近年來(lái)，隨著云計(jì)算技術(shù)在全球的快速普及，上云成為了企業(yè)實(shí)現(xiàn)數(shù)字化轉(zhuǎn)型中的重要路徑。憑借能讓企業(yè)更好地適應(yīng)和使用云環(huán)境的優(yōu)勢(shì)，“云原生”這一概念開始被云計(jì)算服務(wù)商廣泛接受和開發(fā)，逐漸成為云計(jì)算領(lǐng)域中重要的技術(shù)發(fā)展趨勢(shì)。

　　例如在企業(yè)上云的初期，大部分應(yīng)用程序是從本地環(huán)境直接移植到云上的，這些應(yīng)用程序在設(shè)計(jì)開發(fā)時(shí)并沒(méi)有考慮云環(huán)境的特殊問(wèn)題，很容易出現(xiàn)“水土不服”的情況。為了讓應(yīng)用程序更好地適應(yīng)云環(huán)境，以云作為最終部署環(huán)境，按照云環(huán)境的要求所開發(fā)的應(yīng)用程序——云原生應(yīng)用被相繼開發(fā)出來(lái)，為加速企業(yè)數(shù)字化轉(zhuǎn)型進(jìn)程提供重要助力。

　　除了應(yīng)用程序適配性的問(wèn)題外，云原生應(yīng)用的普及在為企業(yè)帶來(lái)高效、便捷的使用體驗(yàn)的同時(shí)，也帶來(lái)了傳統(tǒng)安全手段無(wú)法應(yīng)對(duì)的新型攻擊路徑和安全問(wèn)題。如何將安全防護(hù)能力與云原生的概念相結(jié)合，從而構(gòu)建出以部署在云環(huán)境為基礎(chǔ)、能夠更加貼合云環(huán)境下安全態(tài)勢(shì)的云原生安全體系，成為了廣大企業(yè)眼下亟需解決的問(wèn)題。

　　云原生安全問(wèn)題解決方法眾說(shuō)紛紜 缺乏行之有效的統(tǒng)一方案

　　云計(jì)算技術(shù)作為數(shù)字化經(jīng)濟(jì)時(shí)代的基礎(chǔ)設(shè)施，正逐漸成為支撐各企業(yè)正常運(yùn)轉(zhuǎn)、開拓業(yè)務(wù)的重要支柱，云原生應(yīng)用的出現(xiàn)將進(jìn)一步加速云計(jì)算技術(shù)的發(fā)展和普及。正因如此，企業(yè)在考慮如何使用更加高效地通過(guò)云原生帶來(lái)發(fā)展機(jī)會(huì)時(shí)，也開始重視如何通過(guò)云原生來(lái)加強(qiáng)安全防護(hù)能力的問(wèn)題。

　　然而，云原生應(yīng)用基金會(huì)(CNCF)雖然給出了云原生的定義，但是對(duì)于安全層面上的內(nèi)容卻只字未提，導(dǎo)致行業(yè)中推出的云原生安全解決方法存在分歧。如Google傾向于通過(guò)改寫底層代碼的方式對(duì)安全問(wèn)題進(jìn)行“修補(bǔ)”;而網(wǎng)絡(luò)安全供應(yīng)商PaloAlto則是通過(guò)對(duì)各類云上安全問(wèn)題提供外掛式安全產(chǎn)品的方式，提供具有針對(duì)性的云上安全防護(hù)功能。但修改代碼存在滯后性，外掛掛多了也容易產(chǎn)生產(chǎn)品功能冗余的情況，均不能算是云原生安全的最優(yōu)解。

　　現(xiàn)階段行業(yè)中就如何云原生安全的討論仍在繼續(xù)，由于尚未合理合規(guī)的標(biāo)準(zhǔn)出臺(tái)，云原生安全領(lǐng)域仍處于群雄割據(jù)的“戰(zhàn)國(guó)時(shí)代”，至今仍未有統(tǒng)一的觀點(diǎn)和解決方案出現(xiàn)。但對(duì)于云上企業(yè)來(lái)說(shuō)，眼下只能采用針對(duì)現(xiàn)有問(wèn)題選擇單一產(chǎn)品這種“頭痛醫(yī)頭、腳痛醫(yī)腳”的方法來(lái)保障云上安全，迫切需要一套切實(shí)有效的方案來(lái)守護(hù)云上安全。

　　記者注意到，近期騰訊安全和CSDN發(fā)起的《產(chǎn)業(yè)安全公開課 · 云原生安全專場(chǎng)》一系列直播課程中，七位安全專家在構(gòu)建云原生安全體系時(shí)的實(shí)踐經(jīng)驗(yàn)和心得，嘗試將時(shí)下企業(yè)上云所面臨的安全痛點(diǎn)與自身的安全防護(hù)服務(wù)相結(jié)合，輸出騰訊安全對(duì)于云原生安全的獨(dú)特觀點(diǎn)和解決方案。

　　云上企業(yè)最關(guān)心數(shù)據(jù)安全 公開課詳解云原生數(shù)據(jù)安全解決方案

　　數(shù)據(jù)作為新基建時(shí)代中重要的生產(chǎn)資料，能夠?yàn)槠髽I(yè)在數(shù)字化時(shí)代下快速發(fā)展提供重要支撐，但也因此成為了不法分子覬覦的對(duì)象，外部攻擊、內(nèi)部泄露均威脅著數(shù)據(jù)的安全。同時(shí)，隨著云上環(huán)境中數(shù)據(jù)使用場(chǎng)景持續(xù)擴(kuò)大，也進(jìn)一步提升了維護(hù)數(shù)據(jù)安全的難度，如何根據(jù)云原生應(yīng)用的特點(diǎn)引入相應(yīng)的安全策略，從而更加高效地為數(shù)據(jù)提供在產(chǎn)生、流動(dòng)、存儲(chǔ)、使用及銷毀過(guò)程中的全程安全防護(hù)，成為了企業(yè)關(guān)注的重點(diǎn)。

　　對(duì)此，騰訊安全數(shù)據(jù)安全專家周京川從等保合規(guī)的角度，講述了建設(shè)云原生數(shù)據(jù)安全體系的必要性。“從法規(guī)和監(jiān)管層面來(lái)看，我國(guó)正在通過(guò)發(fā)布相關(guān)法規(guī)和條例加強(qiáng)對(duì)于數(shù)據(jù)安全的監(jiān)管力度，迫使企業(yè)數(shù)據(jù)的安全防護(hù)和健康穩(wěn)定放在發(fā)展規(guī)劃的首位。”周京川表示，在企業(yè)上云的大潮下，企業(yè)就應(yīng)該從云環(huán)境出發(fā)，在滿足企業(yè)數(shù)據(jù)安全防護(hù)需求的同時(shí)，制定云原生數(shù)據(jù)安全體系的架構(gòu)和策略。

　　“我們需要根據(jù)云原生應(yīng)用的特點(diǎn)引進(jìn)數(shù)據(jù)安全的策略。”騰訊安全云鼎實(shí)驗(yàn)室專家姬生利表示，早期大部分服務(wù)商所采用的數(shù)據(jù)安全保護(hù)策略是照搬物理機(jī)部署的應(yīng)用模式，各個(gè)流程中對(duì)數(shù)據(jù)的安全防護(hù)措施相對(duì)分離，無(wú)法適用于云上數(shù)據(jù)高速流動(dòng)的使用場(chǎng)景。

　　姬生利認(rèn)為，從傳統(tǒng)應(yīng)用到業(yè)務(wù)上云再到云原生應(yīng)用，數(shù)據(jù)的使用場(chǎng)景也在不斷變化。要構(gòu)建云原生數(shù)據(jù)安全防護(hù)體系，企業(yè)需要隨著架構(gòu)的演進(jìn)提出新的數(shù)據(jù)安全保護(hù)策略。而云原生數(shù)據(jù)安全防護(hù)策略主要可以從3個(gè)方面入手。

　　首先需要進(jìn)行數(shù)據(jù)的分類治理，針對(duì)敏感數(shù)據(jù)和重要數(shù)據(jù)制定相應(yīng)的保護(hù)策略;其次，在數(shù)據(jù)傳輸存儲(chǔ)的整個(gè)過(guò)程中，應(yīng)使用加密技術(shù)對(duì)上述數(shù)據(jù)進(jìn)行加密和脫敏保護(hù)，通過(guò)密碼技術(shù)保障數(shù)據(jù)的完整性和機(jī)密性。最后，針對(duì)外部攻擊和內(nèi)部員工誤操作導(dǎo)致數(shù)據(jù)泄露的問(wèn)題，通過(guò)身份認(rèn)證、角色管理等手段對(duì)數(shù)據(jù)獲取權(quán)限進(jìn)行統(tǒng)一管理，完善企業(yè)對(duì)數(shù)據(jù)訪問(wèn)的控制能力，最終形成云原生數(shù)據(jù)全生命周期的安全防護(hù)。

　　傳統(tǒng)安全威脅云上再升級(jí) 以云原生概念為基礎(chǔ)打造云上防線

　　對(duì)于企業(yè)來(lái)說(shuō)，Web攻擊和DDoS攻擊都已是耳熟能詳?shù)陌踩{了，并且大部分企業(yè)已經(jīng)具備了周全的防護(hù)能力。但隨著云計(jì)算的不斷發(fā)展和普及，這兩種傳統(tǒng)威脅在云環(huán)境中不斷升級(jí)進(jìn)化，再次成為了讓云上企業(yè)頭疼安全問(wèn)題。 此外，企業(yè)遷徙上云后，也為主機(jī)安全和防火墻等傳統(tǒng)安全防護(hù)功能帶來(lái)更加多元化的安全挑戰(zhàn)。

　　隨著技術(shù)的升級(jí)，DDoS已經(jīng)能通過(guò)電腦、移動(dòng)設(shè)備、IoT設(shè)備對(duì)云上企業(yè)發(fā)起攻擊，而攻擊流量也會(huì)隨著攻擊面的擴(kuò)展而逐漸增大，目前TB級(jí)攻擊的時(shí)代已經(jīng)來(lái)臨。“傳統(tǒng)的IP限速和拉黑名單的方式已經(jīng)無(wú)法適應(yīng)現(xiàn)在的攻擊手段了。”騰訊安全網(wǎng)絡(luò)安全專家王超力表示，騰訊安全將豐富的抗D經(jīng)驗(yàn)和云環(huán)境特點(diǎn)相結(jié)合，不僅打造出了云原生防御算法和防護(hù)策略，還引入了AI智能引擎和流量行為建模等新興技術(shù)助力抗D。

　　而在企業(yè)上云的過(guò)程中，傳統(tǒng)IDC環(huán)境中部署的硬件防火墻已經(jīng)無(wú)法適應(yīng)云端的架構(gòu);但隨著攻擊技術(shù)、漏洞披露等日趨成熟，針對(duì)Web漏洞的攻擊愈演愈烈，企業(yè)急需構(gòu)建在云環(huán)境下運(yùn)行無(wú)礙的云原生Web防護(hù)體系。“企業(yè)上云后，首先要考慮的就是如何將Web防護(hù)功能接入到云原生的環(huán)境之中。”據(jù)騰訊安全WAF負(fù)責(zé)人劉吉赟介紹，在以云原生概念為基礎(chǔ)對(duì)產(chǎn)品架構(gòu)進(jìn)行重新設(shè)計(jì)后，云WAF會(huì)以旁路引擎作為核心功能，并在接入云環(huán)境之后將產(chǎn)品所具備的Web防護(hù)功能與云上基本安全能力相結(jié)合，最終打造出云原生的Web防護(hù)體系。

　　騰訊安全主機(jī)安全產(chǎn)品負(fù)責(zé)人謝奕智表示，在云環(huán)境中主機(jī)防護(hù)的策略需要根據(jù)防護(hù)規(guī)模的擴(kuò)大而進(jìn)行變更，還要考慮鏡像污染、容器逃逸等云原生安全問(wèn)題。“要解決云原生安全問(wèn)題，就要貼合云原生支撐的技術(shù)和服務(wù)去做，從云的角度去思考和部署。”謝奕智認(rèn)為，合格的云原生主機(jī)安防體系，不僅需要根據(jù)企業(yè)云上業(yè)務(wù)的規(guī)模對(duì)安全防護(hù)策略進(jìn)行靈活調(diào)整，還應(yīng)具備檢測(cè)能力、響應(yīng)能力、架構(gòu)適配能力、滿足合規(guī)要求的能力。

　　“在企業(yè)遷徙上云后，基于云原生的防護(hù)墻技術(shù)將取代傳統(tǒng)防火墻，成為守護(hù)企業(yè)云端安全的關(guān)鍵基礎(chǔ)設(shè)施。“在講到云防火墻的功能時(shí)，騰訊安全云防火墻產(chǎn)品負(fù)責(zé)人周荃表示，盡管在云原生安全的背景下，計(jì)算、存儲(chǔ)以及容器serverless等新型的網(wǎng)絡(luò)基礎(chǔ)設(shè)施都具備原生的安全能力，但仍缺少針對(duì)網(wǎng)絡(luò)安全和流量的安全檢測(cè)能力。云防火墻能夠?yàn)橛脩籼峁┤肭址雷o(hù)、威脅實(shí)時(shí)檢測(cè)、威脅橫向移動(dòng)防護(hù)等基于云環(huán)境開發(fā)的，云原生安全防護(hù)功能。

　　云環(huán)境下效率與安全問(wèn)題并存 以安全運(yùn)營(yíng)中心構(gòu)建云原生安全體系

　　企業(yè)上云后，在享受DevOps模式、容器、云函數(shù)等云原生服務(wù)所帶來(lái)高效、便利體驗(yàn)的同時(shí)，也需要面對(duì)云上新生的安全問(wèn)題。以DevOps模式為例，借助云原生API驅(qū)動(dòng)的DevOps得到了大規(guī)模的應(yīng)用，企業(yè)可以通過(guò)DevOps實(shí)現(xiàn)產(chǎn)品的敏捷開發(fā)以增加整體效率。

　　但在DevOps模式下產(chǎn)生的新生安全威脅，如異常API調(diào)用、SecretKey泄漏則要求企業(yè)具備針對(duì)性的檢測(cè)手段才能夠發(fā)現(xiàn)。在此背景下，企業(yè)的運(yùn)維團(tuán)隊(duì)不僅要對(duì)云上新型安全威脅和傳統(tǒng)互聯(lián)網(wǎng)攻擊進(jìn)行檢測(cè)和及時(shí)響應(yīng)，還需要通考慮如何對(duì)各個(gè)安全產(chǎn)品進(jìn)行統(tǒng)一管理，從而搭建出真正行之有效的云原生安全體系。

　　為了解決云上新生安全問(wèn)題并打通云上各類安全產(chǎn)品間的相關(guān)數(shù)據(jù)，騰訊安全高級(jí)工程師耿琛在公開課上分享了騰訊安全云原生安全運(yùn)營(yíng)體系的構(gòu)建理念。“針對(duì)公有云環(huán)境中的安全問(wèn)題，要以云原生的思路構(gòu)建云的安全體系，而不是將傳統(tǒng)的安全體系搬到云上。”他表示，以云原生為中心，以安全左移、數(shù)據(jù)驅(qū)動(dòng)及自動(dòng)化為基本支撐，就是構(gòu)建云原生安全運(yùn)營(yíng)體系的“一個(gè)中心和三個(gè)基本點(diǎn)”。

　　其中，安全左移指的是云原生安全運(yùn)營(yíng)體系首先應(yīng)該具備事前感知安全威脅和配置風(fēng)險(xiǎn)檢查能力，既以構(gòu)建安全預(yù)防體系的方式提升整體安全水平;而數(shù)據(jù)驅(qū)動(dòng)則是云原生安全運(yùn)營(yíng)的基本要求，通過(guò)建立云上安全數(shù)據(jù)湖對(duì)各安全產(chǎn)品上的數(shù)據(jù)進(jìn)行收集和統(tǒng)一管理，在為整個(gè)安全運(yùn)營(yíng)體系提供支撐的同時(shí)，也打破了各個(gè)安全產(chǎn)品間相互孤立的局面，為安全產(chǎn)品相互協(xié)同、形成完整安全閉環(huán)打下了基礎(chǔ);最后，通過(guò)云上資產(chǎn)自動(dòng)化盤點(diǎn)及云上威脅自動(dòng)化響應(yīng)處置等自動(dòng)化技術(shù)，幫助企業(yè)安全運(yùn)維團(tuán)隊(duì)實(shí)現(xiàn)對(duì)云上新型安全問(wèn)題的自動(dòng)應(yīng)對(duì)。

　　從中短期來(lái)看，除非出現(xiàn)能夠超越5G傳輸速率的物理傳輸技術(shù)，否則云平臺(tái)仍會(huì)是未來(lái)企業(yè)在新基建時(shí)代拓展業(yè)務(wù)的主要陣地。而云原生作為企業(yè)數(shù)字化轉(zhuǎn)型和持續(xù)創(chuàng)新的加速器，將受到廣大企業(yè)和云服務(wù)商的持續(xù)關(guān)注，對(duì)于如何基于云原生應(yīng)用構(gòu)建云上安全體系的討論和探索也將不斷深入。本次騰訊安全所發(fā)起的產(chǎn)業(yè)安全公開課，或?qū)⒊蔀樾袠I(yè)中云原生安全實(shí)踐成果分享的最佳范例，引導(dǎo)其他安全服務(wù)商對(duì)外分享云原生安全的探索成果，為企業(yè)提升云上安全水位提供更多助力。