云原生安全能力指南

22云原生安全能力指南?北京數(shù)字世界咨詢有限公司2024.09云原生安全能力指南（2024）云原生安全能力指南（2024）20202022數(shù)世咨詢作為國內(nèi)獨(dú)立的第三方調(diào)研咨詢機(jī)構(gòu)，為監(jiān)管機(jī)構(gòu)、地方政府、投資機(jī)構(gòu).網(wǎng)安企目 錄前言 5關(guān)鍵發(fā)現(xiàn) 7概念與術(shù) 8云原生 8云原生全挑戰(zhàn) 11云原生全能系 14全棧云生安全 20市場情況 22市場規(guī)模 22行業(yè)應(yīng)用 22能力企業(yè) 24發(fā)展趨勢 28代表廠優(yōu)秀例 31某股份制銀行一站式智能化云原生安全運(yùn)營平臺建設(shè)案例 31（本案例由青藤云安全提供）前言隨著企業(yè)業(yè)務(wù)上云成為潮流和趨勢“云原生Cod 作為一種新的應(yīng)用程序開發(fā)和部署的方法，可以提高應(yīng)用程序的可靠性、彈性和可擴(kuò)展性，同時降低開發(fā)和運(yùn)維的成本。云原生概念誕生已十年有余，但是采用云原生的業(yè)務(wù)開發(fā)和部署模式直到最近幾年才漸被所關(guān)注。針對云原生開發(fā)及運(yùn)營相關(guān)的云基礎(chǔ)設(shè)施、主機(jī)、容器、業(yè)務(wù)云安全的進(jìn)階階段，它不僅繼承了云安全的理念和方法，而且在技當(dāng)前許多甲方用戶對于云原生安全的認(rèn)知并不十分清晰，許多人可能剛剛開始理解云安全的具體涵義，現(xiàn)在又迎來了云原生安全概念。面對新的技術(shù)方案，筆者也曾遇到很多困惑，本報告嘗試通過一個簡潔明了的方式，對云原生安全相關(guān)的技術(shù)點(diǎn)進(jìn)行系統(tǒng)性的總結(jié)，對關(guān)鍵的技術(shù)進(jìn)行介紹。近兩年來，云原生安全市場在快速增長，為了得到一手的市場資料，數(shù)世咨詢邀請了九家國內(nèi)云原生安全代表企業(yè)和部分甲方用戶進(jìn)行實際考察，對安全廠商近三年來的產(chǎn)品營收數(shù)據(jù)進(jìn)行了收集和分析，結(jié)合與安全廠商相關(guān)的研發(fā)、市場負(fù)責(zé)人等多輪線上線下訪談，以圖客觀真實地反映云原生安全市場及應(yīng)用情況。本報告技術(shù)部分主要內(nèi)容：云原生概念、云原生安全挑戰(zhàn)、云原生安全定義、云原生安全能力全景圖、數(shù)世咨詢定義的“全棧云本報告市場部分主要內(nèi)容：云原生安全市場規(guī)模、行業(yè)應(yīng)用、能力企業(yè)點(diǎn)陣圖、能力企業(yè)主要業(yè)務(wù)特點(diǎn)、云原生安全趨勢分析以盡管本報告盡筆者所能盡量充分的進(jìn)行了技術(shù)以及市場方面的調(diào)研，但受能力所限或有錯誤和偏頗之處，歡迎同行與我聯(lián)系交流。本報告僅供參考。陳發(fā)明chenfaming@關(guān)鍵發(fā)現(xiàn)20232631P4（.（5%（5（.202350300%不等。DevOps的安全廠商在混合安全需求的項目競爭中更具優(yōu)勢。概念與技術(shù)云原生先聊聊云原生。2013Pivotal種構(gòu)建和運(yùn)行應(yīng)用程序的方法，是一套技術(shù)體系和方法論。它意味著應(yīng)用程序從設(shè)計之初就考慮到云的環(huán)境，原生為云而設(shè)計，在云2015年，推動云原生應(yīng)用和發(fā)展的著名組織云原生基金會（CloudNativeComputingFoundation，簡稱CNCF）成立，CNCF致力于推廣容器化、微服務(wù)架構(gòu)和開源項目，當(dāng)前已建立了龐大的社區(qū)和生態(tài)系統(tǒng)，對全球云計算產(chǎn)業(yè)產(chǎn)生了深遠(yuǎn)影響。國內(nèi)眾多企CNCFCNCF的對云原生的解釋是“容器化、微服務(wù)化和自動化”，通過容器技術(shù)實現(xiàn)應(yīng)用的高效部署和管理，通過微服務(wù)架構(gòu)提高應(yīng)用的模塊化和可維護(hù)性，并通過自動化工具減少人工干預(yù)和降低運(yùn)維成本。CNCF對“云原生”的定義中特別指出了以下幾種代表性技術(shù)：不可變基礎(chǔ)設(shè)施、容器、微服務(wù)、服務(wù)網(wǎng)格和聲明式API。不可變基礎(chǔ)設(shè)施ImmutableInfrastructure 容器Containers 微服務(wù)Microservices 不可變基礎(chǔ)設(shè)施ImmutableInfrastructure容器Containers微服務(wù)Microservices服務(wù)網(wǎng)格ServiceMesh聲明式APIDeclarativeAPIs圖例：云原生代表性技術(shù)有個別概念過于抽象，筆者嘗試通俗化的解釋一下這幾個概念。不可變基礎(chǔ)設(shè)施不可變基礎(chǔ)設(shè)施是指基礎(chǔ)設(shè)施的配置和狀態(tài)不可變，一旦部署IT低風(fēng)險使服務(wù)器運(yùn)行穩(wěn)定，其運(yùn)行環(huán)境總是面臨不斷的更改，比如：系統(tǒng)升級、打補(bǔ)丁、更新應(yīng)用的依賴組件等，運(yùn)行環(huán)境的變化經(jīng)常影響其所承載的業(yè)務(wù)，所以讓管理員焦頭爛額的事情時有發(fā)生。而在云計算環(huán)境中，服務(wù)器在完成部署后，就不再進(jìn)行更改。云計算通過引入虛擬化技術(shù)，實現(xiàn)了方便地打包構(gòu)建應(yīng)用及其運(yùn)行時的依容器容器和微服務(wù)相信不少人耳熟能詳了，通俗來講容器是一種打包技術(shù)，它將應(yīng)用及其依賴環(huán)境打包在一起，實現(xiàn)了在不同內(nèi)核的主機(jī)上運(yùn)行，保證了業(yè)務(wù)的一致性，流行的實現(xiàn)比如docker。微服務(wù)微服務(wù)可理解為搭積木，先將大型的應(yīng)用系統(tǒng)分解為一組小的、獨(dú)立的服務(wù)，然后象搭積木一樣通過輕量級通信協(xié)議（比如API）再搭建起來。其主要目的是實現(xiàn)單個服務(wù)的獨(dú)立部署、擴(kuò)展和更新，提高開發(fā)效率和系統(tǒng)的可維護(hù)性。服務(wù)網(wǎng)格服務(wù)網(wǎng)格算是為微服務(wù)提供服務(wù)的一個基礎(chǔ)設(shè)施層，當(dāng)大的應(yīng)用分解為小的微服務(wù)，微服務(wù)之間的數(shù)據(jù)通信、網(wǎng)絡(luò)連接就更為復(fù)雜，服務(wù)網(wǎng)格就相當(dāng)于一個代理管家，提供了服務(wù)間的通信、安全、Istio和Linkerd聲明式API聲明式API可對比到編程模式，以前編程是手工敲代碼寫函數(shù)，現(xiàn)在不用了，只需要建個配置文件，寫下來你想“要什么”就可以了。比如大名鼎鼎的Kubernetes（K8S）就使用聲明式API來配置云原生基礎(chǔ)環(huán)境，進(jìn)行容器編排。概括來說，“云原生”是一種構(gòu)建和運(yùn)行云應(yīng)用程序的方法，云原生充分利用云計算基礎(chǔ)架構(gòu)，結(jié)合CI/CD自動化開發(fā)和部署流程，實現(xiàn)業(yè)務(wù)的快速開發(fā)與運(yùn)行，從而在根本上提高工作效率和實現(xiàn)成本節(jié)約。流行多年的DevOps（開發(fā)與運(yùn)營）理念天然的適配云原生，當(dāng)前其已成為云原生事實上的開發(fā)模式。調(diào)研發(fā)現(xiàn)，近兩年來，采用云原生開發(fā)與部署的方式正逐步成為行業(yè)內(nèi)重點(diǎn)考慮的方向。國內(nèi)的金融、互聯(lián)網(wǎng)、智能制造以及運(yùn)營商等行業(yè)，已經(jīng)開始構(gòu)建云原生化開發(fā)流程，進(jìn)行試點(diǎn)或?qū)⒉糠謽I(yè)務(wù)以云原生的方式發(fā)布。預(yù)計在未來幾年，云原生化的“業(yè)務(wù)上云”將會成為云計算發(fā)展的趨勢之一，引領(lǐng)云計算的潮流發(fā)展。云原生安全挑戰(zhàn)任何系統(tǒng)都有安全風(fēng)險，云原生業(yè)務(wù)同樣有其特別的脆弱性。云原生應(yīng)用運(yùn)行于云計算環(huán)境，長時間暴露于互聯(lián)網(wǎng)，除了遭受傳統(tǒng)的DDoS、網(wǎng)絡(luò)掃描、暴力破解、遠(yuǎn)程注入等網(wǎng)絡(luò)攻擊以外，大量云端數(shù)據(jù)帶來的誘人黑產(chǎn)回報也同時吸引著黑客不斷嘗試突破安全防御。新的安全挑戰(zhàn)來自：新的邊界、動態(tài)變化的資產(chǎn)、極致自動化的開發(fā)流程、云原生特征的攻擊面等方面。新的邊界動態(tài)變化的資產(chǎn)極致自動化的開發(fā)流程云原生特征的攻擊面......新的邊界動態(tài)變化的資產(chǎn)極致自動化的開發(fā)流程云原生特征的攻擊面......圖例：云原生安全挑戰(zhàn)新邊界帶來新的安全挑戰(zhàn)云計算技術(shù)的出現(xiàn)使得傳統(tǒng)的安全邊界變得模糊不清，而云原IT照物理區(qū)域劃分的，如機(jī)房中的機(jī)柜等設(shè)備，這些資源的標(biāo)識通常是機(jī)柜編號，安全邊界為房間墻壁和防盜門。然而隨著云計算的興IP義，隔離措施則通過防火墻或虛擬化防火墻來實現(xiàn)。在云原生時代，資源的劃分已不再是依據(jù)物理設(shè)備或者虛擬機(jī)，而是以業(yè)務(wù)為中心的微服務(wù)占據(jù)了主導(dǎo)地位。為了更有效地利用云計算資源，通過將應(yīng)用程序分解為松耦合的微服務(wù)組件，并實現(xiàn)服務(wù)的互訪，微服務(wù)之間需要的安全控制成為新的邊界。在這種情況IP動態(tài)變化的資產(chǎn)帶來的安全挑戰(zhàn)云原生環(huán)境強(qiáng)調(diào)“不可變的基礎(chǔ)設(shè)施”的概念，它通過犧牲基礎(chǔ)設(shè)施的可變性來換取更高的穩(wěn)定性、一致性和應(yīng)用部署的靈活性。統(tǒng)環(huán)境中直接在服務(wù)器上打補(bǔ)丁來修復(fù)漏洞，但在云原生環(huán)境中要修復(fù)漏洞需要停止舊的容器并重新構(gòu)建新的鏡像來修復(fù)漏洞，同時動態(tài)資產(chǎn)增加了系統(tǒng)的復(fù)雜性，需要更高級的監(jiān)控和管理工具來跟蹤和維護(hù)資產(chǎn)狀態(tài)，同時對動態(tài)資產(chǎn)的資源管理、策略管理等方面提出了更高的要求。適配極致自動化開發(fā)流程的安全挑戰(zhàn)云原生應(yīng)用開發(fā)普遍采用DevOps、面向服務(wù)等理念構(gòu)建業(yè)務(wù)系IT短了業(yè)務(wù)從開發(fā)到上線運(yùn)行的時間窗口。這要求安全防護(hù)手段也要實現(xiàn)高度自動化，能夠與DevOps流程對接，實現(xiàn)緊密集成。云原生特征的攻擊面帶來的安全挑戰(zhàn)云原生的微服務(wù)、容器化技術(shù)帶來了新的攻擊面，比如：對鏡像倉庫的保護(hù)、容器編排系統(tǒng)的安全配置、微服務(wù)間的安全控制、容器運(yùn)行時的入侵防御、以及自動化CI/CD流程中的代碼和鏡像安全等，對構(gòu)建一個覆蓋云原生全生命周期、動態(tài)且適應(yīng)性強(qiáng)的安全防護(hù)體系帶來巨大挑戰(zhàn)。RedHatKubernetes（2024報告中的統(tǒng)計顯示，在過去的一年中，有9成的應(yīng)用云原生的企業(yè)1起容器或Kubernetes2/3組織由于擔(dān)心Kubernetes安全問題而延緩了業(yè)務(wù)部署，46%的企業(yè)由于容器或Kubernetes云原生應(yīng)用的開發(fā)和交付轉(zhuǎn)型是一次全方位的變革，一方面，企業(yè)的組織架構(gòu)、組織流程等為適配云原生環(huán)境要發(fā)生變化，安全責(zé)任主體也需要有所調(diào)整。另一方面，在安全技術(shù)上云原生引入了大量新的基礎(chǔ)設(shè)施、安全防護(hù)對象，發(fā)生了顛覆性變化，面對這些新技術(shù)帶來的安全防護(hù)對象，企業(yè)需要引入新的安全手段。云原生安全能力體系相比于云安全，云原生安全更關(guān)注對云原生基礎(chǔ)設(shè)施、容器鏡像、容器運(yùn)行時、微服務(wù)、無服務(wù)器（Serverless）等實施安全保護(hù)。綜合行業(yè)諸多專家的觀點(diǎn)，數(shù)世咨詢將云原生安全定義為：云原生安全是指在云原生環(huán)境中應(yīng)用的一種全新的安全方法，這種方法強(qiáng)調(diào)安全能力與云原生環(huán)境相結(jié)合，跨越云原生應(yīng)用開發(fā)、構(gòu)建、部署和運(yùn)行全生命周期提供一種綜合的安全能力，旨在對云原生基礎(chǔ)設(shè)施、容器鏡像、容器運(yùn)行時、微服務(wù)、服務(wù)網(wǎng)格等關(guān)鍵組件提供全面的安全防護(hù)。在2024年初，數(shù)世咨詢發(fā)布的《中國數(shù)字安全能力圖譜》中，云原生安全屬于“數(shù)字計算環(huán)境保護(hù)”領(lǐng)域中“云安全”細(xì)分領(lǐng)域，如下圖：圖例：2024年度《中國數(shù)字安全能力圖譜》Kubernetes4C型【云，集群，容器o程，基于對云原生安全項目需求以及廠商解決方案的相關(guān)調(diào)研，筆者認(rèn)為后者在安全能力的分步建設(shè)方面邏輯更為清晰，如下圖所示：圖例：云原生安全能力全景考慮到報告的篇幅，對云原生安全全景圖中的技術(shù)能力點(diǎn)，筆者不打算一一科普，僅對業(yè)務(wù)流程及其中關(guān)鍵的安全能力簡要介紹如下：開發(fā)云原生安全需要將安全能力規(guī)劃到軟件開發(fā)生命周期的早期階段，即“安全左移“，重要意義在于通過在設(shè)計和開發(fā)階段就識別和修復(fù)潛在的安全漏洞，可以顯著降低后期修復(fù)的成本和復(fù)雜性，減少安全風(fēng)險。試想一個安全漏洞被打包進(jìn)鏡像，在后期運(yùn)行時，這個鏡像被復(fù)制為千萬個容器副本，那么安全風(fēng)險便被指數(shù)級放大。在開發(fā)階段，安全編碼是核心。開發(fā)者需要遵循安全編碼的最佳實踐和規(guī)范進(jìn)行編碼，期間定期進(jìn)行代碼審查和必要安全掃描，以發(fā)現(xiàn)和修復(fù)潛在的安全漏洞。還要考慮代碼供應(yīng)鏈安全，確保所有第三方庫和組件都是安全的，沒有已知的安全漏洞。代碼測試階段，靜態(tài)應(yīng)用安全測試ST、動態(tài)應(yīng)用安全測試（T）以及交（A構(gòu)建當(dāng)代碼開發(fā)完成，進(jìn)入編譯打包和容器鏡像構(gòu)建的階段。此時需要進(jìn)行漏洞掃描和敏感內(nèi)容檢查，除對自建組件進(jìn)行安全掃描之外，還需對從公共鏡像庫下載的基礎(chǔ)鏡像等進(jìn)行安全檢查。安全工具需要具備全面且不斷更新的漏洞庫和指紋特征，以確保能夠識別和防御廣泛的安全威脅。其次，高效的掃描效率是必不可少的，工具應(yīng)支持分層掃描，這樣可以快速識別和修復(fù)各個層中的安全問題，而不是對整個鏡像進(jìn)行重復(fù)掃描。鏡像構(gòu)建完成后通常會進(jìn)入鏡像倉庫統(tǒng)一管理，需要注意鏡像倉庫的安全防護(hù)，包括對鏡像的權(quán)限控制，實施安全加密的通信，保證鏡像的完整性可用性。部署部署階段安全措施的關(guān)鍵在于確保容器編排平臺的安全性和穩(wěn)定性。需要對容器編排平臺，如Kubernetes，進(jìn)行安全基線掃描、對基礎(chǔ)設(shè)施即代碼（InfrastructureasCode,IaC）的配置進(jìn)行檢查，以確保集群設(shè)置、云工作負(fù)載、虛擬化主機(jī)滿足合規(guī)，沒有配置漏洞。對容器運(yùn)行環(huán)境設(shè)置必要的資源隔離和限制策略，比如，使用命名空間、網(wǎng)絡(luò)策略和資源配額來隔離不同的工作負(fù)載，限制容器的資源使用，避免任何單一容器的異常行為對整個系統(tǒng)造成影響。此外，日志審計可以幫助監(jiān)控和記錄所有關(guān)鍵操作，為安全事件的追蹤和響應(yīng)提供支持。運(yùn)行即使在業(yè)務(wù)流程的開發(fā)階段對鏡像、容器應(yīng)用了充分的安全措施，容器在運(yùn)行時仍然容易遭受各類攻擊，需要考慮容器運(yùn)行時的網(wǎng)絡(luò)安全、應(yīng)用安全、數(shù)據(jù)安全等。運(yùn)行時網(wǎng)絡(luò)安全運(yùn)行時安全的核心任務(wù)是確保應(yīng)用和容器的安全性，防止惡意行為和入侵。運(yùn)行階段通過實施微隔離策略，將網(wǎng)絡(luò)流量限制在最小必要范圍內(nèi)，限制容器之間的不必要網(wǎng)絡(luò)訪問，減少攻擊面并提高整體安全性。應(yīng)用安全在應(yīng)用安全層面，也是容器運(yùn)行時重點(diǎn)考慮的方向。多數(shù)情況WEBWAFWAF應(yīng)用自我防護(hù)技術(shù)（RASP）能夠提供更深層次的安全保護(hù)，它可以嵌入到應(yīng)用程序中，實時檢測和阻止那些WAF，serverless（）數(shù)據(jù)安全云原生環(huán)境中的數(shù)據(jù)有諸多分類，需要區(qū)別對待分別實施保護(hù)。對于用戶或者應(yīng)用程序產(chǎn)生的數(shù)據(jù)，一般都是存儲在一個單獨(dú)掛載的存儲空間中，實際上可以應(yīng)用傳統(tǒng)的數(shù)據(jù)安全工具來實施保護(hù)。對于云原生環(huán)境自身的配置文件，代碼等數(shù)據(jù)，也需要考慮應(yīng)用敏全棧云原生安全以上簡單總結(jié)了云原生應(yīng)用全生命周期內(nèi)不同階段所需的典型安全能力，目前也存在諸多單點(diǎn)的安全工具來實現(xiàn)這些能力，用戶DevOps中。全棧云原生安全DevOps和安全工具集成全生命周期內(nèi)的資產(chǎn)可見性開發(fā)與安全運(yùn)營雙向反饋但必須要提到的是應(yīng)用單點(diǎn)的安全工具或不同安全廠商的產(chǎn)品同時也帶來安全體系的割裂，給真正實現(xiàn)開發(fā)與安全運(yùn)營的一體化帶來巨大挑戰(zhàn)。單一供應(yīng)商的整體解決方案對云原生安全體系化建設(shè)來說是最好的選擇。數(shù)世咨詢將覆蓋了業(yè)務(wù)開發(fā)、構(gòu)建、部署、運(yùn)行以及數(shù)據(jù)保護(hù)全業(yè)務(wù)流程的安全能力稱為“全棧云原生安全全棧云原生安全DevOps和安全工具集成全生命周期內(nèi)的資產(chǎn)可見性開發(fā)與安全運(yùn)營雙向反饋圖例：全棧云原生安全DevOpsDevSecOps工具的集成使得安全評估、漏洞檢測和合規(guī)性審核變得更加高效，全生命周期內(nèi)的資產(chǎn)可見性云原生全生命周期中出現(xiàn)的虛擬化主機(jī)、鏡像、容器以及微服務(wù)等資源可能數(shù)以萬計，且動態(tài)變化。資源的全面可見性不僅僅意味著實現(xiàn)對海量資產(chǎn)的管理，同時還需實現(xiàn)追蹤和監(jiān)控這些資產(chǎn)之間的動態(tài)關(guān)系，為管理員提供資產(chǎn)狀態(tài)和配置的實時洞察。開發(fā)與安全運(yùn)營雙向反饋雙向反饋機(jī)制是云原生應(yīng)用開發(fā)與安全運(yùn)營間的信息溝通，可以讓開發(fā)團(tuán)隊依據(jù)生產(chǎn)環(huán)境的表現(xiàn)來優(yōu)化代碼和應(yīng)對安全威脅，同時使運(yùn)維團(tuán)隊能夠依據(jù)開發(fā)階段的反饋來優(yōu)化部署和安全策略。市場情況市場規(guī)模本報告的調(diào)研選擇了九家具備云原生安全能力的典型企業(yè)、并結(jié)合線上線下客戶訪談。根據(jù)統(tǒng)計，2023年云原生安全市場規(guī)模約為262024312024規(guī)模逐漸有較大增長，預(yù)計到202784

圖例：云原生安全市場規(guī)模及預(yù)測云原生安全在行業(yè)的應(yīng)用P4為：金融7%、互聯(lián)網(wǎng)5%（%（.圖例：云原生安全行業(yè)應(yīng)用金融行業(yè)在數(shù)字化轉(zhuǎn)型的進(jìn)程中一直扮演著排頭兵的角色，云原生在金融領(lǐng)域的應(yīng)用已經(jīng)逐步由“面向云遷移應(yīng)用”的階段演進(jìn)到“面向云構(gòu)建應(yīng)用”的階段。近兩年來，幾大國有銀行加速利用云原生技術(shù)進(jìn)行底層架構(gòu)的云化升級，實現(xiàn)業(yè)務(wù)的快速迭代和靈活部署。最大集群節(jié)點(diǎn)數(shù)量達(dá)數(shù)萬規(guī)模，同時在運(yùn)行業(yè)務(wù)容器超過20萬?；ヂ?lián)網(wǎng)行業(yè)對業(yè)務(wù)快速迭代、高可用性和彈性有很高的內(nèi)在需求，在云原生化方面表現(xiàn)出極高的活躍度和創(chuàng)新能力，據(jù)估計，80%以上的互聯(lián)網(wǎng)企業(yè)已經(jīng)實現(xiàn)了云原生化。業(yè)務(wù)集群從小規(guī)模的幾十個節(jié)點(diǎn)到大規(guī)模的數(shù)十萬個節(jié)點(diǎn)不等。IT比如新能源汽車企業(yè)普遍應(yīng)用云原生架構(gòu)實現(xiàn)業(yè)務(wù)的快速部署。政務(wù)、能源、交通等部分行業(yè)試點(diǎn)應(yīng)用云原生化改造，使用容器搭建業(yè)務(wù)系統(tǒng)。運(yùn)營商的云原生安全需求更多的來自對軟件及容器鏡像供應(yīng)鏈的管理，主要對鏡像來源、軟件成分分析、以及組件準(zhǔn)入的檢查等。DevOps國內(nèi)行業(yè)的云原生項目近兩年來有顯著增加，據(jù)調(diào)研的安全企業(yè)反饋，202350%300DevOps發(fā)現(xiàn)，目前大多數(shù)的國內(nèi)企業(yè)在云端業(yè)務(wù)改造時，往往是根據(jù)自己的單項安全工具，仍然有單獨(dú)的安全需求。比如，代碼安全測試及代碼供應(yīng)鏈管理，容器掃描與漏洞管理、針對云原生開發(fā)及運(yùn)營環(huán)能力企業(yè)（：科技、薔薇靈動、青藤云安全、山石網(wǎng)科、哨云科技、騰訊安全、小佑科技，按照橫軸市場執(zhí)行力、豎軸應(yīng)用創(chuàng)新力，通過能力點(diǎn)陣圖的方式展現(xiàn)如下：圖例：云原生安全企業(yè)點(diǎn)陣圖由于各廠商的技術(shù)發(fā)展路線不同，不同廠商在云原生安全領(lǐng)域的技術(shù)起點(diǎn)以及技術(shù)深度多有不同。調(diào)研發(fā)現(xiàn)，盡管安全廠商都在著力打造全流程云原生安全能力體系，但目前僅有個別廠商能夠接近實現(xiàn)“全?！?。盡管云原生安全技術(shù)的重要性和需求不斷增長，實際應(yīng)用場景中對傳統(tǒng)云安全產(chǎn)品仍然存在較大比重的需求，比如云防火墻、云WAF、云工作負(fù)載安全產(chǎn)品等。同時具備云安全與云原生安全解決方案的廠商在有混合安全需求的項目競爭中更具優(yōu)勢。安全廠商在云原生領(lǐng)域的產(chǎn)品及能力：技術(shù)起點(diǎn)廠商產(chǎn)品或方案能力標(biāo)簽全棧云原生安全能力云工作負(fù)載安全青藤云安全青藤蜂巢·安全平臺基于一個Agent&容器一體化安全8/容器安全技術(shù)積累小佑科技鏡界容器安全防護(hù)平臺容器視角出發(fā)的云原生全流程安全防護(hù)能力基于安全容器的輕量級、無侵入式部署容器安全綠盟科技云原生容器安全平臺云原生漏洞發(fā)現(xiàn)和風(fēng)險管理領(lǐng)域領(lǐng)先容器全生命周期一體化安全管理融合代碼供應(yīng)鏈安全管理微隔離薔薇靈動薔薇蜂巢微隔離平臺內(nèi)生于容器平臺的微隔離能力支持跨集群部署高性能的流量分析和策略管理山石網(wǎng)科云鎧主機(jī)安全防護(hù)平臺基于主機(jī)/容器的微隔離能力云主機(jī)/工作負(fù)載綜合安全能力多云一體化安全管理全棧云原生安全能力代碼安全/鏈安全默安科技尚付CNAPP云原生保護(hù)平臺業(yè)務(wù)全流程資產(chǎn)及安全可視化、云原生安全態(tài)勢感知8/供應(yīng)鏈安全技術(shù)積累兼容多種運(yùn)行環(huán)境的運(yùn)行時安全防容器運(yùn)行時安全邊界無限靖云甲ADR應(yīng)用檢測與響應(yīng)系統(tǒng)護(hù)（RASP）API數(shù)據(jù)安全防護(hù)能力云原生無代理的云原生基礎(chǔ)設(shè)施安全檢查配置安全/API哨云科技哨云景御安全管理平臺與風(fēng)險管理安全多云安全管理快速部署SaaS化云原生騰訊安全“4+n”一體化安全防火墻、、主機(jī)安全、數(shù)據(jù)安安全防護(hù)體系全四道核心防線可定制SaaS/AI安全管理發(fā)展趨勢云原生安全與業(yè)務(wù)深入結(jié)合許多業(yè)務(wù)系統(tǒng)對安全的要求不僅僅是安全合規(guī)，更多的需要安全與業(yè)務(wù)深度集成。以金融行業(yè)微隔離安全管控為例，由于涉及大量敏感的交易數(shù)據(jù)和個人隱私信息，對安全管控的要求極為嚴(yán)格。還有其安全需求和安全策略經(jīng)常性地變化，這就需要安全產(chǎn)品不斷貼合用戶需求，進(jìn)行功能進(jìn)化。當(dāng)安全策略在成千上萬個主機(jī)節(jié)點(diǎn)、幾十萬容器間進(jìn)行下發(fā)或更改，這給安全工具的專業(yè)度與處理性能云原生安全向“全?！卑踩芰Ψ较蜻M(jìn)化前文提到目前國內(nèi)許多企業(yè)在構(gòu)建云原生項目時，還是根據(jù)自己的預(yù)算以及技術(shù)能力分步進(jìn)行的，主要影響因素有兩個，一是企業(yè)的云原生化變革，需要組織架構(gòu)也要做相應(yīng)的調(diào)整。二是要實現(xiàn)開發(fā)與運(yùn)營的全流程化，在與業(yè)務(wù)融合時也存在不少技術(shù)上的困難。但降本增效是企業(yè)永遠(yuǎn)的追求，業(yè)務(wù)的云原生化改造實現(xiàn)開發(fā)與運(yùn)營的一體化恰恰很好的滿足了企業(yè)的根本訴求，云原生安全也會向“全?！卑踩芰Ψ较蜻M(jìn)化。人工智能與云原生安全互驅(qū)動人工智能（AI）在安全領(lǐng)域的應(yīng)用正隨著大型模型的發(fā)展而迅速進(jìn)化，其核心優(yōu)勢在于提高安全檢測的準(zhǔn)確性、響應(yīng)速度和管理AI通過機(jī)器學(xué)習(xí)和深度學(xué)習(xí)算法，能夠從大量數(shù)據(jù)中識別異常AI的安全數(shù)據(jù)，云原生安全與開發(fā)運(yùn)營流程的深度結(jié)合產(chǎn)生的實時、動態(tài)、細(xì)粒化到微服務(wù)級別的安全數(shù)據(jù)，也會促進(jìn)人工智能在安全領(lǐng)云原生安全能力SaaS化數(shù)世咨詢在“云安全資源池”報告中提到：“安全資源池與云原生技術(shù)融合，實現(xiàn)更靈活便捷的部署和擴(kuò)展”。實際上，云原生正在重塑云安全的業(yè)務(wù)模式并為云服務(wù)商帶來更大的益處。比如以騰訊安全為代表的公有云服務(wù)商已開始將云安全能力，通過云原生化模式部署，以實現(xiàn)降本增效。與傳統(tǒng)的虛擬化資源池模式的安全SaaSSaaS信創(chuàng)安全產(chǎn)業(yè)助推云原生安全發(fā)展信創(chuàng)安全專注于提升國產(chǎn)軟硬件的安全性和自主可控性，面對多樣化的CPU而采用容器化技術(shù)的安全解決方案能夠提供對不同軟硬件環(huán)境的廣泛適應(yīng)性，從而簡化信創(chuàng)安全產(chǎn)品在國產(chǎn)化過程中的適配工作。根據(jù)數(shù)世咨詢35%2027160代表廠商優(yōu)秀案例某股份制銀行一站式智能化云原生安全運(yùn)營平臺建設(shè)案例（本案例由青藤云安全提供）項目背景在政策、市場的雙輪驅(qū)動下，金融數(shù)字化轉(zhuǎn)型進(jìn)入關(guān)鍵階段，以容器、微服務(wù)、Serverless為代表的云原生技術(shù)憑借其快速部署、彈性、可擴(kuò)展性等特性，成為金融機(jī)構(gòu)數(shù)字化轉(zhuǎn)型過程中降本增效、提升自身業(yè)務(wù)敏捷性的重要引擎。與此同時，云原生引入了大量新的基礎(chǔ)設(shè)施，安全防護(hù)對象發(fā)生了顛覆性變化，容器以及容器云逐漸成為工作負(fù)載的主流。面對這些新技術(shù)帶來新的安全挑戰(zhàn)，某股解決方案青藤通過對該股份制銀行業(yè)務(wù)及其支撐平臺進(jìn)行調(diào)研梳理和風(fēng)險評估，遵循國家和行業(yè)信息安全相關(guān)標(biāo)準(zhǔn)并借鑒國內(nèi)外最佳實踐，充分考慮云原生業(yè)務(wù)性能和安全防護(hù)的契合點(diǎn)，為客戶打造了一站整個平臺通過“一個體系、兩個方向、四個環(huán)節(jié)”，以DevOps流程為中心，覆蓋云原生的整個開發(fā)過程，將安全防護(hù)嵌入到每個步驟，如下圖所示：方案說明：在開發(fā)階段e，遵循“安全左移”原則，做到上線即安全。通過早期定位和解決安全問題，減少攻擊面和潛在的運(yùn)行問題，問題。微服務(wù)安全，通過web掃描組件，發(fā)現(xiàn)微服務(wù)中的web漏洞問題。（K8S）通過“集群風(fēng)險”功能，對集群中各組件的安全漏洞進(jìn)行檢查。通過“合規(guī)基線”，設(shè)置安全基準(zhǔn)線，檢查不安全配置問題。在運(yùn)行階段O&應(yīng)安全。在整體安全落地的時候，進(jìn)行云原生安全的全生命周期管理，包括對工作負(fù)載清點(diǎn)