、設(shè)計(jì)原則,，并構(gòu)建了涵蓋基礎(chǔ)設(shè)施安全、云原生計(jì)算環(huán)境安全,、云原生應(yīng)用安全,、云原生研發(fā)運(yùn)營安全、數(shù)據(jù)安全,、安全管理6大方面的安全防護(hù)體系,，預(yù)測(cè)云原生安全將走向多元主導(dǎo)、以服務(wù)為中心,、應(yīng)用架構(gòu)深度融合,、輕量化、敏捷化和精細(xì)化,。

　　騰訊云SOC產(chǎn)品負(fù)責(zé)人肖煜帶來了主題演講《Cloud SOC—云時(shí)代讓安全運(yùn)營煥發(fā)新生》,。騰訊在安全運(yùn)營方面做了很多工作，云原生時(shí)代,，存在資產(chǎn)用完即走,、攻防節(jié)奏加快、多租戶,、整體安全呈現(xiàn)四方面的問題,。針對(duì)這一問題，騰訊的SOC產(chǎn)品從防御,、檢測(cè)響應(yīng),、平臺(tái)租戶、可視呈現(xiàn)四個(gè)角度完美契合了安全運(yùn)營需求，實(shí)現(xiàn)了資產(chǎn)全方位,、全生命周期的系統(tǒng)梳理,，構(gòu)建了基于流量監(jiān)測(cè)、旁路阻斷,、實(shí)時(shí)響應(yīng)的機(jī)制,，滿足全時(shí)段租戶專屬安全運(yùn)營，具備實(shí)時(shí)自定義可視化監(jiān)控能力,，形成了體系化的安全運(yùn)營產(chǎn)品套件，滿足云原生安全需求,。

　　中國移動(dòng)浙江有限公司信息技術(shù)安全部經(jīng)理徐良帶來了《浙江移動(dòng)IT云安全防護(hù)實(shí)踐》主題演講,。隨著云化、容器化和微服務(wù)化,，現(xiàn)在運(yùn)營商業(yè)務(wù)營銷的暴露面問題也日益突出,，內(nèi)網(wǎng)風(fēng)險(xiǎn)也逐漸增加，存在以下問題：一是云內(nèi)部的威脅監(jiān)測(cè)跟防護(hù)能力不足,；二是云內(nèi)部的檢控和防護(hù)不足,；三是開源組件成為漏洞的主要來源；四是定向安全應(yīng)急處置能力亟需提升,。

　　浙江移動(dòng)積極轉(zhuǎn)換安全工作思路,，構(gòu)建云原生安全防護(hù)方案，應(yīng)對(duì)業(yè)務(wù)安全風(fēng)險(xiǎn),。一是從合規(guī)管理向網(wǎng)絡(luò)對(duì)抗轉(zhuǎn)變,；二是運(yùn)營機(jī)制從原來靜態(tài)防護(hù)轉(zhuǎn)向積極防御；三是從原來單一的或者相對(duì)孤立的手段要轉(zhuǎn)向聯(lián)動(dòng)一體的技術(shù)手段,；四是把安全能力從做好自身防護(hù)轉(zhuǎn)向服務(wù)他人,，最終完成容器基線檢測(cè)、容器鏡像防護(hù),、容器邊界安全防護(hù),、容器運(yùn)行時(shí)安全監(jiān)測(cè)、微服務(wù)及開源組件管理,，并具備對(duì)抗演練能力,，實(shí)現(xiàn)浙江移動(dòng)的云原生安全防護(hù)體系構(gòu)建。

　　青藤云安全技術(shù)副總裁張嵩發(fā)表了主題演講《云原生的安全理念,、風(fēng)險(xiǎn)與快速實(shí)踐路徑》,。張嵩從金融機(jī)構(gòu)的云原生安全防護(hù)實(shí)踐經(jīng)驗(yàn)出發(fā)，講述無論甲方用戶還是乙方同行,，都存在對(duì)容器或者云原生技術(shù)本身認(rèn)知不到位的階段,，現(xiàn)階段云原生安全更多的不是一個(gè)產(chǎn)品級(jí)的問題，而是如何去認(rèn)知和適應(yīng)這一個(gè)新技術(shù)的發(fā)展,。云原生技術(shù),，從大的單體應(yīng)用到分布式到微服務(wù),，到容器化，到編排,，再到網(wǎng)格,，再到無服務(wù)階段，隨著技術(shù)的發(fā)展,，發(fā)展的非?？欤?yàn)樗蠈訕I(yè)務(wù)也支撐的非?？?，安全人員漸漸發(fā)現(xiàn)跟不上了，到處都存在風(fēng)險(xiǎn),。

　　云原生安全應(yīng)該最大限度的去借助云原生已有的安全能力,，它內(nèi)置了很多安全方面的系統(tǒng)和考慮；接下來需要考慮容器安全的技術(shù)跟云平臺(tái)本身要去進(jìn)行充分的結(jié)合,；再就是在云原生環(huán)境下補(bǔ)充一些云本身的能力,。總結(jié)起來就是四步：第一步是底層基礎(chǔ)設(shè)施的安全性問題,；第二步是在容器或者說容器編排系統(tǒng)如何進(jìn)行加強(qiáng),；第三步是容器鏡像層的安全防護(hù)；第四步是容器運(yùn)行態(tài)的安全監(jiān)測(cè),。

　　中國移動(dòng)信息技術(shù)中心研發(fā)創(chuàng)新中心王慶棟帶來了《云原生安全在中國移動(dòng)磐基（Paas）平臺(tái)的安全防護(hù)實(shí)踐》主題演講,。中國移動(dòng)信息技術(shù)中心在云化方面要求需要從資源為中心的云計(jì)算向應(yīng)用為中心的云原生方向?yàn)檗D(zhuǎn)變，沒有云原生也沒有真正的數(shù)字化和智能化,。整個(gè)磐基PaaS平臺(tái)面臨5塊風(fēng)險(xiǎn)：基礎(chǔ)設(shè)施安全風(fēng)險(xiǎn),、編排組件與鏡像安全風(fēng)險(xiǎn)、容器運(yùn)行時(shí)風(fēng)險(xiǎn),、微服務(wù)風(fēng)險(xiǎn),、安全運(yùn)營的復(fù)雜度。

　　中國移動(dòng)通過具體的實(shí)踐方法來解決安全問題,。一是通過基礎(chǔ)設(shè)施的資產(chǎn)和容器資產(chǎn)關(guān)聯(lián)分析實(shí)現(xiàn)基礎(chǔ)設(shè)施安全,；二是在DevOps的軟件工具鏈的不同階段提供各類安全工具來保證順利流轉(zhuǎn)；三是容器運(yùn)行時(shí)強(qiáng)調(diào)發(fā)現(xiàn)能力,；四是對(duì)微服務(wù)按Pod類型等各種維度進(jìn)行分類管理,；五是通過量化模型實(shí)現(xiàn)資源保障。

　　小佑科技的CEO袁曙光帶來了主題演講《云原生安全的規(guī)劃與實(shí)踐》,。云原生和傳統(tǒng)安全不同,，首先，生命周期變化了，物理機(jī)以年為單位,、虛擬機(jī)以月為單位,、容器以天為單位、函數(shù)以小時(shí)為單位,，資產(chǎn)管理和梳理需要?jiǎng)討B(tài)變化,；其次，防護(hù)邊界不同了,，傳統(tǒng)IDC是以物理邊界,、虛擬機(jī)以IP為邊界、云原生時(shí)代以標(biāo)簽為單位,，實(shí)現(xiàn)了動(dòng)態(tài)漂移,，安全出發(fā)點(diǎn)和資產(chǎn)對(duì)應(yīng)的關(guān)系發(fā)生了很大變化；再就是流程的改變,，流程高度敏捷和自動(dòng)化,；最后就是新的攻擊模型出現(xiàn),。

　　云原生安全有兩個(gè)視角,，第一個(gè)是流程視角，從開發(fā)到存儲(chǔ)到部署到運(yùn)行,；第二個(gè)是IT架構(gòu)視角,，包含基礎(chǔ)設(shè)施、計(jì)算環(huán)境,、應(yīng)用,、研發(fā)運(yùn)行、數(shù)據(jù)和安全管理,。兩個(gè)視角各有側(cè)重,、各有優(yōu)劣。

　　云原生規(guī)劃要關(guān)注幾點(diǎn)：一是策略先行,，二是全面考慮,，三是根據(jù)云建設(shè)的節(jié)奏逐步完善，四是要貼合云原生,。

　　新華三云智產(chǎn)品線云平臺(tái)研發(fā)負(fù)責(zé)人李學(xué)峰帶來了《云原生安全的全景和架構(gòu)》,。在軟件這個(gè)行業(yè)里，能把所有跟軟件相關(guān)的技術(shù)串起來并不多,，安全算一個(gè),。云原生時(shí)代，安全的變革因素是什么,？第一個(gè)就是應(yīng)用運(yùn)行邊界的模糊,，第二個(gè)是應(yīng)用內(nèi)生性安全問題的凸顯，第三個(gè)是機(jī)械化的應(yīng)用安全管控與自動(dòng)化的軟件開發(fā)流程之間的矛盾。

　　云原生安全的整體建設(shè)思路就是以應(yīng)用為中心,，應(yīng)用包括應(yīng)用的運(yùn)行平臺(tái),，應(yīng)用的架構(gòu)，應(yīng)用的開發(fā),，應(yīng)用的管理四個(gè)部分,。應(yīng)用運(yùn)行平臺(tái)的安全包括容器層的安全，編排系統(tǒng)的安全,，以及常規(guī)基礎(chǔ)的主機(jī)安全,。應(yīng)用架構(gòu)層上的安全包括微服務(wù)與外部層的架構(gòu)安全，東西向流量安全,，中間件安全,，Service Mesh與應(yīng)用服務(wù)安全。應(yīng)用開發(fā)流程安全總的一個(gè)思路把策略安全的管控嵌入到Devsecops流程里面,。應(yīng)用安全的管理則包括審計(jì)和密鑰安全,。