隨著云計(jì)算 2.0 時(shí)代的開啟，企業(yè)不再單純地為了上云而上云，而是更加關(guān)注如何在云上快速構(gòu)建應(yīng)用，并且可以持續(xù)迭代，從而具有業(yè)務(wù)創(chuàng)新的能力。云原生成為企業(yè)提升創(chuàng)新效率、進(jìn)行敏捷迭代的最短路徑。

根據(jù) Forrester 預(yù)測(cè)，2023 年全球超過 40% 的企業(yè)將會(huì)采用云原生優(yōu)先戰(zhàn)略。云原生成為構(gòu)建適應(yīng)未來的現(xiàn)代企業(yè)的核心引擎，對(duì)企業(yè)的自適應(yīng)性、創(chuàng)造性和韌性都具有戰(zhàn)略意義。

然而，針對(duì)涵蓋云原生應(yīng)用、容器、鏡像、編排系統(tǒng)平臺(tái)以及基礎(chǔ)設(shè)施的云原生系統(tǒng)的攻擊層出不窮，對(duì)企業(yè)原有的信息安全防護(hù)模式提出了新的挑戰(zhàn)。

云原生安全挑戰(zhàn)多，企業(yè)可以“借力”實(shí)現(xiàn)安全防護(hù)

云原生給企業(yè)原有的應(yīng)用開發(fā)模式帶來變革的同時(shí)，也給企業(yè)安全團(tuán)隊(duì)帶來了種種挑戰(zhàn)。近日，火山引擎與 Forrester 共同發(fā)布《中國云原生安全市場(chǎng)現(xiàn)狀及趨勢(shì)白皮書》，對(duì)中國云原生安全市場(chǎng)現(xiàn)狀及趨勢(shì)進(jìn)行了洞察。

根據(jù) Forrester 的調(diào)研結(jié)果顯示，缺乏成熟的一體化云原生解決方案，難以在多云環(huán)境中整合并集成云原生安全控制措施，以及缺乏對(duì)云原生環(huán)境安全的可見性和洞察力，是企業(yè)在構(gòu)建云原生安全體系過程中主要面臨的技術(shù)層面的挑戰(zhàn)。

為此，F(xiàn)orrester 建議，企業(yè)可以根據(jù)自身業(yè)務(wù)特征評(píng)估業(yè)務(wù)的安全需求與風(fēng)險(xiǎn)狀況，然后制定安全策略和架構(gòu)，并且可以采用零信任模型，選擇合適的安全工具和技術(shù)，實(shí)施持續(xù)安全的檢測(cè)和漏洞修復(fù)。此外，企業(yè)還需要加強(qiáng)員工的安全培訓(xùn)意識(shí)，確保所有人都了解云原生安全的最佳實(shí)踐和安全政策。

在云原生技術(shù)生態(tài)不斷演進(jìn)和發(fā)展中，云原生的安全防護(hù)也需要不斷完善和迭代升級(jí)。然而，企業(yè)中的安全團(tuán)隊(duì)不僅要持續(xù)建設(shè)和優(yōu)化原有的安全體系，還要面對(duì)各種安全威脅，同時(shí)，有些企業(yè)的安全團(tuán)隊(duì)力量薄弱，讓本該加強(qiáng)防護(hù)的安全變得“漏洞百出”。Forrester 建議，企業(yè)可以借助合作伙伴的產(chǎn)品集技術(shù)研發(fā)能力，構(gòu)建可信、合規(guī)的云原生安全體系。

覆蓋云原生全生命周期，提供全鏈路防護(hù)能力

火山引擎致力于做企業(yè)可信賴的云原生安全合作伙伴，通過完善與云原生環(huán)境無縫集成的安全產(chǎn)品能力，持續(xù)幫助企業(yè)構(gòu)建安全、可信、合規(guī)的云原生安全體系。

近日，火山引擎公布了其云原生安全解決方案全景圖，涵蓋了設(shè)計(jì)開發(fā)安全、構(gòu)建分發(fā)安全、部署交付安全、運(yùn)營處置安全和多云安全治理等多個(gè)方面的能力，通過提供覆蓋云原生應(yīng)用從設(shè)計(jì)、開發(fā)、部署到運(yùn)行的一站式全生命周期云原生防護(hù)體系，幫助企業(yè)在云原生應(yīng)用的全生命周期中，生成原生化的安全免疫能力，建立敏捷、可靠的云原生安全體系，讓云原生安全可知、可見、可控。

眾所周知，云原生應(yīng)用的實(shí)現(xiàn)涉及多個(gè)環(huán)節(jié)，包括應(yīng)用架構(gòu)、構(gòu)建容器化應(yīng)用、部署、配置自動(dòng)化機(jī)制、監(jiān)控和管理運(yùn)維等等。如果一個(gè)環(huán)節(jié)存在漏洞，那整個(gè)云原生應(yīng)用都將處于“不安全”的狀態(tài)。為此，火山引擎云原生安全解決方案就是覆蓋云原生應(yīng)用的全生命周期，確保用戶在云原生的每一環(huán)節(jié)都能得到安全防護(hù)。

在云原生應(yīng)用的設(shè)計(jì)開發(fā)階段，該方案通過風(fēng)險(xiǎn)評(píng)估、開發(fā)修復(fù)包等一系列工具，收集安全需求，確保代碼風(fēng)險(xiǎn)加固和安全編碼開發(fā)，實(shí)現(xiàn)開源安全治理。

在應(yīng)用構(gòu)建分發(fā)階段，嚴(yán)格把關(guān) CI 構(gòu)建掃描與測(cè)試環(huán)境，加強(qiáng)鏡像保護(hù)，確保安全風(fēng)險(xiǎn)降至最低。

在應(yīng)用部署交付階段，針對(duì)云原生部署環(huán)境與鏡像啟動(dòng)條件的安全風(fēng)險(xiǎn)做好細(xì)致核查，同時(shí)確保容器合規(guī)運(yùn)行與容器網(wǎng)絡(luò)有效控制。

最后，通過攻擊威脅檢測(cè)與安全事件審計(jì)等多種常態(tài)化措施，確保應(yīng)用上線后的運(yùn)行安全。

值得注意的是，火山引擎云原生安全工具，能夠以安全卡點(diǎn)的方式，與 DevOps 工作流深度集成，可以在應(yīng)用開發(fā)的前期階段實(shí)現(xiàn)安全風(fēng)險(xiǎn)的早發(fā)現(xiàn)與早解決，避免應(yīng)用在上線運(yùn)行時(shí)由于突發(fā)安全問題導(dǎo)致服務(wù)宕機(jī)，減少企業(yè)資產(chǎn)流失。

避免安全工具分散化，提供云原生安全的統(tǒng)一管理

由于傳統(tǒng)安全建設(shè)經(jīng)常是“哪里壞了哪里修”，于是，很多企業(yè)都擁有多種安全防護(hù)措施以及不同品牌的安全產(chǎn)品組合，形成了安全產(chǎn)品“大雜燴”的局面，這就引發(fā)了安全工具分散、風(fēng)險(xiǎn)信息缺乏連貫性等問題。

為此，火山引擎云原生安全解決方案提供了統(tǒng)一的安全風(fēng)險(xiǎn)管理平臺(tái)，通過深度對(duì)接云原生應(yīng)用開發(fā)各階段的安全工具，收集、解讀應(yīng)用全生命周期中的安全數(shù)據(jù)，生成應(yīng)用安全風(fēng)險(xiǎn)分析，為企業(yè)賦予跨開發(fā)構(gòu)建到部署運(yùn)行的一致性風(fēng)險(xiǎn)感知控制能力，實(shí)現(xiàn)安全管理工作效率的顯著提高。

此外，很多企業(yè)的業(yè)務(wù)都部署在多云環(huán)境下，這就導(dǎo)致云原生資源分散化部署，常常面臨安全產(chǎn)品防護(hù)覆蓋低，安全基線標(biāo)準(zhǔn)不統(tǒng)一等諸多問題。對(duì)于多云架構(gòu)特殊屬性導(dǎo)致的安全漏洞，企業(yè)又該如何應(yīng)對(duì)呢？

火山引擎云原生安全方案圍繞多云資產(chǎn)與身份管理、多云分析與態(tài)勢(shì)感知，打造多云安全管理平臺(tái)，實(shí)現(xiàn)一套合規(guī)標(biāo)準(zhǔn)在多個(gè)云上同步實(shí)施，同時(shí)管理多個(gè)公有云、私有云、混合云及異構(gòu)資源的安全風(fēng)險(xiǎn)，提供多云架構(gòu)下云原生安全的統(tǒng)一管理運(yùn)營和持續(xù)合規(guī)治理，提升整體運(yùn)營效率。

由內(nèi)及外，守護(hù)企業(yè)云原生應(yīng)用安全

雖然火山引擎是一朵“后起之秀”的云，但是其產(chǎn)品和能力都是經(jīng)過字節(jié)跳動(dòng)內(nèi)部大規(guī)模業(yè)務(wù)實(shí)踐驗(yàn)證的，此次發(fā)布的云原生安全解決方案亦是如此。

據(jù)了解，火山引擎云原生安全解決方案已經(jīng)服務(wù)于字節(jié)跳動(dòng)內(nèi)部的云原生業(yè)務(wù)系統(tǒng)的安全穩(wěn)定運(yùn)行，包括字節(jié)跳動(dòng)百萬級(jí)主機(jī)節(jié)點(diǎn)、千萬級(jí)容器、10 萬+在線微服務(wù)、3 萬+單日平均線上變更的云原生業(yè)務(wù)。

除了服務(wù)字節(jié)跳動(dòng)內(nèi)部業(yè)務(wù)以外，火山引擎云原生安全解決方案還幫助眾多外部企業(yè)完成了云原生安全體系建設(shè)。

例如，某頭部汽車制造商通過火山引擎云原生安全解決方案與既有 DevOps 平臺(tái)深度融合，在每個(gè)階段設(shè)置安全掃描與阻斷卡點(diǎn)，實(shí)現(xiàn)了對(duì)安全風(fēng)險(xiǎn)的全面控制。此外，通過將安全問題控制在開發(fā)測(cè)試階段，火山引擎幫助該汽車制造商降低安全修復(fù)成本與生產(chǎn)環(huán)境下的安全風(fēng)險(xiǎn)，從而減輕生成環(huán)境的安全運(yùn)維壓力。

結(jié)語

云原生安全作為一種新興的安全理念，強(qiáng)調(diào)以原生的思維構(gòu)建云、端一體化的安全，推動(dòng)安全與云計(jì)算深度融合，達(dá)到安全左移、持續(xù)監(jiān)控與持續(xù)響應(yīng)目標(biāo)。未來，火山引擎還將在多云安全、大模型安全、隱私和數(shù)據(jù)安全等領(lǐng)域持續(xù)發(fā)力，推動(dòng)其安全領(lǐng)域解決方案的持續(xù)進(jìn)化，助力企業(yè)牢筑云戰(zhàn)略安全防線，提升企業(yè)業(yè)務(wù)敏捷迭代與業(yè)務(wù)創(chuàng)新。

在火山引擎與 Forrester 共同發(fā)布的《中國云原生安全市場(chǎng)現(xiàn)狀及趨勢(shì)白皮書》中，系統(tǒng)闡述了企業(yè)構(gòu)建云原生安全體系所面臨的挑戰(zhàn)與難題，并就企業(yè)構(gòu)建云、邊、端一體化的云原生安全體系提供了切實(shí)可行的方法與建議。想了解詳細(xì)的云原生安全調(diào)研報(bào)告內(nèi)容，可以點(diǎn)擊鏈接下載白皮書。