趋势四、云原生安全
安全技术与云紧密结合,打造平台化、智能化的新型安全体系。
摘要
云原生安全是安全理念从边界防御 向纵深防御、从外挂模式向内生安全的 转变,实现云基础设施的原生安全,并 基于云原生技术提升安全的服务能力。 安全技术与云计算由相对松散走向紧密 结合,经过“容器化部署”、“微服务 化转型”走向“无服务器化”的技术路线, 实现安全服务的原生化、精细化、平台 化和智能化:
以安全左移为原则,构建产品研发、 安全、运维一体化的产品安全体系, 增进研发,安全和运维融合协同;
以统一的身份验证和配置管理为基 础,实现精准授权和动态策略配置;
以纵深防御体系为架构,平台级的安 全产品为依托,实现精准主动防御, 化解传统安全产品碎片化的问题;
以安全运营为牵引,实现涵盖应用、 云产品、网络等全链路的实时检测、 精准响应、快速溯源和威胁狩猎。
趋势解读
随着云计算与各领域深度融合,云 上快速迭代、弹性伸缩、海量数 据处理等特征要求安全防护体系相应升 级,为动态变化、复杂多元的运行环境 提供有效的安全防护。
云原生安全是依托云原生理念和 技术特性对安全体系进行的优化和重 构,通过逐步实现安全技术服务的轻 量化、敏捷化、精细化和智能化,来保 障云基础设施的原生安全,并形成更强 的安全能力。其基本特征包括全链路的 DevSecOps 安全管理,一体化精细化的 身份与权限管控、平台化的纵深防御体 系,以及实时化、综合化的可视、可管、 可控体系。
云原生安全经历了一系列变迁:从 安全保障云原生到云原生赋能安全,内 涵不断扩展,逐步形成了一套涵盖基础 设施、应用、数据、研发测试、安全运 营等在内的防护体系。云原生应用保护 平台、面向云原生的攻击面管理平台、 云原生威胁检测与响应、云原生事件取 证与溯源等,这一系列新型的防护措施 也应运而生、快速发展,得到了业界共识。
从管理视角、运营视角和用户视角, 可以看到云原生安全的三方面价值:
全链路风险可视可控。将安全和合 规要求贯穿软件生产和服务全链路, 及时扫描检查关键环节,避免后期 处置造成被动,最大程度降低整体 风险管控成本。
基础设施安全运营闭环高效。安全 防护功能融合化,可以实现异常事 件响应处置流程的闭环管理;策略 执行自动化,可减少对安全运营人 员的依赖,降低误操作概率;同时, 自动阻断机制可以为应对攻击和修 复争取更充分的时间。
云上客户资产全面保障。帮助客户 全面、实时监测各类数据资产;在 身份验证、配置管理、应用运行时 监控、数据安全保护等方面提供多 元化、灵活调用的安全服务。
实践中,云原生安全也面临着一系 列挑战,比如在异构复杂环境中各类数 字资产的监控数据如何快速、高质量的 采集汇聚;云上各方如何明晰权责,形 成开放协同的安全生态等等。
未来 3-5 年,云原生安全将更好的适 应多云架构,帮助客户构建覆盖混合架构、 全链路、动态精准的安全防护体系。同时 配套构建起新型治理体系和专业人才体系; 在安全防护效能方面,智能化技术为实现 细粒度的访问鉴权、数据安全管控、风险 自动识别和处置提供强有力的支持,保障 用户顺畅高效使用,提供无摩擦的服务体 验。同时,基于云的安全服务形式也将不 断创新,云原生的安全托管,以攻促防等 形式将逐步发展成熟,成为安全体系的重 要组成部分。
专家点评
对于未来技术趋势的 准 确 预 测, 是 一 件 非 常 难 的 事 情, 但 作 为 “随动技术”(reactive tech) 的 网 络 安 全 技 术,却不见得特别难。 达摩院十大趋势对于网 络安全技术的研判经历 了反复讨论和调整,从 后量子时代密码技术变 化,到可信隐私计算的 下一步发展;从网络攻 防技术的变化,最后落 脚到了云原生安全,就 是体现了网络安全技术 的“后发先至”特点, 就像密码技术需要提前 应对‘后量子时代’,去 回应现在看起来产业化 还似乎遥遥无期的量子 计算技术一样,对云原 生安全的关注,也势必 成为新的一年网络安全 圈内的热点。
翟起滨
中国科学院信息安 全国家重点实验室 教授
云原生安全不是特指云 原生技术的安全,而是 包含云基础设施的原生 安全和用云的原生能力 形成更加弹性、统一、 智能的安全能力。 作为云服务提供商,要 保证基础设施安全和云 产品自身安全,根据服 务模式与客户明确安全 责任共担的边界。作为 安全服务商,可以更充 分的借助云的能力,为 客户提供平台化、一体 化的产品和服务 . 由于 云原生安全的范围广, 技术复杂,需要各方更 加开放和协同,为云上 的用户提供全面高效, 可视可管可控的一体化 安全服务保障。未来 1-2 年,可以重点关注云上 身份安全和智能化的安 全运营中心。
欧阳欣
阿里云首席风险官, 阿里云安全产品事 业部总经理
