随着云计算技术的蓬勃发展，传统上云实践中的应用升级缓慢、架构臃肿、无法快速迭代等“痛点”日益明显。能够有效解决这些“痛点”的云原生技术正蓬勃发展，成为赋能业务创新的重要推动力，并已经应用到企业核心业务。然而，云原生技术在创造效益的同时，却也面临着严峻的安全问题。

云原生技术中，容器技术以操作系统的C-Group以及Namespace的机制，来实现操作系统内核的共享，资源的虚拟化以及隔离，在DevOps和微服务领域都有广泛的应用。随着容器技术的不断向前发展，容器以及容器运行时的安全性问题，已经成为亟待解决的问题。

那么，云原生技术面临哪些安全挑战呢？如何保障云原生的容器安全呢？云原生安全解决方案如何落地呢？

带着这些问题，7月8日，由北京软件和信息服务业协会主办的“创新案例 北京实践”系列分享第八期邀请到青藤云安全的高级安全顾问贾兆培先生进行了分享。贾兆培以《基于DevOps生命周期的容器安全应用实践》为主题，详细论述了云原生面临的安全挑战，介绍了青藤蜂巢的云原生安全解决方案的原理、功能架构及安全左移解决方案的部署和集成，最后对相关典型案例进行了分享。

一、背景：云原生面临的安全挑战

贾兆培表示，云原生是以容器、微服务、DevOps、不可变的基础设施等技术为基础建立的一套云技术产品体系。这种颠覆性技术发展的同时，也带来了对安全的诸多挑战。

一是技术挑战。云原生引入了大量新的基础设施，安全防护对象发生了颠覆性变化，容器以及容器云逐渐成为工作负载的主流，容器带来了新的技术，比如镜像的使用和管理、编排工具——K8S，OpenShift等。新技术带来新的安全防护对象，需要引入新的安全手段。如容器运行时，面临容器逃逸风险、针对容器镜像的供应链攻击；微服务Web应用在解决传统单体应用不足之处的同时放大了攻击面（如端口和东西流量均显著增多），引入了安全隐患；传统安全防护手段的不足无法深入识别到容器中安全问题等。

二是组织挑战。云原生的技术框架背后，是组织协作方式的变革。它采用 DevOps 的方式进行快速的开发迭代，进行快速的持续交付。而传统安全工作主要负责线上运行服务的安全，无法适配新的开发节奏和安全要求。安全职责需要重新考虑，责任主体从开发、运维、安全的各司其职，转变成责任共担。

针对当前在容器使用中的安全痛点，青藤云安全提出了青藤蜂巢云原生安全解决方案。

二、方案：青藤蜂巢的云原生安全解决方案介绍

青藤云安全在实战化思想下创新构建了“一二四”云原⽣安全体系，即一个体系、两个方向、四个环节，云原生安全体系需要覆盖整个DevOps生产流程，在Dev和Ops这两个方向上分别要做到“安全左移，上线即安全”和“持续监控和响应，自适应安全”，然后在安全开发、安全测试、安全管控、安全运营这四个环节中通过各种工具和手段来进行落地，以应对云原生带来的安全挑战。其中，安全左移的核心是做安全管理，在实际落地的时候通过在软件生产过程中进行安全卡点来实现，同时还要以“准入”和“准出”来进行安全管控。

贾兆培认为，云原生安全有四大要求，即看得清、管得了、防得住、能融合。看得清，就是全自动化、细粒度的对工作负载进行分析，并可视化工作负载之间的网络访问行为。管得了，就是能集成到企业的DevOps流程中，实现覆盖容器全生命周期的安全风险管理。防得住，就是提供多锚点的基于行为的检测能力，能够实时、准确地感知入侵事件，并快速进行安全响应处理。能融合，就是实现与企业安全体系联动，以实现信息共享，协同作战。

三、典型案例：青藤蜂巢云原生安全解决方案为某大型央企保驾护航

贾兆培介绍到，青藤蜂巢云原生安全解决方案在实践中已有诸多成功案例。比如，某大型央企在数字化转型中，其各类关键业务已经使用容器技术，包括ECP系统和中台系统等。大量的容器技术的广泛使用为客户的业务运行提供了良好的运行效率，但是新技术的使用也使得客户面临新的风险挑战，该企业急需一款容器安全软件，在不影响当前业务运行的前提下，为各类容器业务提供运行时漏洞安全检测和运行时入侵风险检查。

该项目建设于2021年，青藤云安全采用独立部署模式，为其部署550点宿主机（超融合模式）。

通过该项目，客户获得以下收益：一是在应用漏洞检查方面，实现对该企业中ECP、技术中台等各类应用的进行应用漏洞安全扫描，识别深层次识别风险问题，同时给出对应漏洞的修复建议。二是在风险问题关联方面，实现对存在风险的应用，进行关联关系展示，能够对应用风险漏洞、存在漏洞的镜像、正在运行的容器和所在的运行节点进行线性关联，同时支持信息钻取查看，便于后续的风险问题修复。三是在应用弱密码检测方面，实现对SSH、WebLogic、Tomcat等主流的容器应用进行弱密码检测。四是在安全入侵检测方面，通过设置多锚点对攻击路径的每个节点都进⾏监控，基于⼊侵事件⾏为进⾏检测，能够帮助⽤户尽可能多的发现容器环境中可能存在的⼊侵事件。

在访谈互动环节，主持人与贾兆培就网友关心的相关问题进行了热烈互动。针对青藤云安全的网络安全防护产品体系，贾兆培表示，青藤云安全目前开发了“青藤蜂巢·容器安全”、“青藤万相·主机自适应安全平台”和“猎鹰·威胁狩猎平台”等核心产品，未来规划开发函数计算的安全（包括无服务）产品，watch tower数据安全解决方案等产品。针对解决用户云原生应用需求中，遇到的最大的安全问题，贾兆培表示安全问题主要有三个，一是资产不清晰，二是对风险了解不清晰，三是出现安全事故后，才发现受到安全威胁，进而去解决安全问题。青藤也是奔着这三点去解决问题的，首先帮客户把资产梳理清楚，然后让每一个资产跟管理信息相结合，及时对资产进行定位，接下来对风险进行清晰化、可视化的展示，最后对这些风险配置进行修复。针对云原生安全的趋势看法，贾兆培表示，随着业务上云越来越多，面临的新的安全风险也越来越多，安全将随着业务的发展而发展，所以未来云安全和云原生安全一定会大放异彩。

通过本次分享活动，我们对青藤云原生安全技术服务有了更全面的了解，也对云原生安全的发展趋势有了更清晰的认识。接下来，北京软件和信息服务业协会将会为大家带来更多精彩的内容。

扫描二维码 回顾会议精彩