云原生安全風險

隨著云原生架構的快速發展，核心能力逐漸穩定，安全問題日趨緊急。在云原生安全領域不但有新技術帶來的新風險，傳統IT基礎設施下的安全威脅也依然存在。要想做好云原生安全，就要從這兩個方面分別進行分析和解決。

新技術帶來新的安全風險

云原生的概念定義本身就比較抽象，從誕生到現在也經歷了多次變化。2018年CNCF對云原生的概念進行了重定義：云原生技術有利于各組織在公有云、私有云和混合云等新型動態環境中，構建和運行可彈性擴展的應用。云原生的代表技術包括容器、服務網格、微服務、不可變基礎設施和聲明式API。雖然這是云原生概念最新的定義，但是不同的人對云原生的抽象概念理解相差很大，一直在不斷地爭論。狹義的理解直接套用定義，認為定義之外的技術不屬于云原生。廣義的理解則認為定義不夠貼切，應該從字面含義進行理解，認為只要是能利用云的特性，在軟件工程各階段提高效率，降低成本的行為、技術，都可以認為是云原生。

從普遍認知來看，云原生主要包括kubernetes和容器、微服務、云基礎設施，其中kubernetes和容器在某種程度上已經是云原生的代名詞。其中kubernetes和容器作為云原生時代的典型技術，也是帶來風險最多的技術，包括：kubernetes組件漏洞、認證鑒權不規范、公開鏡像存在漏洞、鏡像被植入惡意程序、容器隔離被突破造成逃逸等。微服務在云原生時代快速發展，在內部風險無法防范的時候會擴大安全風險，造成橫向攻擊擴散。

傳統IT基礎設施的威脅依然存在

云原生不能脫離底層IT基礎設施：計算、存儲、網絡而存在，因此這些IT基礎設施面臨的問題在云原生場景下依然存在。DDoS攻擊防護、cc攻擊防護、漏洞、木馬、病毒、數據泄露等等安全風險，并沒有因為云原生的發展而降低。

云原生安全構建

在云原生安全早期，人們的慣性思維就是利用傳統的安全防護手段去進行云原生安全防護。經過這么多年的攻防對抗，傳統產品在各自的領域都已經身經百戰，解決對應的安全問題也都不在話下，這些安全產品通過簡單地改造，就可以與云原生架構配合運行。

積木式云原生安全

這個階段云原生安全并不存在一個完整的架構，各安全產品就像搭積木一樣跟云原生架構進行配合。隨著這個安全體系的構建，工程師門很快就發現，安全并沒有因為云原生的到來發生什么改變，這種搭積木式的云原生安全方案，從遠處看各方面的安全都能有，方案也很完整。但是從近處看就能看到安全產品之間基本沒有聯系，使用起來并沒有什么改變，似乎安全和云原生就是兩個獨立的領域，無法支撐云原生快速發展的安全防護需求。

裝配式云原生安全

隨著在云原生安全方向上的深入研究，人們發現安全+云原生并不是簡單組合一下就能變成云原生安全。要想做好云原生安全，就必須按照云原生的思想去思考安全問題怎么解決，云原生安全應該是一個整體，而不是各個割裂的安全產品。Gartner認為，全面保護云原生應用需要使用來自多個供應商的多種工具，這些工具很少得到很好的集成，而且通常只為安全專業人員設計，而不是與開發人員合作。對于組織而言，這種孤立的安全工具在面對實際安全風險的并不太有效，而且會導致過多的警報、浪費開發人員的時間。在這種趨勢下，Gartner提出了CNAPP云原生應用保護平臺，將多種安全工具緊密地結合在一起，以保護日益復雜的攻擊面。

云原生的一個底層核心理念就是拆解、組合和標準化，這其實也是軟件開發領域一個軟件工程師長期追求的目標，即將業務邏輯和通用邏輯不斷拆分，通用邏輯逐漸獨立標準化，開發人員只需要關注自身業務邏輯。kubernetes從業務應用的角度將通用邏輯拆解，解決業務場景靈活多變的問題。不可變基礎設施作為云原生定義的四大要素，是最容易被忽略的，但是這個理念卻是云原生能夠持續發展的核心，極大地降低了云原生的復雜度，將標準化發揮到極致。這兩個核心技術都是底層理念的表現。這個理念跟裝配式建筑十分類似，把傳統建造方式中的大量工作轉移到工廠進行，在工廠加工制作好建筑配件（如樓板、墻板、樓梯、陽臺等），運輸到建筑施工現場，通過可靠的連接方式在現場裝配安裝而成的建筑。這種方式不僅建筑速度快，工業化質量也有保障。

裝配式云原生安全，就是按照云原生的核心理念，將各安全能力進行拆分、標準化改造、再組合。各安全能力不只是簡單的堆疊，通過云原生技術可靠地連接在一起，讓每個業務應用從誕生開始，就具備合適的安全能力，實現發布即安全。相比積木式能力組合，這種方式可以讓安全和業務實現深入且自由地組合，形成靈活又可靠的云原生安全。

應用按照時間維度可分為開發、測試、部署、運行、響應，空間維度可分為主機、操作系統、kubernetes、容器、服務、網絡，從這兩個維度出發，將各種安全能力進行拆解和組合，通過統一的云原生安全平臺進行管理，真正將安全和業務的各個階段都能緊密地連接在一起，才能形成真正的云原生安全。

作者：京東科技 李卓嘉

來源：京東云開發者社區