云原生技术已经大范围普及并深入应用到了企业核心系统,但云原生在带来敏捷、弹性、可迁移等优势的同时,也带来了新的安全风险,镜像漏洞、容器逃逸以及微服务细粒度拆分带来的服务交互安全等问题正威胁着企业的云原生平台和应用,云原生安全建设成为企业云原生平台建设和应用云原生化改造进程中必备项。中国信息通信研究院(以下简称“中国信通院”)发布的《中国云原生用户调查报告(2021年)》显示,安全性是企业大规模应用云原生技术时的最大顾虑,其中容器安全、API间认证鉴权、微服务入侵检测、代码安全扫描等问题受到重点关注,企业云原生安全建设正在进行中。
在此背景下,中国信通院联合业界20余家单位的近40名专家历时1年完成了国内首个云原生安全成熟度模型标准的编撰工作。目前云原生安全成熟度标准文稿及评估方案已经完成,首批评估工作正式开启。
评估价值
云原生能力成熟度模型(CNMM-TAS)以提升企业研发效能、促进业务创新发展为目标,从技术架构(T)、业务应用(A)、架构安全(S)三个方面助推企业云原生能力建设。云原生安全成熟度(CNMM-TAS)评估融合了零信任、安全左移、持续监测与响应以及可观测四大理念,从基础设施、基础架构、应用服务、研发运营、安全运维等5个层面综合评估企业云原生架构的安全能力,帮助企业快速对照、定位安全建设能力水平,诊断自身问题,根据业务需求结合模型高阶能力定制安全架构演进方向。
云原生安全成熟度评估全貌
评估面向云原生平台的安全体系,包括云基础设施安全、云原生基础架构安全、云原生应用安全、云原生研发运营安全和云原生安全运维5个能力域、15个能力子项、42个实践项和近400个细分能力要求,具体如下:
云原生安全成熟度模型
云原生安全成熟度模型按照能力有序地组织在一起,本文是云原生安全成熟度模型解读系列的第一篇文章,将介绍云原生安全成熟度模型:云原生基础架构安全域,对云原生基础架构安全域的分级要求进行解读。后续文章将对云原生安全成熟度的其他能力域进行持续解读。
云原生基础架构安全域解读
云原生基础架构建立在基础设施层之上,以容器为核心为云原生应用提供平台支撑,云原生基础架构安全包括云原生网络安全、编排及组件安全、镜像安全以及运行时安全四方面的能力要求。
(一)云原生网络安全
云原生网络是云原生最重要的基础架构环境之一,云原生网络安全评估共包含访问控制、安全通信、网络攻击防护三个实践项:
-
访问控制:云原生业务与管理网络的流量隔离及细粒度的资源访问控制。
-
安全通信:云原生网络通信的可用性、机密性及完整性等保护。
-
网络攻击防护:对网络攻击的检测、阻断与审计追踪能力。
(二)编排及组件安全
编排及组件层安全,评估主要检验平台对编排层资源的访问控制和对集群内组件的安全加固能力等。共包含三个实践项:
-
访问控制:集群编排层资源和组件之间的访问控制
-
集群组件安全加固:集群组件安全基线、漏洞扫描与加固。
-
敏感信息保护:集群内组件内身份信息、密钥、共享存储等敏感信息的保护。
(三)镜像安全
镜像安全涵盖镜像自身安全和镜像仓库管理两大方面。共包含两个实践项:
-
镜像仓库管理:镜像仓库自身安全,以及对镜像上传、存储、拉取过程的统一管理和保护。
-
镜像扫描:镜像漏洞扫描与及时修复。
专家风采
张大江,阿里云计算有限公司标准总监。长期从事标准化工作。作为主要起草人制定5项国家标准和多项行业标准。在本标准工作中协助信通院确定模型框架以及划分各模块内容。
朱松,阿里云云计算首席标准化专家,负责云计算和大数据领域的标准及研究工作,曾牵头及参与制定多项国家、行业及团体标准和规范,并参与多项白皮书撰写工作,涵盖云计算、大数据、数据库、中间件等多个领域。
匡大虎(长虑),阿里云高级技术专家,阿里云容器服务安全负责人,专注云原生安全,是阿里云云原生安全核心成员之一。
汪圣平(木樵),阿里云大弹性计算类产品安全负责人,同时负责阿里云容器服务ACK的安全架构设计评估,安全攻防验证,安全能力设计落地等产品全生命周期安全工作,帮助ACK容器安全在2021年全球测评中取得满分。是国内云计算容器&虚拟化安全技术领域的资深技术专家。
国际权威机构Gartner在2021年发布的云厂商整体能力评估报告显示,阿里云IaaS基础设施能力拿下全球第一,总得分达96分(满分为100分),在计算、存储、网络、安全四项核心评比中均斩获最高分,这是中国云计算首次超越亚马逊、微软、谷歌等国际厂商。
阿里云容器产品发布近7年以来,连续三年入选Gartner容器竞争力格局,技术和服务能力日趋成熟,但创新从未止步,容器服务ACK已全面升级为ACK Anywhere,这意味着ACK有能力在企业任何需要云的地方提供统一的容器基础设施能力。阿里云容器服务支撑了集团100%应用的云原生化,同时帮助互联网、零售、金融、制造、交通等行业的上万企业实现现代化应用改造升级。
胡俊,青藤云安全联合创始人、产品副总裁。国内顶尖的云原生安全专家,在云原生安全领域具有10年以上的解决方案及产品规划设计经验,获得发明专利十余项,发表多篇论文被国内外核心期刊收录。
青藤云安全,成立于2014年,是国家级专精特新“小巨人”企业及国家级高新技术企业,连续5年入围全球顶尖IT咨询机构Gartner报告和推荐供应商名录,并在2020年获第二十四届全国发明展金奖。
公司聚焦于关键信息基础设施安全防护,提供包括主机安全、云安全、大数据安全等新一代信息安全技术,帮助用户构建更加强大的安全保障体系。通过自主研发已推出青藤万相·主机自适应安全平台、青藤蜂巢·云原生安全平台、青藤猎鹰·威胁狩猎平台、青藤雷火·AI-Webshell检测系统、青藤零域·微隔离安全平台等产品,并提供专业的安全服务公司。
任亮,山石网科资深产品规划架构师,在网络安全行业有15年的从业经验,曾就职于华为,从事网络安全产品的市场技术工作;2011年加入山石网科至今,先后从事技术市场工作和云安全产品和解决方案的技术推广和规划工作。
山石网科是中国网络安全行业的技术创新领导厂商,自成立以来一直专注于网络安全领域前沿技术的创新,提供包括边界安全、云安全、数据安全、内网安全在内的网络安全产品及服务,致力于为用户提供全方位、更智能、零打扰的网络安全解决方案。
联系人
原文始发于微信公众号(云原生安全实验室):云原生安全成熟度模型解读 | 第一部分:云原生基础架构安全域(上)
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论