随着云计算技术的蓬勃发展，传统上云实践中的应用升级缓慢、架构臃肿、无法快速迭代等“痛点”日益明显。能够有效解决这些“痛点”的云原生技术正蓬勃发展，成为赋能业务创新的重要推动力，并已经应用到企业核心业务。然而，云原生技术在创造效益的同时，却也面临着严峻的安全问题。当下常见的云原生安全产品在发挥效能的同时也引入新问题。作为数字经济时代下的特殊产物，云原生安全解决方案的未来与演进又该何去何从？

安全狗推出云原生安全2.X专题，用详实的系列文章为读者揭晓云原生安全的演进之路并分享落地实践经验。

IT架构质变

云原生应用各层之间的界限模糊

从IT架构的角度来看，云原生化最显著的特点就是云原生应用各层之间的界限模糊，如下图所示。通过解构云原生环境分层实验，可以显著的得出一个结论：应用程序层和基础设施层之间没有明确的界限。无论用户采用何种维度或方法，都无法将每种类型的资源整齐地分类到不同的层或其他层。

图1

在这种环境下，基础设施层在哪里停止？应用层从哪里开始？无法得知。有读者可能会争辩说容器是应用程序层的一部分，因为它们包含应用程序的代码。但是我们也可以提出同样等效的论点，即容器是云基础设施层的一部分，因为它们提供了运行应用程序代码的托管环境的一部分。

云原生安全1.X：

基于分层理念的单点安全堆叠

在单体应用架构时代，IT 安全模型还相对简单。它们被分成几层：基础设施层、应用层、网络层等等。每一层都与不同类型的风险相关联，每个专门的安全团队的任务是在每一层内实施必要的控制以应对这些风险。

从安全视角来看，云原生技术落地应用也催生了新的云原生安全基础设施。典型产品包括镜像安全、容器安全、网络微隔离、CSPM等等。这些产物的基本思路继承了以往单体应用时代IT安全模型分层的理念，每个产品专注于解决某个层面的风险与威胁。

这种基于分层理念的单点安全能力我们定义为云原生安全1.X。

图2

云原生安全1.X时代主要安全产品：

云原生安全1.0：

– 镜像安全

– 容器安全：容器安全防护平台等

– 网络安全：容器网络微隔离，或容器防火墙，主机网络微隔离等

– 宿主机安全：云工作负载安全（CWPP）

云原生安全1.0扩展（1X）：

– 应用安全

• CI/CD安全（DevSecOps）

• API安全

• Serverless

– 云安全态势（CSPM）

– 云基础设施权利管理 (CIEM)

– ... ...

笔者针对演进了近3年以上的云原生安全1.X方案和产品进行复盘总结，发现用户为出现的每个问题采用了独立的解决方案或工具，最终采用了一种引入更多问题的拼凑方法，例如：

1

单点解决方案导致更多的工作

管理越来越多的工具最终成为它自己的工作流程。而且由于大多数解决方案在没有更多工作的情况下无法相互通信，因此团队获得的可见性和保护有限。

2

无法应用一致的保护

数十种安全工具可以在应用程序生命周期的单个时间点执行检查。但是，如果没有跨开发、部署和运行时的一致控制，安全和风险团队就会陷入比较不同的漏洞和错误配置的结果。

3

分散造成盲点

大多数云安全团队需要跨云服务、工作负载或应用程序、网络、数据和权限分析威胁。如果没有统一的工具平台支持，解决方案之间衔接缝隙就会出现盲点。

因此云原生安全1.X势必要成为过去时。由于云原生架构和基础架构即代码 (IaC)等技术，以及应用程序安全性和基础架构安全性之间的界限变得越来越模糊，单点产品堆叠式解决方案推动安全团队考虑分层的安全风险和工具，并且如果只理解其中一层的风险，可能会加剧另一层中的风险，这样既增加安全负担，也无法形成联合发现与联合抵御的安全合力。

综合来讲，基于分层理念的单点能力组合式产品方案，与云原生在架构上各层之间的模糊化产生了结构性矛盾。

“云原生安全未来的演进路线是什么”的新问题也迎面而来，向我们发问。安全狗给出的答案是“一体化覆盖全栈安全”

由于应用程序安全性和基础设施安全性已经成为一体，云原生安全方案的实施应该识别和减轻整个堆栈风险的保护措施，云原生安全架构需要“一体化”，覆盖全栈安全需求的体系化思路重构。也就是将安全功能整合到一个单一、无缝的解决方案中，以保护整个云原生应用程序生命周期。这些集成功能使 DevOps、云基础设施和安全团队能够在复杂多变的云环境中有效且高效地实现成功的云原生安全。

“一体化”趋势：

从Gartner CWPP、CSPM到CNAPP模型

笔者进一步调研发现，朝“一体化”的演进路线发展想法其实也与Gartner的观点不谋而合的。Gartner近几年先后提出多个单点安全能力的云原生安全模型，包括：CWPP、CSPM、CIEM等模型。而最后提出的云原生应用保护平台(CNAPP)，是统领上述单点模型方案的单一整体平台。本质上，从安全架构的角度来看，Gartner CNAPP模型可以归纳为，覆盖全生命周期的五个安全一体化。

图3 

图4

云原生安全2.X：

企业级“一体化”全栈安全架构

安全狗将云原生安全的未来，即，“一体化”全栈云原生安全模型方案，定义为云原生安全2.X。只要覆盖从代码到云的全栈整体安全，且满足五大安全一体化特征的云原生安全平台，则可称为云原生安全2.X产品方案。

图5

云原生安全2.X：

5+X一体化落地架构模型

作为安全狗在业界首次提出来的云原生安全2.X 概念，具体如何落地也吸引了很多用户的关注。

对此，安全狗提出了一个5+X一体化落地架构模型。其中5个安全一体化是基础，是必须要实现的内容，X代表扩展。

图6

本文主要分析并复盘了云原生安全1.0产品的不足之处以及局限性。通过对Gartner等咨询机构提出的前沿技术做出分析，并结合安全狗的云原生安全2.X落地经验总结出云原生安全的未来，即，云原生安全2.X及其落地模型。在下篇文章笔者将重点介绍云原生安全2.X的五大一体化特征内涵，敬请期待。