BCS 2023|集大成者！奇安信发布CNAPP云原生安全保护平台

7月6日，2023年BCS北京网络安全大会在北京国家会议中心正式启幕，奇安信正式推出CNAPP云原生安全保护平台，该产品是奇安信在云安全及云原生安全领域深厚技术积累的集大成者，依托业界领先的开发安全能力、运行时安全能力，为云原生应用提供全生命周期安全防护。

图奇安信云安全管理事业部产品总监范维博

在数字经济的浪潮下，企业上云、用云的进程加快，随着业务发展的需求增加，业务体系建设逐步由云计算时代迈向云原生时代，作为云计算“2.0”的云原生正在快速改变业务的开发与运行模式，帮助企业用更快的速度完成数字化转型以及降本增效，并催化了AIGC、大数据、物联网等创新技术和产品的爆发式增长。

在云原生快速发展的同时，也带来了新的安全问题，如：工作负载对象改变、云原生基础设施自身的安全风险和暴露面增加、引入新的安全配置风险等。这些新的安全问题给现有的安全架构和安全运营带来了巨大挑战。

针对云原生安全的现状，奇安信提出三大云原生安全保护理念：

第一，安全左移

从开发阶段就关注安全并进行安全设计，使得风险在开发状态时就被发现与修复，有效降低安全风险。

第二，原生融合

安全产品应与云原生环境和技术有效融合，建设能适应于云原生环境的安全体系与架构，规避传统安全架构与云原生环境割裂等问题。

第三，全生命周期覆盖

云原生安全的建设以应用为中心，贯穿DevOps流程体系，覆盖基础设施安全、制品安全、运行时安全等，并建设覆盖全生命周期的安全运营平台，云原生安全风险全局关联可视。

据介绍，奇安信CNAPP云原生安全保护平台是以奇安信安全保护理念打造，以云原生应用为核心保护目标，能力覆盖整个云原生架构以及云原生应用的全生命周期。纵向从下到上覆盖云原生应用运行的基础设施，横向从左到右覆盖云原生应用的整个生命周期，涵盖开发、部署和运行时阶段的安全风险监测与分析，贯穿一体系（DevOps）、两方向（安全左移与安全右移）、三环节（构建、部署、运行），提供云原生应用全生命周期的风险管理与卡点管控能力。

奇安信云原生安全负责人表示，奇安信CNAPP平台的核心能包括五个方面：

首先是云原生资产管理

CNAPP平台可以从云原生应用的生命周期各个阶段完成资产指纹库的构建，覆盖代码仓库、镜像仓库、k8s集群和容器等云原生资产类型。此外，实现应用与资产的关联管理，以云原生应用为中心，将云原生应用在生命周期各个阶段的不同资产进行关联，为平台的双向反馈能力提供基础。

其次是云原生配置管理

CNAPP平台可实现云原生环境下的API风险基线管理、云原生基线管理、云环境基线管理，通过底层大数据平台实现关联分析，不合规基线风险关联其资产和应用，管理员可通过CNAPP平台持续监测资产配置风险状态。

第三是云原生风险评估

CNAPP平台支持多源数据汇总计算，囊括云原生应用的脆弱性风险、基础镜像风险、开源组件风险、基线和弱口令等多类安全风险类型，叠加底层的网络暴露面关联计算能力，利用平台全流量采集功能，可实现网络攻击蔓延的自动化展现，为云原生安全风险跟踪提供有效支持。

第四是云原生威胁检测

CNAPP平台国内独家采用双模式实现云原生东西向流量采集和分析，发现云原生安全风险和异常行为，消除云原生安全盲区。同时，CNAPP平台可接收容器工作负载安全数据、API安全威胁数据、容器安全数据等，结合全流量威胁检测结果完成云原生威胁检测。云原生威胁情况在平台上实现资产信息的自动关联，平台根据计算模型对资产做自动评级，资产安全状态一目了然。

第五是风险卡点管控

CNAPP平台具备卡点管控功能，对上述风险和威胁完成闭环处置。平台可联动容器安全等工具针对云原生攻击开展有效防护，例如：集群计算节点文件防篡改、危险进程阻断、网络L4~7层访问控制、风险镜像启动阻断等，防止风险流入下一阶段，有效保护云原生应用的运行时安全。

作为云安全&云原生安全的领导者，奇安信在云原生安全领域布局多年。本次在业界率先推出的CNAPP云原生安全保护平台是云原生安全技术的沉淀以及对客户需求深刻理解的大成，奇安信将以CNAPP产品及云安全运营服务为抓手，为客户的数字化转型和云原生安全改造提供持续的安全保障。