云原生架构安全白皮书 2021

Posted 2021-06-02 产业数字化报告中心

一、技术变革、市场推动，呈现云原生安全新需求

（一）云原生技术在生产环境采纳率急速升高

云原生的理念经过几年发展，不断丰富、落地、实践，云原生已 经渡过了概念普及阶段，进入了快速发展期。云原生技术以其高效稳 定、快速响应的特点驱动引领企业的业务发展，成为企业数字业务应用创新的原动力。过去几年中，以容器、微服务、DevOps、Serverless为代表的云原生技术正在被广泛采纳，2020年 43.9%的国内用户已在生产环境中采纳容器技术，超过七成的国内用户已经或计划使用微服务架构进行业务开发部署等，这使得用户对云原生技术的认知和使用进入新的阶段，技术生态也在快速的更迭。

（二）颠覆性技术架构变革带来全新安全隐患

云原生技术架构充分利用了云计算弹性、敏捷、资源池和服务化特性，在改变云端应用的设计、开发、部署和运行模式的同时，也带来了新的安全要求和挑战。以容器、Serverless为载体的云原生应用 实例极大地缩短了应用生命周期；微服务化拆分带来应用间交互式端口的指数级增长以及组件间组合设计复杂度的陡升；多服务实例共享操作系统带来了单个漏洞的集群化扩散；独立的研发运营流程增加了软件全生命周期各个环节的潜在风险。云原生的特有属性带来了架构。

防护、访问控制、供应链、研发运营等领域全新的安全隐患和安全防护需求。

服务实例应用周期变短增加监控和溯源难度。以容器、Serverless 为载体的云原生应用实例的生命周期极大缩短，容器秒级启动或消失的特性以及持续频繁的动态变化，增加了安全监控和保护的难度，准确捕捉容器间的网络流量和异常行为成为新挑战。组件爆发式增长为应用防护能力提出更高要求。微服务将单体架构拆分成多个服务，应用间的交互端口呈指数级增长、攻击面大幅增加，相较于单体应用架构集中在单个端口防护的简单易行，微服务化应用在端口防护、访问权限、授权机制等方面难度陡增。

容器共享操作系统的进程级隔离环境增加逃逸风险。传统软件架构下，应用之间通过物理机或虚拟机进行隔离，可以将安全事件的影响限制在可控的范围内。在云原生环境下，多个服务实例共享操作系统，一个存在漏洞服务被攻陷可能会导致运行在同主机上其他服务受到影响，逃逸风险大大提高。

独立研发运营对软件流转的全链条安全提出新要求。每个微服务应用都涉及相对独立的开发和测试流程，并通过CI/CD（持续集成/持 续交付）流水线将应用部署运行到开发测试和生产环境中。在业务应用全生命周期中，为各个环节的自动化安全防护能力提出了全新要求，不仅要避免各个环节的潜在风险，而且要提高应用的安全交付效率。

详情内容如下：

产业数字化报告中心，专注于产业数字化领域和网红经济领域的知识分发，回复“云原生架构安全白皮书“即可获取。

扫描下方二维码，获取更多报告。

❄本份报告来自于云原生产业联盟，由产业数字化报告中心推荐阅读，版权归作者所有，如涉及到版权问题，请联系我们删除或做相关处理。

---

推荐阅读：