前言

當(dāng)?shù)谖宕涡畔⒓夹g(shù)革命浪潮涌向人類后，人類社會(huì)伴隨著計(jì)算機(jī)的發(fā)展而快速向前。隨之而來(lái)的云計(jì)算、大數(shù)據(jù)、5G等一系列新技術(shù)如噴井式發(fā)展也推動(dòng)各行各業(yè)進(jìn)一步發(fā)展，也帶動(dòng)云原生（Cloud Native）技術(shù)的產(chǎn)生。

誕生多年的云原生技術(shù)也面臨著全球化的網(wǎng)絡(luò)攻擊，而用戶在利用云原生技術(shù)優(yōu)勢(shì)的同時(shí)，云原生技術(shù)與傳統(tǒng)開(kāi)發(fā)模式之間無(wú)法兼容所帶來(lái)的問(wèn)題也在挑戰(zhàn)云原生安全技術(shù)的可靠性。為了滿足數(shù)字經(jīng)濟(jì)轉(zhuǎn)型新時(shí)代下用戶們對(duì)更加快速、敏捷、具有彈性的云安全需求，云原生安全領(lǐng)域亟需一場(chǎng)新變革。

12月29日，在安全狗云原生安全及數(shù)據(jù)安全新品發(fā)布會(huì)的現(xiàn)場(chǎng)上，安全狗產(chǎn)品總監(jiān)何春根也結(jié)合自身8年的云安全和云原生安全技術(shù)研究、研發(fā)和產(chǎn)品設(shè)計(jì)經(jīng)驗(yàn)，為大家分享云原生安全行業(yè)的一線實(shí)踐經(jīng)驗(yàn)和趨勢(shì)觀察。

一、云原生安全步入“2.X”新時(shí)代

1、不合時(shí)宜的云原生安全“1.X”

在發(fā)布會(huì)上，何春根剖析了現(xiàn)有云原生安全解決方案的特點(diǎn)，即，依照傳統(tǒng)IT安全模型分層的理念，鏡像安全、容器安全、網(wǎng)絡(luò)微隔離、CSPM等單個(gè)產(chǎn)品只專注于解決對(duì)應(yīng)層面的風(fēng)險(xiǎn)與威脅。這樣基于分層理念的單點(diǎn)安全能力我們將其定義為云原生安全1.X。

當(dāng)政府、金融、通信和能源等眾多大型機(jī)構(gòu)和企業(yè)用戶面臨著更加復(fù)雜且多變的基礎(chǔ)設(shè)施防護(hù)與業(yè)務(wù)生命周期時(shí)，不得不疊加使用多個(gè)云原生應(yīng)用產(chǎn)品。在這樣的云原生安全1.X方案的堆砌防護(hù)下，大、中小企業(yè)用戶和機(jī)構(gòu)單位們又重新回到了臃腫、升級(jí)緩慢、無(wú)法實(shí)現(xiàn)快速迭代的傳統(tǒng)老路上。

不僅如此，根據(jù)何春根的觀察，云原生安全1.X方案在實(shí)戰(zhàn)中還會(huì)給用戶帶來(lái)更多的工作負(fù)擔(dān)和維護(hù)成本，無(wú)法為應(yīng)用提供一致性的保護(hù)，同時(shí)因?yàn)榘踩a(chǎn)品分散容易造成安全盲點(diǎn)以及縫隙等弊端。整體上來(lái)看，云原生安全1.X方案不符合數(shù)字經(jīng)濟(jì)轉(zhuǎn)型時(shí)代下對(duì)安全的高要求。

2、順應(yīng)時(shí)代的云原生安全“2.X”

云原生安全要進(jìn)行革新、向前演進(jìn)的話，則需要優(yōu)先解決云原生安全1.X里的最大弊?。喊踩芰吸c(diǎn)、無(wú)法一體化。

通過(guò)觀察，可以看到Gartner近幾年先后提出的云原生安全模型的變化趨勢(shì)：從單點(diǎn)安全能力向云原生應(yīng)用保護(hù)平臺(tái)（CNAPP）的一體化。這與安全狗在探索云原生安全未來(lái)演進(jìn)路線的過(guò)程中給出的“一體化覆蓋全棧安全”答案不謀而合。

作為沿襲Gartner CNAPP概念的“一體化”全棧云原生安全模型方案，安全狗推出的云原生安全解決方案覆蓋了從代碼到云的全棧整體安全，是滿足全生命周期的五大安全一體化特征的云原生安全平臺(tái)。

云原生安全2.X

與云原生安全1.X相比，安全狗打造的云原生安全解決方案通過(guò)“五個(gè)一體化”的能力，不僅規(guī)避了1.X單點(diǎn)安全能力無(wú)法一體化、帶來(lái)安全盲區(qū)、人力成本維護(hù)高等難題，還有利于用戶充分利用云計(jì)算彈性、敏捷、資源池和服務(wù)化等特性。因此，安全狗打造的“一體化”全棧云原生安全模型方案，也可稱為云原生安全2.X。

二、落地云原生安全2.X

作為國(guó)內(nèi)云安全領(lǐng)域的先行者，安全狗在此次發(fā)布會(huì)上正式推出基于CNAPP、一體化概念的云甲V5.0 一體化云原生安全平臺(tái)。

1、5+X一體化落地架構(gòu)模型實(shí)現(xiàn)云原生安全2.X

任何概念的提出，都要回答如何落地這一命題。

在發(fā)布會(huì)上，何春根也具體分享了安全狗是如何落地并實(shí)現(xiàn)其提出的云原生安全2.X。通過(guò)對(duì)Gartner CNAPP的分析與總結(jié)，可以發(fā)現(xiàn)Gartner CNAPP模型從安全架構(gòu)的角度來(lái)看，可以歸納為覆蓋全生命周期的五個(gè)安全一體化。

為了落地云原生安全2.X，安全狗提出了5+X一體化落地架構(gòu)模型（即，軟件資產(chǎn)管理和安全一體化，環(huán)境安全一體化，運(yùn)行時(shí)工作負(fù)載安全一體化，網(wǎng)絡(luò)層安全一體化，應(yīng)用安全一體化）。模型中所提及的5個(gè)安全一體化是實(shí)現(xiàn)云原生安全2.X的基礎(chǔ)，也是必須要實(shí)現(xiàn)的內(nèi)容，而X代表擴(kuò)展力。

對(duì)于5個(gè)一體化的具體落地，何春根也做了分享：

①軟件資產(chǎn)管理和安全一體化目標(biāo)：

覆蓋宿主機(jī)、鏡像、容器、IaC的精細(xì)化靜態(tài)、動(dòng)態(tài)資產(chǎn)采集和安全檢測(cè)，支撐“底數(shù)清、信息全、狀態(tài)明、響應(yīng)快”的軟件資產(chǎn)及軟件供應(yīng)鏈安全管理需求，源頭早期預(yù)防和深度分析的一體化需求。

②環(huán)境安全一體化目標(biāo)

針對(duì)國(guó)內(nèi)關(guān)基類云原生架構(gòu)“ 異構(gòu)多芯 混合調(diào)度 ”特性，為了減輕用戶安裝、運(yùn)維云原生安全產(chǎn)品的工作負(fù)擔(dān)，提供環(huán)境自適應(yīng)一體化的功能，支撐統(tǒng)一的安全策略管理、實(shí)施、分析和無(wú)縫隙完整覆蓋。

③工作負(fù)載安全一體化目標(biāo)

構(gòu)建基于容器側(cè)、主機(jī)側(cè)的“全棧式”一體化多維度云原生高級(jí)威脅檢測(cè)技術(shù)體系，具有聯(lián)合發(fā)現(xiàn)、協(xié)同抵抗的體系化作戰(zhàn)的效果。

④網(wǎng)絡(luò)安全一體化目標(biāo)

基于零信任模型和eBPF一體化高性能云原生防火墻實(shí)現(xiàn)主機(jī)、容器網(wǎng)絡(luò)安全一體化。

⑤應(yīng)用安全一體化目標(biāo)

“里應(yīng)外合”一體化方案。

2、云甲實(shí)現(xiàn)5個(gè)一體化、2個(gè)拓展一體化

在發(fā)布會(huì)上何春根介紹到，云甲實(shí)現(xiàn)了云原生安全2.x的五個(gè)一體化，以及兩個(gè)擴(kuò)展一體化。

首先是將容器云平臺(tái)通用安全能力下沉到一個(gè)“N合1”安全基座上。不僅避免單品堆疊部署，一個(gè)Agent還可同時(shí)覆蓋到主機(jī)安全、容器安全、網(wǎng)絡(luò)微隔離、多租戶、安全策略聯(lián)邦、云原生安全合規(guī)、資產(chǎn)精細(xì)化采集等云原生全棧安全需求，且安全組件穩(wěn)定、資源占用少、不影響業(yè)務(wù)。云甲以安全大基座的方式支撐了資產(chǎn)管理與安全一體化，環(huán)境安全一體化，工作負(fù)載安全一體化、網(wǎng)絡(luò)安全一體化等落地。

第二，在賦能應(yīng)用安全方面，云甲可依托外聯(lián)WAF、API安全網(wǎng)關(guān)和內(nèi)聯(lián)RASP虛擬補(bǔ)丁引擎形成“里應(yīng)外合”一體化方案，將具有漏洞預(yù)防、業(yè)務(wù)訪問(wèn)授權(quán)、數(shù)據(jù)脫敏、應(yīng)用合規(guī)基線等普遍性、共性需求應(yīng)用安全能力下沉到PASS層的安全基座，賦能對(duì)象包括傳統(tǒng)單體應(yīng)用，也包括微服務(wù)應(yīng)用。這樣不僅降低了應(yīng)用自身安全類功能的開(kāi)發(fā)成本，還整體性地提高應(yīng)用開(kāi)發(fā)效率和安全性，同時(shí)解決了老舊應(yīng)用安全加固免改造難題。

最后，可同時(shí)推送數(shù)據(jù)和開(kāi)放威脅阻斷類、排查驗(yàn)證類的API接口，與容器云平臺(tái)、數(shù)字化安全運(yùn)營(yíng)平臺(tái)無(wú)縫銜接，數(shù)據(jù)共享和聯(lián)防聯(lián)抗，滿足了安全集成協(xié)同需求。

在演講的最后，針對(duì)云原生安全未來(lái)的拓展發(fā)展方向與趨勢(shì)，何春根也結(jié)合自身的安全經(jīng)驗(yàn)，預(yù)測(cè)了云原生“零信任”擴(kuò)展方案、云原生5G邊緣計(jì)算擴(kuò)展方案、云原生蜜罐等3個(gè)擴(kuò)展方向，期待能為業(yè)界安全專家們?cè)谔剿髟圃踩男掳l(fā)展提供一些思路與方向。

新品

安全狗此次云原生安全及數(shù)據(jù)安全新品發(fā)布會(huì)上除了出彩的云原生安全2.X發(fā)布，還有數(shù)據(jù)安全新品的正式亮相。在數(shù)字經(jīng)濟(jì)轉(zhuǎn)型的新時(shí)代下，面對(duì)數(shù)不勝數(shù)的數(shù)據(jù)安全產(chǎn)品，安全狗成立了一支數(shù)據(jù)安全研發(fā)團(tuán)隊(duì)打造了數(shù)據(jù)安全新品·數(shù)壘。

數(shù)壘FortData旨在為用戶打造“合規(guī)、靈活、高效、易用”的數(shù)據(jù)安全治理解決方案。