互联网中国“云”原生安全白皮书

一、云计算安全态势严峻云原生安全理念兴起. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .1

一云计算成为重要基础设施安全性备受关注. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .1

1.云计算助推数字化转型、新基建建设与产业互联网发展. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .1

2.云计算威胁事件频发安全建设需求迫切. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .3

3.传统安全防护有痛点云上安全呈原生化发展趋势. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .5

二云原生安全理念兴起. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .5

二、云原生安全推动安全与云深度融合促进安全普惠. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .8

一云原生安全定义. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .8

二原生安全的云平台 向客户交付更安全的云服务. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .9

三原生安全产品为客户云上安全提供更有力保障. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .11

四云原生安全体系促进实现安全普惠. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .13

1.提升云平台整体安全性满足客户基本安全需求. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .14

2.原生安全产品不断丰富解决客户多场景安全痛点. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .15

三、云原生安全助力企业安全体系建设. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .19

一云原生计算环境安全. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .19

1.原生主机安全. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .19

2.原生容器安全. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .21

3.原生应急响应和取证. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .24

二云原生数据安全. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .25

1.原生数据安全分类治理. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .25

2.原生数据安全审计. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .28

3.原生敏感数据处理. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .31

4.原生密钥管理系统. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .33

5.原生凭据管理系统. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .36

三云原生网络安全. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .39

1.原生DDoS防护. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .39

2. 原生云防火墙. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .41

3.原生Web应用防火墙. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .43

四云原生安全管理. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .46

1.原生安全运营中心. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .46

五云原生安全服务. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .50

1.原生托管安全服务. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .50

四、云原生安全趋势与展望. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .51

图1 Gartner云原生安全体系. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .6

图2云原生安全架构. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .8

图3可信研发运营安全体系. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .10

图4云计算安全责任与云原生安全体系关系. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .14

图5原生主机安全. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .19

图6原生容器安全. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .22

图7原生应急响应和取证. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .24

图8原生数据安全分类治理. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .26

图9原生数据安全审计. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .28

图10原生敏感数据处理. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .31

图11原生密钥管理系统. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .34

图12原生凭据管理系统. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .37

图13原生DDoS防护体系. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .39

图14原生云防火墙. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .42

图15原生WAF. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .44

图16原生安全运营中心. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .46

表目录

表1 Forrester公有云平台原生安全能力指标. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .6

表2原生主机安全产品主要功能. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .20

表3原生容器安全产品主要功能. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .22

表4原生应急响应和取证产品主要功能. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .25

表5原生数据安全分类治理产品主要功能. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .26

表6原生数据安全审计产品主要功能. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .29

表7原生敏感数据处理产品主要功能. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .32

表8原生密钥管理系统产品主要功能. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .35

表9原生凭据管理系统主要功能. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .38

表10原生DDoS防护产品主要功能. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .40

表11原生云防火墙产品主要功能. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .43

表12原生Web应用防火墙产品主要功能. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .44

表13原生安全运营中心产品主要功能. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .47

一、云计算安全态势严峻云原生安全理念兴起

一云计算成为重要基础设施安全性备受关注

1.云计算助推数字化转型、新基建建设与产业互联网

发展

云计算成为底层基础设施帮助企业实现数字化转型。近年来随着5G、云计算、大数据、人工智能等新技术的持续发展 以数字化和智能化等为核心内容的第四次工业革命浪潮已汹涌而至。数字化变革将对经济和社会产生深远影响越来越多的国家把发展数字经济作为推动经济增长的重要途径。中共十九大提出建设“数字中国”的宏伟蓝图同时要求推动互联网、大数据、人工智能和实体经济深度融合。近两年随着国家和各地相继发布推动数字化转型的政策文件数字时代的到来以及数字泛在化已经成为了一种必然的趋势。数字技术将深入改造企业生产、研发、销售、管理等各个环节对于海量数据的采集、分析、挖掘、利用将为企业决策与运营提供重要帮助数字资产将成为企业组织最重要的资产之一。数字化时代数据信息在企业内部各业务模块、环节顺畅传递是企业实现数字化转型的必要条件。相比传统的本地部署模式云计算具有快速部署、即接即用、弹性扩容、按需付费等特点可以有效降低企业的使用成本提升使用效率。针对海量数据处理所需要的巨大算力云计算依托低成本、快速部署、弹性扩容等特点可以随时提供强大的弹性伸缩的计算资

源。 目前云计算已经成为底层基础设施企业实现数字化转型离不开云计算等技术的发展云计算、大数据等技术的大规模推广使用有助于实现企业内部的数字化改造提升数据的运转效率帮助企业最终实现数字化转型。

国家高度重视“新基建”云计算成为新基建重要内容。基础设施的建设对于经济的发展至关重要从2018年国务院在中央经济工作会议中第一次提出新型基础设施建设这个概念至今 已经累积超过10次中央级别会议或重要文件强调新型基础设施建设的重要性。进入2020年以来 国家关于新型基础设施建设的部署要求更加密集政策路线更加清晰其内涵也更加丰富。同时全国各地也纷纷出台相关政策不断加快“新基建”步伐例如广东、湖南、浙江等省推进的云计算、工业互联网、物联网、 5G、人工智能、区块链等重点项目都在万亿规模。 “新基建”概念范畴广泛。 2020年4月20日 国家发改委首次就“新基建”概念作出解释新一代信息技术引领的新型基础设施建设也正式确定了其边界。“新基建”具体包含了信息基础设施、融合基础设施、创新基础设施三个方面。其中信息基础设施主要是指基于新一代信息技术演化生成的基础设施 比如 5G、物联网、工业互联网、卫星互联网为代表的通信网络基础设施以人工智能、云计算、区块链等为代表的新技术基础设施以数据中心、智能计算中心为代表的算力基础设施等融合基础设施主要是指深度应用互联网、大数据、人工智能等新技术支撑传统基础设施转型升级

进而形成的融合基础设施创新基础设施主要是指支撑科学研究、技术开发、产品研制的具有公益属性的基础设施。

云计算是实现产业互联网落地的必要途径。产业互联网是互联网技术在特定产业领域的深度应用其诞生打破了产业边界实现了跨产业的网络连接、数据打通和业态创新。互联网概念早期应用于工业领域随着扩展有了产业互联网的概念产业互联网是由互联网延伸出来的概念是互联网技术与传统产业的结合在传统产业间借助云计算、大数据、人工智能等提升产业间的内部效率和对外服务能力从而连接、重构传统产业实现互联网+时代的转型升级。产业互联网的发展离不开各项互联网新技术的支撑如物联网、云计算、大数据、人工智能、区块链等云计算作为技术平台、基础设施通过按需取用、按需付费、集中管理使得IT对于业务的支撑更具弹性技术壁垒和整体IT成本降低为产业互联网云平台的搭建提供良好的基础。

2.云计算威胁事件频发安全建设需求迫切

安全性仍是云计算所面临的最大挑战。云计算出现以来安全性一直是云计算所面临的最大挑战。数字化转型、新基建建设与产业互联网发展也对云计算的安全提出了新的时代要求。在云平台上传统网络架构中的DDoS、入侵、病毒等安全问题仍是常态与此同时针对云平台架构的虚拟机逃逸、资源滥用、横向穿透等新的安全问题

也层出不穷。数据安全是云计算安全的核心云计算环境中数据存储更为集中一旦发生安全事件后果影响重大。对于任何企业而言数据都是最重要的资产尤其是业务数据和用户数据企业对于上云后数据的安全考量一直是在云中存储数据的主要问题之一。随着越来越多的企业将业务迁移到云上将有更多的敏感数据驻留在云内数据安全已经成为所有企业在产业互联网时代必须直面的挑战。 目前我国的云计算安全整体态势不容乐观据国家计算机网络应急技术处理协调中心统计 2019年我国云平台网络安全事件或威胁情况进一步加剧遭受DDoS攻击次数占境内目标被攻击次数的74.0、被植入后门链接数量占境内全部被植入后门链接数量的86.3、被篡改网页数量占境内被篡改网页数量的87.9。

重视云计算安全已逐步成为企业共识根据信通院调查报告显示私有云环境中 35.4的企业在云安全上的投入占IT总投入的10-20 7.6的企业云安全投入占IT系统总投入的20以上公有云环境下 42.4%的企业在选择云服务商时会考虑服务安全性。由于云计算架构的特殊性以及云计算平台安全的重要性普惠化将是云计算安全未来发展的必然趋势。普惠具体指普及性与实惠型随着安全新技术的演进云计算安全防护的投入成本将会不断降低帮助大规模云中中小企业 以可负担的成本实现云中业务安全的运营全面提升云计算行业整体安全性。

3.传统安全防护有痛点云上安全呈原生化发展趋势

云时代上云成为大势所趋各行各业在国家相关政策的推动下积极推进企业上云。与之相对云上安全体系建设发展相对缓慢企业在上云过程中安全建设相对滞后通常在云平台建设完成之后介入作为补充措施保证云平台安全仍以传统安全防护模式为主。传统的安全防护方案通过堆砌各类安全设备构建安全管理能力存在硬件设备昂贵、安全资源利用率低、部署困难、云上数据难以获取、数据流通差、安全产品联动性差等弊端安全的防护主要靠安全设备的叠加以及安全人员的投入成本相对较高尤其对于中小企业来说安全成本相对较大。云上安全原生化有助于实现普惠安全在企业上云云平台建设过程中考虑融入安全建设有助于解决传统安全防护模式存在的弊端。云上安全原生化将安全能力内置于云平台云产品云化部署实现数据联通安全产品联动充分利用安全资源降低安全解决方案使用成本实现真正意义上的普惠安全。

二云原生安全理念兴起

为缓解传统安全防护建设中存在的痛点促进云计算成为更加安全可信的信息基础设施助力云客户更加安全的使用云计算云原生安全理念兴起国内外第三方组织、服务商纷纷提出以原生为核心构建和发展云安全。

Gartne r提倡以云原生思维建设云安全体系。基于云原生思维Gartner

提出的云安全体系覆盖八方面如图1所示。其中基础设施配置、身份和访问管理两部分由云服务商作为基础能力提供其它六部分包括持续的云安全态势管理全方位的可视化、 日志、审计和评估工作负载安全应用、PaaS和API安全扩展的数据保护云威胁检测客户需基于安全产品实现。

图1 Gartner云原生安全体系

For rester以37项指标评估公有云平台原生安全能力。Forrester认为公有云平台原生安全Public cloud platform native security,PCPNS应从三大类、 37个方面去衡量如表1所示。从已提供的产品和功能以及未来战略规划可以看出一是考察云服务商自身的安全能力和建设情况如数据中心安全、内部人员等二是云平台具备的基础安全功能如帮助和文档、授权和认证等三是为用户提供的原生安全产品如容器安全、数据安全等。

表1 Forrester公有云平台原生安全能力指标

VMWa r e通过三大特征阐述原生安全理念。VMWare认为原生安全探讨了信息安全建设与管理的转型具备三大特征一是内建而非外挂二是主动而非被动三是整合而非孤立。聚焦到虚拟化平台原生安全理念有三大优势一是对负载有更好的理解基于负载的逻辑标识和虚拟化平台的逻辑分组来制定安全策略二是无需部署额外的程序独立于负载存在三是通过与平台集成获得了更好的控制力发现威胁后可以更积极主动应对。

深信服提出云原生安全体系应具备的三大基本能力。深信服认为云原生的安全体系应当是“全面面向云环境、基于云交付、可弹性扩展”的架构应具备三方面的能力一是能够对云环境下面临的新风险和威胁形式进行检测与响应例如云的不当配置、云API恶意调用、云AP I密钥泄露等二是云原生安全体系中各安全组件和能力应支