随着云计算技术的快速发展，云服务已广泛应用于各行各业，为企业提供了高效、灵活和可扩展的算力资源与服务。然而，向云迁移的最大挑战是需要改造企业现有的安全和网络架构，云安全作为保障云计算环境安全稳定运行的重要性愈加突显。目前越来越多的安全问题作为新闻被报道，无论是用户还是非行业人士，都感觉云安全问题频发，似乎云计算的安全性并没有宣传的那么好。其实这中间存在很多问题，本文我们来聊聊关于云安全的问题。

一、重大云安全事件频发，新型攻击手段不断出现

公有云以安全责任共担的模式运行，云服务提供商在基础设施的安全防护、数据隐私保护、用户身份管理等方面承担着重要责任。由于云计算环境的复杂性，云用户在配置云服务时经常出现错误配置。

18年4月6日，微软Office365 和 Azure Active Directory访问出现问题……

18年6月15日，因重复分配内部IP地址，谷歌云虚拟机实例大量出现联不上网的问题。

18年6月27日，阿里云出现运维失误，导致一些客户访问阿里云官网控制台和使用部分产品功能出现问题。受影响范围包括阿里云官网控制台，以及MQ、NAS、OSS等产品功能。据悉这次故障被阿里云内部定义为S1级别（在阿里巴巴的线上业务故障级别中，对S1的定义是：核心业务重要功能不可用，影响部分用户，造成一定损失）。

18年7月24日，腾讯云广州区域部分用户出现资源访问失败、控制台登录异常等情况。经排查，是因腾讯云广州一区的主备两条运营商网络链路同时中断所导致。实际上主备两条运营商网络链路同时被挖断并不常见。

18年8月5日，“前沿数控技术”控诉腾讯云丢失用户数据，导致平台业务全部停运，融资计划停止，损失巨大，之后腾讯出面回应，提出补偿方案，但是与用户提出的“千万赔偿”相去甚远，双方未达成一致。

19年2月阿里云源代码泄露问题，看起来云计算事故频发，云上的安全并非他们宣扬的那么可靠。但是这些事故发生的频率如果和近些年来世界云计算发展的速度相比一下，就会发现并不是云计算越来越不安全，而是使用云计算的用户增长太快了。

从2006年亚马逊推出云计算服务至今，世界云计算市场的规模一直保持着高速的增长，甚至国内云计算市场的增长速度超过了100%，这样的增长速度带来了庞大的用户群，云计算的普及率大大提升，这就使得原本发生概率极低的安全事件似乎大规模爆发了。

而2023年最引人注目的两个网络安全威胁是双重勒索和零日漏洞利用。在双重漏洞利用攻击中最常见的勒索软件系列是LockBit、Clop和 ALPHV。同时，攻击者也在使用生成式AI来创建文本、语音消息和图像等多模态恶意攻击，对多云及混合云上的服务产生更加严峻的威胁。

二、云安全技术不断演进，夯实基础向应用跨越

当前云安全的范式围绕着从传统安全框架向云中迁移的过程，云安全的重点领域包括云工作负载保护（CWPP）和云安全态势管理(CSPM)。而新安全范式的转变之一将会随着更多的云原生应用诞生，从以安全为导向的开发转变为以开发人员为导向的安全。

此外，传统安全技术在云上的应用也取得了显著进步。加密技术的不断创新和应用，使得数据在云端的安全性得到了更好的保障。同时，安全审计和监测工具的进步，可以帮助企业更有效地发现和应对安全威胁。威胁情报的发展也为预防和应对高级持续性威胁（APT）提供了有力支持。

三、云安全发展趋势展望

随着现代化云原生应用的快速发展，在整个应用生命周期中集成云安全将成为主流。保护云原生应用程序为企业提供了重新设计安全方法的机会，企业不再将开发和运行时视为互相隔离的阶段，而应将安全性和合规性视为开发和运营的统一体，并尽可能整合不同的工具。

1.安全左移：在开发过程的早期解决云风险

基于容器和 Kubernetes 等架构构建的云原生应用程序由许多在云基础架构上运行的互连微服务组成。根据云原生计算基金会（CNCF）的数据，96%的组织目前正在使用或评估使用 Kubernetes。Kubernetes的采用带来许多优势，包括更短的发布时间框架、更低的IT成本、更高的可扩展性以及多云环境中的灵活性

出于这些原因，开发和DevOps团队纷纷涌向 Kubernetes，实现了每天或每周部署应用程序，快速迭代并为最终用户提供更多的业务价值。而应用中的许多风险都可以在开发中解决，这就需要为DevOps和安全团队提供开发生命周期内持续集成/持续交付（CI/CD）的整体安全支撑，其中包括以下重点内容：

构建：在开发过程扫描容器映像和基础设施即代码(IaC)模板，以查找漏洞和错误配置，将其作为常规持续集成/持续交付（CI/CD）工作流的一部分。

部署：持续监控注册表，以确保应用程序在部署前是安全的，并制定相应的部署防护策略。

运行：通过与上下文报警、风险优先级以及相关通知工具的集成来监控生产环境的风险，包括敏感数据泄露、机密检测、配置风险等内容。

2.安全右移：在运营过程中做好威胁应对闭环

当前，很多企业在安全建设中采购大量孤立的安全产品以满足合规需求，彼此间独立运行，分散部署已成常态。而如何在日益复杂的威胁态势下，感知风险和威胁，形成化被动为主动的体系化防御系统，常态化的安全运营将是必备的能力。

在云原生安全环境中，进行标准化和体系化的安全运营建设，可以通过构建全面的集预防、检测、响应与防御为一体的融合式平台，实现针对云上风险的及时发现、阻断以及进行业务恢复的自动化安全闭环。这类高级的安全运营能力将成为安全基础设施为云上所有企业保驾护航，实现全方位的安全防护。

针对安全左移+右移，容器安全能够很好集成到云原生复杂多变的环境中，如PaaS云平台、OpenShift、Kubernetes、Jenkins、Harbor、JFrog等等。通过提供覆盖容器全生命周期的一站式容器安全解决方案，德迅蜂巢可实现容器安全预测、防御、检测和响应的安全闭环。核心架构理念在于：

在开发阶段（Dev），遵循“安全左移”原则，做到上线即安全

在运行阶段（Ops），遵循“持续监控&响应”原则，做到完全自适应

主要从安全左移和运行时安全两个阶段，在云原生的全生命周期过程中，提供原生的、融合的安全能力。

一、资产清点

可以清晰地盘点工作负载本身的相关信息，此外，还能够实现不同工作负载之间的关系可视化，帮助运维和安全人员梳理业务及其复杂的关系，弥补安全与业务的鸿沟。

1.细粒度梳理关键资产

2.业务应用自动识别

3.资产实时上报

4.与风险和入侵全面关联

二、镜像扫描

镜像检查能力已经覆盖到开发、测试等多个环节中，可快速发现镜像中存在的漏洞、病毒木马、Webshell等镜像风险。

1.覆盖容器全生命周期

2.全方位检测

3.镜像合规检查

4.X86、ARM 架构镜像全栈适配

三、微隔离

微隔离原生自适应容器多变的环境。通过对访问关系的梳理和学习，提供自适应、自迁移、自维护的网络隔离策略，帮助用户快速、安全地落地容器微隔离能力。

1.业务视角展示网络拓扑关系

2.云原生场景的隔离策略

3.适配多种网络架构

4.告警模式业务0影响

四、入侵检测

通过多锚点入侵监测分析，实时监测容器中的已知威胁、恶意行为、异常事件，监测到入侵事件后，对失陷容器快速安全响应，把损失降到最低。

1.威胁建模适配容器环境

2.持续地监控和分析

3.威胁告警快速响应处置

4.提供多种异常处理方式

五、合规基线

构建基于CIS Benchmark的最佳安全操作实践检查，帮助企业实施和完善容器合规规范，可实现一键自动化检测，并提供可视化基线检查结果和代码级修复建议。

1.CIS标准

2.一键自动化检测

3.基线定制开发

4.代码级修复建议

3.安全专一平台将引领潮流，形成一站式云安全解决方案

为了更好地防护云基础设施之上的服务，需要确保安全能力全面覆盖云技术堆栈。这一领域正朝着通过专一平台提供安全能力入口的方向演进，平台需要提供上下文统一的持续监控服务，包括公有云服务和配置、授权和身份、工作负载和应用程序的威胁检测。

云上的南北向流量与东西向流量的防护可以和云安全态势管理(CSPM)整体解决方案融合联动。除了云基础设施运行情况，应用程序编程接口（API） 监控和数据风险可视化也应包含其中。随着云安全形势的发展和威胁变得越来越复杂，云安全态势管理(CSPM)与安全左移和安全右移的场景相结合，集成和提供更多高级安全能力

随着网络犯罪的日益猖獗以及云安全产业的快速发展，预计高级持续性威胁和勒索软件攻击等复杂的安全威胁将继续增多，为了应对这些威胁，将催生更多的创新企业和技术，寻找简化且高效的解决方案来保护复杂的云基础设施和服务。企业和云服务提供商需要进一步加强安全防御措施，加强场景化创新与交付能力，建立快速响应机制和备份恢复计划，在满足合规要求的同时确保业务连续性和数据安全。