陳信剛 王思羽 劉堅(jiān)橋 江西電信云網(wǎng)運(yùn)營(yíng)支撐中心 南昌市 330029

1 什么是云原生

云原生是一種構(gòu)建和運(yùn)行應(yīng)用程序的方法，是一套技術(shù)體系和方法論。云原生（CloudNative）是一個(gè)組合詞，Cloud+Native［1］。Cloud表示應(yīng)用程序位于云中，而不是傳統(tǒng)的數(shù)據(jù)中心；Native表示應(yīng)用程序從設(shè)計(jì)之初即考慮到云的環(huán)境，原生為云而設(shè)計(jì)，在云上以最佳姿勢(shì)運(yùn)行，充分利用和發(fā)揮云平臺(tái)的彈性、分布式優(yōu)勢(shì)［2］。云原生由DevOps、持續(xù)交付、微服務(wù)和容器四要素組成，云原生有以始為終、運(yùn)維合一，縮小開(kāi)發(fā)者的認(rèn)知、靈活開(kāi)發(fā)方向，內(nèi)聚更強(qiáng)、更加敏捷，資源調(diào)度、微服務(wù)更容易的特點(diǎn)。

2 云原生安全及其發(fā)展階段

云原生安全包含兩層含義，面向云原生環(huán)境的安全和具有云原生特征的安全。云原生安全有兩個(gè)特點(diǎn)，基于云原生無(wú)處不在，能適用于各類(lèi)場(chǎng)景。云原生安全的發(fā)展階段有：

◎安全賦能于云原生體系，構(gòu)建云原生的安全能力。當(dāng)前云原生技術(shù)發(fā)展迅速，但相應(yīng)的安全防護(hù)建設(shè)滯后，基礎(chǔ)安全如容器、鏡像安全覆蓋面不足。因而應(yīng)該研究如何將現(xiàn)有成熟的安全能力（如隔離、訪(fǎng)問(wèn)控制、入侵檢測(cè)、應(yīng)用安全）應(yīng)用于云原生環(huán)境，構(gòu)建安全的云原生系統(tǒng)。

◎云原生的新特性具有諸多優(yōu)點(diǎn)，例如輕快不變的基礎(chǔ)設(shè)施、彈性的服務(wù)編排、開(kāi)發(fā)運(yùn)營(yíng)一體化等。因而，該階段應(yīng)研究如何將這些能力賦能于傳統(tǒng)安全產(chǎn)品，通過(guò)軟件定義安全的架構(gòu)，構(gòu)建原生安全架構(gòu)，從而提供彈性、按需、云原生的安全能力，提高“防護(hù)-監(jiān)測(cè)-響應(yīng)”閉環(huán)的效率。

◎當(dāng)安全設(shè)備或平臺(tái)云原生化后，就能提供（云）原生的安全能力，不僅適用于通用云與安全場(chǎng)景、5G、邊緣計(jì)算等場(chǎng)景，甚至可以獨(dú)立部署在大型電商等需要輕量級(jí)、高彈性的傳統(tǒng)場(chǎng)景，最終實(shí)現(xiàn)無(wú)處不在的安全。

3 原生安全場(chǎng)景面臨的挑戰(zhàn)

云原生帶來(lái)了諸多安全風(fēng)險(xiǎn)，如容器鏡像存在的安全風(fēng)險(xiǎn)、容器編排平臺(tái)的風(fēng)險(xiǎn)、云原生應(yīng)用的風(fēng)險(xiǎn)、云原生應(yīng)用業(yè)務(wù)的新風(fēng)險(xiǎn)、Serverless的風(fēng)險(xiǎn)等，在5G核心網(wǎng)、邊緣計(jì)算、工業(yè)互聯(lián)網(wǎng)云原生場(chǎng)景都存在一定的挑戰(zhàn)。

3.1 云原生在5G核心網(wǎng)中面臨的挑戰(zhàn)

5G核心網(wǎng)可以視為IaaS虛擬化系統(tǒng)或CaaS容器平臺(tái)，5G核心網(wǎng)網(wǎng)元以虛擬機(jī)或容器的形態(tài)出現(xiàn)，有些開(kāi)源和商業(yè)的網(wǎng)元采用了容器技術(shù)交付和部署，容器化的網(wǎng)元越來(lái)越普遍；每個(gè)5G核心網(wǎng)網(wǎng)元從設(shè)計(jì)來(lái)看功能獨(dú)立，因此5G網(wǎng)元承載的服務(wù)可以在編排平臺(tái)的支撐下，以微服務(wù)的模式提供5G控制平面的業(yè)務(wù)服務(wù)。這些基于容器、編排和微服務(wù)技術(shù)的5G核心網(wǎng)網(wǎng)元就面臨著云原生安全威脅和風(fēng)險(xiǎn)［3］。

3.2 云原生在邊緣計(jì)算中面臨的挑戰(zhàn)

隨著5G+工業(yè)互聯(lián)網(wǎng)技術(shù)的發(fā)展與深度融合，邊緣計(jì)算技術(shù)得到廣泛應(yīng)用。很多邊緣計(jì)算平臺(tái)都采用了容器技術(shù)和編排系統(tǒng)的技術(shù)。邊緣計(jì)算具有云原生靈活、高效、穩(wěn)定的特性；但云原生面臨的風(fēng)險(xiǎn)也會(huì)存在于邊緣計(jì)算環(huán)境中。邊緣計(jì)算面臨的安全挑戰(zhàn)有：

（1）資源受限。與傳統(tǒng)云計(jì)算環(huán)境不同的是，邊緣計(jì)算環(huán)境下算力、存儲(chǔ)資源有限，傳統(tǒng)安全防護(hù)軟硬件的部署受到限制。

（2）云邊平臺(tái)自身安全性。邊緣與云端共同作為云計(jì)算環(huán)境的組成部分，各自平臺(tái)系統(tǒng)自身安全性是整個(gè)云計(jì)算環(huán)境安全的基礎(chǔ)，因此依然面臨傳統(tǒng)安全威脅。

（3）邊緣應(yīng)用的時(shí)間約束。邊緣應(yīng)用自身具有復(fù)雜性、多樣性，加上容器技術(shù)的應(yīng)用，邊緣計(jì)算應(yīng)用將會(huì)越來(lái)越體現(xiàn)出高頻次、短周期的特點(diǎn)，攻防也會(huì)隨之變化。

（4）數(shù)據(jù)隱私與保護(hù)。在邊緣計(jì)算概念中，邊緣不再單單是一個(gè)個(gè)傳感器，而是具備一定計(jì)算、存儲(chǔ)能力的分布式節(jié)點(diǎn)，確保邊緣計(jì)算環(huán)境下的數(shù)據(jù)隱私得到合理應(yīng)用和保護(hù)變得愈加重要［4］。

3.3 云原生在工業(yè)互聯(lián)網(wǎng)中面臨的挑戰(zhàn)

在工業(yè)互聯(lián)網(wǎng)安全中，構(gòu)建IT和OT融合的全互聯(lián)、扁平化、靈活化的工業(yè)網(wǎng)絡(luò)體系結(jié)構(gòu)是工業(yè)網(wǎng)絡(luò)發(fā)展的必然趨勢(shì)，工業(yè)互聯(lián)網(wǎng)連接了IT和OT環(huán)境，如果一個(gè)惡意的容器應(yīng)用能橫向滲透到OT，則可能會(huì)造成災(zāi)難性后果。所以需要特別關(guān)注云原生與傳統(tǒng)環(huán)境的邊界，避免存在未授權(quán)訪(fǎng)問(wèn)。

4 如何指導(dǎo)與保障云原生安全落地

云原生技術(shù)正逐步出現(xiàn)，容器、微服務(wù)、聲明式API等代表技術(shù)的應(yīng)用正在逐步落地，生態(tài)逐步健全，因此企業(yè)應(yīng)同步加強(qiáng)云原生安全的部署，云原生安全踐行的原則：

（1）安全左移：在云原生建設(shè)初期將安全投資更多地放到開(kāi)發(fā)安全，包括安全編碼供應(yīng)鏈（軟件庫(kù)、開(kāi)源軟件）安全、鏡像安全；

（2）聚焦“不變”：容器對(duì)應(yīng)的鏡像、文件系統(tǒng)都是不變的，由相同或繼承的鏡像啟動(dòng)的容器進(jìn)程及其行為是相似的，用于微服務(wù)的容器進(jìn)程是少數(shù)且行為是可預(yù)測(cè)的，可以通過(guò)學(xué)習(xí)進(jìn)行畫(huà)像；

（3）業(yè)務(wù)安全：保護(hù)最貼近最終價(jià)值且處于最頂層的業(yè)務(wù)。

4.1 “內(nèi)生安全”理念指導(dǎo)云原生安全

云原生安全缺乏體系化的規(guī)劃和建設(shè)，以“部分改善”為主要措施，對(duì)云原生安全的動(dòng)態(tài)、全局的理解不夠清晰。云原生安全應(yīng)進(jìn)化到“內(nèi)生安全”時(shí)代，改變單一的柵欄式的防護(hù)現(xiàn)狀，演變到與云業(yè)務(wù)融合的多維度全方位的防御［5］?！皟?nèi)生安全”理念是指將網(wǎng)絡(luò)安全能力與信息化環(huán)境融合內(nèi)生，不再是外掛和局部的，從而在數(shù)字化環(huán)境的內(nèi)部，獲得無(wú)處不在的“免疫力”。

（1）構(gòu)建內(nèi)生安全體系的關(guān)鍵：面向企業(yè)數(shù)字化的網(wǎng)絡(luò)安全體系化建設(shè)與工程化落地，堅(jiān)持“三同步”原則；運(yùn)用三種聚合手段：技術(shù)聚合、數(shù)據(jù)聚合、人才聚合；以網(wǎng)絡(luò)、身份、應(yīng)用、數(shù)據(jù)、行為，以及數(shù)據(jù)驅(qū)動(dòng)的安全運(yùn)營(yíng)，多維度技術(shù)與運(yùn)行手段，構(gòu)建支撐企業(yè)數(shù)字化業(yè)務(wù)運(yùn)營(yíng)的內(nèi)生安全能力體系。

（2）構(gòu)建內(nèi)生安全體系的重點(diǎn)：因地制宜梳理所需云原生安全能力需求，規(guī)劃最優(yōu)組合；將安全能力合理地分配部署建設(shè)，深度融合，全面覆蓋；確保云業(yè)務(wù)持續(xù)安全運(yùn)行，實(shí)現(xiàn)云原生安全管理和響應(yīng)閉環(huán)。

4.2 安全三同步保障云原生安全

云原生技術(shù)作為云計(jì)算基礎(chǔ)設(shè)施的關(guān)鍵，為了保障云原生平臺(tái)用戶(hù)及云原生產(chǎn)品的安全運(yùn)行，需在云原生安全的規(guī)劃、建設(shè)和使用階段持續(xù)貫徹落實(shí)三同步要求［5］。

（1）項(xiàng)目規(guī)劃階段：同步考慮并規(guī)劃云原生安全設(shè)施建設(shè)需求，包括需要的云原生平臺(tái)、用戶(hù)及云原生產(chǎn)品的安全技術(shù)保障能力和如何建設(shè)原生安全管理平臺(tái)等，以確保云原生安全成為云原生系統(tǒng)的有機(jī)組成；

（2）項(xiàng)目建設(shè)階段：需從云原生建設(shè)的各個(gè)方面引入并融合安全能力，并確定各方的安全職責(zé)，確保云原生安全設(shè)施嚴(yán)格按照規(guī)劃設(shè)計(jì)要求進(jìn)行同步建設(shè)，上線(xiàn)驗(yàn)收時(shí)確保云原生系統(tǒng)和產(chǎn)品通過(guò)安全風(fēng)險(xiǎn)評(píng)估或符合等保要求；

（3）項(xiàng)目使用階段：確保云網(wǎng)的所有環(huán)節(jié)都充分對(duì)接，確保云安全設(shè)施正常運(yùn)行、云上安全識(shí)別、監(jiān)測(cè)、處置的各項(xiàng)流程貫通，一旦發(fā)生安全事件能迅速處置和響應(yīng)。

5 提升云原生安全的幾點(diǎn)舉措

安全是相對(duì)的，企業(yè)安全投入也是有限的，因此要結(jié)合企業(yè)安全現(xiàn)狀和實(shí)際面臨的問(wèn)題，按需、分步施策，逐漸完善企業(yè)云上安全防御體系。

（1）安全左移。完善上云IP、容器、鏡像、組件等資產(chǎn)全生命周期管理，建立安全上云三同步管控流程，開(kāi)通時(shí)同步納入SOC資產(chǎn)管理，進(jìn)行漏洞、基線(xiàn)加固，上線(xiàn)通過(guò)安全驗(yàn)收。定期對(duì)鏡像進(jìn)行升級(jí)。構(gòu)建云上組件采集分析機(jī)制，定期組織組件脆弱性治理。

（2）完善縱深防御體系。重點(diǎn)完善全流量與EDR覆蓋面，由點(diǎn)到面對(duì)云上系統(tǒng)安全進(jìn)行監(jiān)測(cè)與防護(hù)，減少內(nèi)核漏洞；引入云虛擬機(jī)、容器微隔離技術(shù)，降低暴露面風(fēng)險(xiǎn)。

（3）加強(qiáng)容器安全體系建設(shè)。定期對(duì)容器鏡像進(jìn)行掃描，容器運(yùn)行時(shí)合規(guī)檢查，對(duì)鏡像使用設(shè)置安全規(guī)則，對(duì)生產(chǎn)環(huán)境中鏡像進(jìn)行嚴(yán)格管控。

（4）加強(qiáng)網(wǎng)絡(luò)邊界治理。目前各類(lèi)云池眾多，客戶(hù)資產(chǎn)與自有資產(chǎn)混合入云情況一定程度還存在，暴露面集約管控存在一定風(fēng)險(xiǎn)。各地自建的或代建的安全責(zé)任歸屬電信的云池增多，而且不能部署在省中心時(shí)，須在當(dāng)?shù)嘏涮譏PS、防火墻、云隔等設(shè)備，同時(shí)要將這類(lèi)設(shè)施經(jīng)過(guò)專(zhuān)線(xiàn)接入省中心公網(wǎng)，統(tǒng)一互聯(lián)網(wǎng)暴露面。要強(qiáng)化云上資源池分域管控，資源池邏輯隔離，減少東西向流量安全風(fēng)險(xiǎn)。

（5）完善安全維護(hù)作業(yè)規(guī)程。結(jié)合安全上云的新技術(shù)新系統(tǒng)運(yùn)用，要進(jìn)一步完善相應(yīng)安全維護(hù)作業(yè)規(guī)程，將安全上云系統(tǒng)、組件同步納入安全維護(hù)作業(yè)流程，確保持續(xù)運(yùn)維安全。