2022年6月21日，由中国信息通信研究院（以下简称“中国信通院”）、中国通信标准化协会主办的“2022云原生产业大会——云原生安全论坛”成功召开。默安科技安全研究院院长程进亮相论坛，并以“云原生安全之变”为主题进行了分享。

程进的分享从云原生带来的改变、国际定义的云原生安全体系、云原生安全体系能力落地三个部分展开。

云原生带来的改变

IT数字化转型经历了三个阶段：

1、 服务器：碎片化的物理服务器，软硬件割裂，以“设备”为中心。

2、 云化：统一化资源池，软件迁移上云，以“资源”为中心。

3、云原生：统一云原生基础设施，软件云原生架构，以“应用”为中心。

在云计算时代，资源变得自动化，云改变了基础设施和运维，但没有改变传统的架构，仅仅将传统方案复制到云上，业务系统发布和变更迭代的速度并没有得到很大的提升。

而在云原生时代，随着应用的自动化，云进一步改变了业务的生产方式，支持快速更改、大规模操作和复原能力，实现了可复原、可管理、可观察的松散耦合系统，资源获取总体成本降低。现阶段很多组织会形成云原生与云计算共存的过渡期业务架构，从云到云原生，不同，却不可分割。

国际定义的云原生安全体系

在云原生体系中需要具备什么样安全能力？程进介绍了三种国际上对云原生安全体系的定义方式，分别来自CNCF（云原生计算基金会）、Gartner和中国信通院。

01 CNCF

CNCF云原生安全白皮书从四个阶段描述了云原生安全工作：

开发阶段：包含代码扫描、IAST检查、SCA第三方组件检查等；

分发阶段：包含镜像检查、防篡改、保密性等；

部署阶段：包含部署准入控制、部署后环境检查等；

运行时阶段：包含基础设施检查、工作负载保护、网络层面、应用层面的安全防护等。

02 Gartner

Gartner将云原生安全划分为DevSecOps、CSPM、CIEM、CWPP等不同领域，各领域的安全能力和CNCF相近，比较特殊的是在CIEM领域还包含了云的权限、账号层面的安全检查。

03 中国信通院

中国信通院则从云原生架构层面定义了云原生安全体系：

从底层的基础设施安全（包括计算安全、网络安全、存储安全），到中间层的云原生计算环境安全（包括网络安全、编排及组件安全、镜像安全、运行时安全），再到最顶层的云原生应用安全、研发运营安全、数据安全，信通院对于云原生的安全能力要求同样涉及多个方面。

云原生安全体系有了，怎么落地是关键

基于以上三个权威机构对云原生安全体系的定义，默安科技从结构层面及全生命周期的角度思考出一套可落地的云原生安全防护思路。以信通院发布的云原生架构安全防护模型为参考，默安科技把云原生安全能力划分为五个部分：