“构筑云原生安全技术底座”

云计算的快速发展已近20年，进入了云原生时代这一新阶段。 以集装箱、服务网格、微服务等为代表的云本机技术影响着各行业的it基础设施、平台、应用系统，如it/ot融合等产业网络、it/ct融合的50

了解云本机系统中存在的新体系结构、新风险和新威胁有助于为新的it基础架构构建安全保护机制。 利用云本机先进技术，融入现有攻防体系，也有助于提高整体安全防护的弹性、适应性、敏捷性。

绿色联赛科技去年发表了《容器安全技术报告》。 报告详细分析了容器技术面临的风险和安全挑战，介绍了安全左移思路下的安全基线、镜像安全等副本，为首次建设容器安全机构提出了一些有益的建议。 近年来，随着编织技术、无服务、服务网格等技术的高速发展，绿色联赛科技将重点放在整个云原生生态系统的安全研究上。

为此，绿色联赛科技发布了《云原生安全技术报告》，本报告比较全面地分析了云原生落地时面临的安全风险和威胁，提出了云原生的防护思路和安全体系。

该报告的核心副本如下:

1 .安全问题成为影响云在原生地落地的重要因素

随着云原生更多的落地应用，其相关的安全风险和威胁也不断出现。 docker/kubernetes等服务暴露问题、特斯拉kubernetes集群开采事件、docker hub内的容器镜像被投毒注入开采过程、微软azure安全中心大规模kubernetes开采事件。 安全问题已成为影响云原生落地的重要担忧因素。

2 .集装箱化基础设施面临的安全威胁和风险不会更小

容器作为轻量级的虚拟化技术，在主机操作系统内核上运行。 因此，以前流传下来的主机安全、互联网安全等安全问题依然存在。 除此之外，集装箱逃逸风险、集装箱镜像风险、虚拟化互联网风险、配置风险等安全风险问题，将成为集装箱化基础设施面临的新的安全威胁。

3 .安全向左移动，更快地发现安全问题

云的原生架构中，集装箱生命周期短、业务多、复杂、互联网多、复杂，现有的物理或虚拟安全设备无法正常工作，运营时的安全检查投入了较高的价格。 安全前置或安全左移在软件开发生命周期的更早阶段，投入越来越多的安全资源，嵌入安全动作，可以有效收敛安全漏洞问题，尽快明确其安全性。

4 .云母语的安全一定是云母语

云本机的安全性。 目标是保护云原生环境中的基础设施、组织系统和云原生应用程序，确保业务系统云原生后的安全性。 云的原生架构和独特的特点，对以前流传下来的安全防护手段提出了巨大的挑战。

云母语在很大程度上实现了云的特点，云母语的安全一定是云母语。 也就是说，采用具有云固有特征的安全技术实现面向云固有环境的安全。

5 .云本地人的可观测性辅助看起来安全，可以防止

在云原生时代，集装箱化的基础设施使应用程序本身更快、更轻，可以在一台主机上更快地部署和运行几十个、甚至几百个容器。 容器组织平台，如kubernetes，提供了良好的负载均衡、任务调度、容错等管理机制。 因此，在云本机中，一台主机上的应用程序的部署密度和更改频率比以前传播的环境发生了很大的变化。

是所谓未知的攻击防御，面对云原生架构下的大规模集群和庞大灵活的微服务应用，只有知道集群中应用的具体操作、行为，才能进行有效的安全防护。

6 .基于微隔离的零信任云本机的互联网安全

在云的原生架构中，集装箱和微服务的生命周期比以前传入互联网和租户互联网的短很多，其变化频率相当高。 微服务之间有许多复杂的业务访问关系，特别是当业务负荷数达到一定规模时，这种访问关系变得异常巨大和复杂。

因为，在云原生环境中，互联网的隔离诉求不仅需要物理互联网、租户互联网等资源水平的隔离，还需要服务之间应用水平的隔离。 另一方面，需要比较业务的作用，以更细致的视角实现微服务之间的访问隔离； 另一方面，这种灵活、快速的互联网状态变化需要隔离和访问控制策略完全自动化，以适应业务和互联网的快速变化，实现快速、有效的管理、部署和启用。

7. service mesh可以比较有效地支持微服务的安全

service mesh使用类似sdn的体系结构，通过逻辑上独立的数据平面和控制平面管理微服务之间的互联网通信。 网格中的服务器发送和接收的所有通信都通过代理，从而简化了对网格中通信的控制。 另外，不需要对服务进行更改。 此外，通过与网格外部的控制平面配合使用，还可以实现互联网隔离、应用程序隔离，以及应用程序的api安全。

8. api安全和业务安全构成云本机应用的重要安全威胁

云本机应用是基于微服务的架构设计，将应用之间的交互模式转化为各种api的请求/响应，api通信在云本机应用的交互中占有重要的地位。 api安全性也成为云本机应用程序安全性中特别重要的部分。 系统中存在暴露的api服务，存在这些api调用，这些调用是否都是完成某个诉求所需的业务联系、是否存在api探测器、api滥用、对某个服务的拒绝服务攻击 这些问题直接影响云的本机应用程序的安全性。

9 .也不能忽视9. serverless的安全风险

serverless是云本机体系结构的下一种新的计算模式，它给开发人员带来了便利，其安全风险也备受关注。 应用程序的代码安全性、数据隐私、访问权限、不同服务之间的隔离等都是重要的安全挑战。 为了实现其安全建设，需要serverless服务提供者、应用程序开发者等诸多协助。

10 .云原生安全辅助新基础设施的落地安全

5g、边缘计算、物联网、产业网络等是新基础设施的重要组成部分，其安全性在一定程度上影响着新基础设施的落地实施。 云固有技术和体系结构已成为包括5g核心网、边缘云等在内的重要实现方法之一。 新基础设施的安全不仅仅是云的本地安全，但新基础设施的安全与云的本地安全分不开。

要获得完整的报告副本，请关注绿色联赛科技公众号的后台并回复云原生报告

本文：《“构筑云原生安全技术底座”》