云原生安全：规划、实践与挑战

"云原生安全规划与实践"是一篇由小佑科技袁曙光在2021年云原生大会上分享的重要内容，它着重探讨了在云计算环境中实施云原生安全策略的挑战、特点和实际操作方法。文章首先介绍了云原生安全的主要特征，包括： 1. 不可变的基础设施：在云原生环境下，物理机、容器和虚拟主机的生命周期显著缩短，从年、分钟到秒级别，这要求安全策略必须适应这种快速变化。 2. 防护边界的演变：传统的边界定义从物理位置转变为基于服务或应用，如使用IP地址、标签等，体现了云环境的动态性。 3. 高度自动化流程：从验证、计划到风险管理，云原生安全强调持续的评估和响应，以应对不断变化的风险。 4. 新的攻击手段：针对容器的ATT&CK攻击模型，包括一系列恶意行为，如初始访问、持久化、权限提升等，对容器及其服务的安全防护提出了新挑战。 5. 容器安全、编排工具安全、微服务安全和DevSecOps的整合：这些是构建云原生安全体系的关键支柱，每个领域都有其独特的安全需求和最佳实践。 文章接下来从应用生命周期和IT架构两个角度深入分析了云原生安全体系的设计，包括： - 应用生命周期视角：强调在容器、集群和微服务的生命周期中如何识别和保护安全漏洞，确保在整个生命周期内保持安全。 - IT架构视角：讨论了如何在不同层次（如基础设施、平台和应用程序）中建立安全屏障，防止攻击者利用系统漏洞。 在实际操作层面，文章提供了云原生安全建设的规划指南，包括针对容器/集群、微服务以及无服务架构的特定安全措施，如强化容器安全控制、确保编排工具的可信性、管理和保护微服务接口以及推动DevSecOps文化。 这篇论文提供了一个全面的框架，帮助云原生企业在日益复杂的云环境中制定和执行有效的安全策略，以抵御新型威胁并维护业务连续性。"