云原生安全创新峰会：向云而变 构建新范式

今日，由中国信通院云原生安全实验室指导、默安科技联合创原会（全球云原生交流平台）举办的云原生安全创新峰会以线上直播的形式成功举办，八位行业大咖齐聚一堂，从云原生安全行业趋势洞察、标准解读、技术探索和应用实践等多个角度，共同探讨云原生安全建设的新思路。

图八位行业大咖齐聚云原生安全创新峰会

云原生安全发展趋势展望

CNCF云原生计算基金会中国区总监陈泽辉（Keith Chan）从云原生技术的应用情况、现代云原生安全挑战与方案、云原生技术未来发展趋势等方面进行了分享。

云原生安全的挑战在哪里？从CNCF的调研结果来看，排在前三的分别是：缺乏技术专才，DevOps、CI/CD等新的方法/流程与当下流程/方法的匹配中遇到的挑战，数据安全。关于如何在云原生中提供更高的安全性，调研结果显示，身份认证与访问管理，合规、监管、审计等方面的管理，工作负载隔离与租户隔离，凭证管理等是受访者提及最多的领域。

在现代云原生安全方面，根据CNCF云原生工作小组的调研，陈泽辉指出，和传统的安全方案不同, 云原生安全方案需要一种完全不同的方法，即强调动态、精细和细微的控制。同时，云原生里存在很多开源项目的集成，如何去保护这些第三方开源项目的流程也是一个重要课题。最后，陈泽辉从在边缘使用云原生、无服务器计算和容器、多云和分布式云、低代码/无代码平台开发等云原生技术的发展趋势方面进行了分享。

云原生安全发展态势及标准体系解读

中国信通院云大所云计算部高级业务主管杜岚从云原生安全的发展现状、发展趋势和标准体系等三个方面进行了解读。近年来，随着云原生理念的不断推广普及，云原生技术已经逐步为企业接受，云原生产业已然步入快速发展期，究其原因，一是从需求层面，企业高度关注云原生安全；二是从技术层面，云原生安全技术创新爆发；三是从市场层面，云原生安全成为极具潜力的新赛道。

谈及云原生安全发展趋势，杜岚指出，第一，云原生安全需求从技术维度扩展至管理体系与人才培养；第二，安全与基础设施融合催生新形态的安全能力和交付模式；第三，云原生网络安全防护手段由原生安全机制向贴合云原生环境的专业安全工具发展；第四，云原生应用安全防护手段从单点防护向全流程一体化防护演进。

最后，杜岚对云原生安全标准体系建设情况进行了介绍，信通院联合业界专家制定了国内首个云原生安全能力成熟度标准，云原生安全成熟度评估模型融合了零信任、安全左移、持续监测与响应以及可观测四大理念。杜岚认为，当前的云原生应用保护平台仍然处于发展初期，随着云原生安全防护技术的不断发展演进，未来的云原生安全防护必将是贯穿全流程的一体化安全防护方案。

从内核到容器：云原生技术栈安全分析

浙江大学百人计划研究员、博士生导师申文博的分享从云原生介绍、云原生技术栈、云原生技术栈攻防和云原生技术安全展望四个方面展开。申文博首先指出，云原生系统已然成为云计算的技术基石，从技术视角来看，云原生技术栈从下到上分为操作系统内核层、容器层、编排层、容器镜像四个层次，各个层次均存在安全挑战。

❶ 操作系统内核层面临的安全挑战包括内核漏洞、资源限制和数据保护；

❷ 容器层安全挑战主要来自组建漏洞与配置不当；

❸ 编排层安全挑战由组建漏洞、配置不当、缺乏网络隔离三部分组成；

❹ 容器镜像面临纵向传播风险与横向传播风险两类。

申文博对各个层次的安全保护现状进行了剖析，并在云原生技术安全展望和总结时提出，云原生技术为云计算带来了新的机遇，同时也带来了新的安全挑战，需要在各个层次中开展新型防护。最后申文博为大家介绍了他及团队在容器资源隔离安全性分析、操作系统内存计数问题方面的研究成果。

云原生安全建设探索与实践

默安科技云安全架构师&技术总监韩继的分享从云原生背景、云原生安全风险、云原生安全建设思路、默安尚付CNAPP（云原生应用保护平台）等方面展开。

IT数字化转型经历从服务器到云化，再到云原生三个阶段。在云原生时代，随着应用的自动化，云进一步改变了业务的生产方式，资源获取总体成本降低，在给业务带来快速与敏捷的同时，也势必面临新的安全风险：

❶ DevOps风险：随着开发的快速迭代，开发过程中的安全风险也不可忽视，例如：开源组件问题、镜像安全问题等。

❷ 基础设施风险：云原生引入的新的基础设施，编排组件配置不合规和编排组件漏洞，可能带来新的安全风险。

❸ 微服务风险：应用微服务化后、访问控制粒度无法细化，攻击者一旦进入集群，可以相对容易地进行东西向移动。

❹ 工作负载风险：在基础设施不断变化的背景下，传统的边界安全防护就很难起到预期效果，攻击者能轻易地通过网络攻击获取用户工作负载权限，继而进行横向渗透。

❺ 应用与数据风险：云原生应用除继承传统的应用风险之外，由于微服务化的设计模式，导致功能组件化、服务数量激增、配置复杂等问题。

谈及云原生安全建设思路，韩继从评估服务、加固服务及安全运营等角度提出一套完整的云原生安全解决方案。最后，韩继分享了默安科技在云原生安全领域的创新成果，默安科技尚付云原生保护平台拥有DevSecOps、基础设施安全、微服务网络安全、工作负载安全、应用与数据安全五大核心功能，通过将完整的DevSecOps体系与容器云安全无缝整合，真正实现从开发到运行的全栈全生命周期安全可见与管控，帮助客户打造业界领先的下一代安全防护体系。

云原生安全能力体系建设与实践分享

软通动力信息安全总监皇甫少明的分享涵盖云原生技术引发的安全新挑战、云原生安全能力体系构建、云原生安全实践三个部分。皇甫少明认为，云原生在获得飞速发展的同时，也带来了日益增多的安全风险，如何构建云原生安全能力体系已成为当前国内关注的焦点。

在云原生安全能力体系构建方面，软通动力参照国际安全管理、国家等保要求、业界安全建设实践、云原生安全成熟度评估模型，建设软通的安全标准、进行安全实践、树立安全标杆，引领云原生安全进阶。此外，皇甫少明也从安全咨询与服务的角度，介绍了云原生安全能力体系建设的新路径：一是云原生安全架构规划与合规，二是云端安全防护，三是云数据安全与防护，四是云原生安全运营。最后，皇甫少明分享了软通动力自身在云原生安全领域的探索与实践。

接下来，峰会还进行了以“云原生安全技术的应用与趋势”为主题的圆桌会议，由创原会高级运营经理谢黎主持，CNCF开发者布道师Donald Liu、中国信通院云大所云计算部高级业务主管杜岚、默安科技云安全架构师&技术总监韩继、默安科技安全研究院院长程进四位行业大咖，从不同视角共同探讨云原生安全能力建设的新思路。

云原生作为一种全新的技术理念在当前备受推崇，它的出现对推动业务快速增长产生了众多积极影响，政企纷纷步入云原生转型行列，如何更安全地云原生化是政企单位面临的新命题。嘉宾们围绕双向反馈的新概念、云基础设施安全和CSPM、容器环境下的白名单机制、企业云原生安全组织体系建设、云原生安全技术发展方向、开源项目与云原生安全建设等问题展开交流与讨论。

结语

本次云原生安全创新峰会获得热烈反响，线上直播参与人数破两千。嘉宾们从云原生安全发展趋势、标准体系、技术发展方向、云原生安全体系建设等多个视角对云原生安全进行了深度探讨，对当下数字化时代云原生安全体系的建设具有很大的参考价值。未来，默安科技将在网络安全领域不断探索与创新，与更多行业代表一起对数字世界的安全问题展开更有价值的探讨。

受篇幅所限，本文未对各位嘉宾的演讲内容作完整呈现，后期默安科技也将对嘉宾们的观点进行详细回顾，想了解更多关于本次云原生安全创新峰会的精彩内容，欢迎持续关注哦！

演讲回顾

1、关注“默安科技”公众号，后台回复“云原生安全”，获取嘉宾演讲PPT下载链接。

2、关注“默安科技”视频号，即可观看峰会直播回放。