2021年5月26日，云原生产业大会举办“云原生安全论坛”，首发《云原生架构安全白皮书（2021年）》和《云原生能力成熟度第3部分：架构安全》标准框架。发布了2021年“容器安全解决方案”最新评估结果，颁发了“2021年度云原生技术创新解决方案/产品”安全平台案例。

　　北京升鑫网络科技有限公司（青藤云安全）“青藤蜂巢？容器安全平台”和北京小佑科技有限公司“镜界容器安全防护平台”获得“容器安全解决方案”先进级（最高级）证书图片

　　北京升鑫网络科技有限公司（青藤云安全）“青藤蜂巢？容器安全平台”获得“2021年云原生技术创新解决方案/产品”优秀案例（安全类）随着全社会加快数字化转型的步伐，尤其是云计算成为驱动数字经济发展的重要力量，云原生凭借快速部署、弹性、可扩展性等特性，在越来越多的领域落地应用。然而，云原生在改变云端应用的设计、开发、部署和运行模式的同时，也带来了新的安全要求和挑战。《云原生用户调查报告》中显示，用户云原生化改造的三大顾虑之一就是安全问题。

　　云原生究竟面临哪些安全挑战？安全风险的引入途径是什么？如何提升云原生安全防护能力？本论坛邀请云服务商、安全厂商、行业专家，共话云原生安全的机遇与挑战，干货满满！

　　中国信息通信研究院（以下简称“中国信通院”）云计算与大数据研究所郑剑锋带来了《云原生安全白皮书及标准工作介绍》。2019年起，中国信通院开始在云原生安全领域发力，2019年8月启动《基于容器的平台安全能力要求》标准研究工作并在2021年5月报批，2020年10月成立了云原生产业联盟安全工作组，2020年10月启动《云原生架构安全白皮书》编写工作并在大会当日发布，2020年5月启动《云原生能力成熟度第3部分：架构安全》标准编写，目前已完成立项。

　　云原生安全风险包括两方面，一方面是容器、DevOps工具链等云原生技术架构引入的全新安全风险，另一方面是上层应用完成微服务、无服务等云原生化改造后面临的风险扩大和资源滥用风险。针对风险，进一步明确了安全防护对象、安全责任、设计原则，并构建了涵盖基础设施安全、云原生计算环境安全、云原生应用安全、云原生研发运营安全、数据安全、安全管理6大方面的安全防护体系，预测云原生安全将走向多元主导、以服务为中心、应用架构深度融合、轻量化、敏捷化和精细化。

　　腾讯云SOC产品负责人肖煜带来了主题演讲《Cloud SOC—云时代让安全运营焕发新生》。腾讯在安全运营方面做了很多工作，云原生时代，存在资产用完即走、攻防节奏加快、多租户、整体安全呈现四方面的问题。针对这一问题，腾讯的SOC产品从防御、检测响应、平台租户、可视呈现四个角度完美契合了安全运营需求，实现了资产全方位、全生命周期的系统梳理，构建了基于流量监测、旁路阻断、实时响应的机制，满足全时段租户专属安全运营，具备实时自定义可视化监控能力，形成了体系化的安全运营产品套件，满足云原生安全需求。

　　中国移动浙江有限公司信息技术安全部经理徐良带来了《浙江移动IT云安全防护实践》主题演讲。随着云化、容器化和微服务化，现在运营商业务营销的暴露面问题也日益突出，内网风险也逐渐增加，存在以下问题：一是云内部的威胁监测跟防护能力不足；二是云内部的检控和防护不足；三是开源组件成为漏洞的主要来源；四是定向安全应急处置能力亟需提升。

　　浙江移动积极转换安全工作思路，构建云原生安全防护方案，应对业务安全风险。一是从合规管理向网络对抗转变；二是运营机制从原来静态防护转向积极防御；三是从原来单一的或者相对孤立的手段要转向联动一体的技术手段；四是把安全能力从做好自身防护转向服务他人，最终完成容器基线检测、容器镜像防护、容器边界安全防护、容器运行时安全监测、微服务及开源组件管理，并具备对抗演练能力，实现浙江移动的云原生安全防护体系构建。

　　青藤云安全技术副总裁张嵩发表了主题演讲《云原生的安全理念、风险与快速实践路径》。张嵩从金融机构的云原生安全防护实践经验出发，讲述无论甲方用户还是乙方同行，都存在对容器或者云原生技术本身认知不到位的阶段，现阶段云原生安全更多的不是一个产品级的问题，而是如何去认知和适应这一个新技术的发展。云原生技术，从大的单体应用到分布式到微服务，到容器化，到编排，再到网格，再到无服务阶段，随着技术的发展，发展的非常快，因为它上层业务也支撑的非常快，安全人员渐渐发现跟不上了，到处都存在风险。

　　云原生安全应该最大限度的去借助云原生已有的安全能力，它内置了很多安全方面的系统和考虑；接下来需要考虑容器安全的技术跟云平台本身要去进行充分的结合；再就是在云原生环境下补充一些云本身的能力。总结起来就是四步：第一步是底层基础设施的安全性问题；第二步是在容器或者说容器编排系统如何进行加强；第三步是容器镜像层的安全防护；第四步是容器运行态的安全监测。

　　中国移动信息技术中心研发创新中心王庆栋带来了《云原生安全在中国移动磐基（Paas）平台的安全防护实践》主题演讲。中国移动信息技术中心在云化方面要求需要从资源为中心的云计算向应用为中心的云原生方向为转变，没有云原生也没有真正的数字化和智能化。整个磐基PaaS平台面临5块风险：基础设施安全风险、编排组件与镜像安全风险、容器运行时风险、微服务风险、安全运营的复杂度。

　　中国移动通过具体的实践方法来解决安全问题。一是通过基础设施的资产和容器资产关联分析实现基础设施安全；二是在DevOps的软件工具链的不同阶段提供各类安全工具来保证顺利流转；三是容器运行时强调发现能力；四是对微服务按Pod类型等各种维度进行分类管理；五是通过量化模型实现资源保障。

　　小佑科技的CEO袁曙光带来了主题演讲《云原生安全的规划与实践》。云原生和传统安全不同，首先，生命周期变化了，物理机以年为单位、虚拟机以月为单位、容器以天为单位、函数以小时为单位，资产管理和梳理需要动态变化；其次，防护边界不同了，传统IDC是以物理边界、虚拟机以IP为边界、云原生时代以标签为单位，实现了动态漂移，安全出发点和资产对应的关系发生了很大变化；再就是流程的改变，流程高度敏捷和自动化；最后就是新的攻击模型出现。

　　云原生安全有两个视角，第一个是流程视角，从开发到存储到部署到运行；第二个是IT架构视角，包含基础设施、计算环境、应用、研发运行、数据和安全管理。两个视角各有侧重、各有优劣。

　　云原生规划要关注几点：一是策略先行，二是全面考虑，三是根据云建设的节奏逐步完善，四是要贴合云原生。

　　新华三云智产品线云平台研发负责人李学峰带来了《云原生安全的全景和架构》。在软件这个行业里，能把所有跟软件相关的技术串起来并不多，安全算一个。云原生时代，安全的变革因素是什么？第一个就是应用运行边界的模糊，第二个是应用内生性安全问题的凸显，第三个是机械化的应用安全管控与自动化的软件开发流程之间的矛盾。

　　云原生安全的整体建设思路就是以应用为中心，应用包括应用的运行平台，应用的架构，应用的开发，应用的管理四个部分。应用运行平台的安全包括容器层的安全，编排系统的安全，以及常规基础的主机安全。应用架构层上的安全包括微服务与外部层的架构安全，东西向流量安全，中间件安全，Service Mesh与应用服务安全。应用开发流程安全总的一个思路把策略安全的管控嵌入到Devsecops流程里面。应用安全的管理则包括审计和密钥安全。