内生驱动、原生启航:奇安信云原生安全成果首获信通院权威认可
2023-02-15 奇安信

近日,包括产品评估认证、技术创新案例等六项奇安信云原生安全重磅成果在云原生产业联盟(CNIA)年会上集中亮相。这不仅是奇安信在云原生安全领域首次获得中国信通院的权威认可,更标志着奇安信对云安全的探索已经正式进入了云原生安全这一“新阶段”。

奇安信云原生安全综合实力崭露头角

本届云原生产业联盟(CNIA)年会上,奇安信不仅作为《云原生应用保护平台(CNAPP)能力要求》标准核心参编单位受到联盟的认可与感谢,更一举拿下信通院云原生安全成熟度(云原生基础架构安全域L4)、CNAPP云原生应用保护平台(代码安全、镜像安全、云工作负载保护、网络微隔离、环境适配五大模块)这两大技术向权威评估认证,收获了云原生安全技术创新案例这一重要荣誉。

图:年度云原生安全技术创新案例证书

此外,作为信通院云原生安全实验室的重要成员单位,奇安信副总裁刘浩,更是凭借对云原生安全技术创新与产业实践的积极贡献,入选2022年联盟“云原生安全MVP”。

以上六项云原生安全成果的集中亮相,不仅代表着中国信通院对奇安信云原生安全综合实力的权威认可,更代表着奇安信已经正式进入云原生安全这一云安全的下一个角力场。

2022年是国家“十四五”规划的第二年。政企单位对数字化的探索日益深入,转型进程也在不断加快,对云原生技术的重视程度和价值认可也在随着越来越广泛的应用不断提升。同时伴随而来的云原生安全问题,也已经日渐凸显、无法回避。

中国信通院《2022中国云原生安全用户调查报告》(以下简称:报告)显示,用户对云原生安全的担忧已经连续三年成为用户应用云原生技术的最大顾虑。对安全的担忧同样体现在安全建设的重视和紧迫性上。报告显示,仅不到3成用户在2023年内暂无云原生安全能力建设计划,超过半数用户在2023年上半年有建设计划。

奇安信不仅是中国云安全市场的多年“领跑者”,更是中国云原生安全市场的重要“新玩家”。对于当前中国云安全市场现状,奇安信云安全管理事业部负责人孙立鹏表示:

我们能够观察到,中国政企用户已经开始不满足于以云安全资源池为代表的合规建设。随着容器、微服务等云原生技术的应用在金融运营商能源等行业的加速普及,安全缺位的问题也就愈加凸显和让人担忧。

当前云原生安全作为云安全的一个重要子市场,仍处于“百家争鸣”的阶段。无论客户如何选择,相信“责任共担”(云服务、客户、安全三方)、“降本增效”(减少安全工作管理成本,提升运营效率)、“安全同步规划、建设和运营”(安全内生)这三个由多年实践经验总结而来,并达成产业共识的大方向不会改变,只会在“十四五”剩下的三年贯彻落实的更彻底、更到位。

容器安全仍是现阶段云原生安全的重中之重

如果说云原生安全还过于宽泛难以理解和定位的话,那么容器安全绝对可以称得上是通往方舟的太空电梯。

作为PaaS层的关键技术,容器的应用不仅在技术层面贯穿Dev和Ops,生态相对稳定,更重要的是赢得了那些勇于探索云原生技术价值的中国政企用户的信任。《报告》显示,愿意将容器在核心生产环境中应用的用户占比连续三年逐年攀升,已经接近50%;未采用容器技术的,仅有不到5%。

承载了如此多高价值数据和业务系统的容器,无疑会成为攻击者的重点目标。但基于中国在网络安全方面的长足进展和已有经验,中国用户在容器安全方面的考虑也已相对成熟。无论是云原生的网络访问控制,还是CI/CD流程中引入的安全工具,优先做好容器安全都是更多用户的选择。

尽管如此,《报告》统计,2022年有近4成用户发生过容器相关的安全事件。未来,随着更多用户将容器应用到核心生产环境中,容器安全所要面临的威胁态势无疑将更为严峻。

奇安信椒图容器安全检测系统(简称:椒图容器安全)是奇安信在容器安全领域的核心产品,更是云原生应用保护平台(CNAPP)的核心能力。容器安全核心要解决的问题,是镜像、容器运行时和编排平台的风险。椒图容器安全能够贯穿容器的开发环境、测试环境和生产环境,构建全生命周期的容器风险检测与防护体系,目前已广泛应用于运营商、能源、交通等行业。

镜像风险方面,椒图容器安全可基于漏洞、恶意软件、开源许可等可实现覆盖基础镜像、CI/CD、仓库存储、节点使用等全生命周期的安全扫描,以及CI准入和CD准出阶段的精准阻断。

容器运行时风险方面,椒图容器安全可基于进程、网络资源、文件等信息自学习生成容器行为模型,并实现覆盖网络杀伤链、基于云主机和基于网络两种容器入侵检测的结合。基于云主机的入侵检测,可有效阻止攻击者利用内核漏洞实现容器逃逸。在运行时的访问控制上,椒图容器安全可实现基于网络微隔离的容器东西向防护,支持3-7层访问控制、文件读写和进程启动控制,以最快速度、最大程度减少攻击者所能造成的危害。

编排平台风险方面,椒图容器安全支持基于CIS标准,对kubernetes组件漏洞、配置错误,合规基线等风险的发现,并能够对包括Docker等资产进行统一的监控和管理。

随着云原生的快速发展,云安全的未来无疑就是云原生安全。但容器安全并不是云原生安全的唯一内涵。

中国信通院云大所云计算部高级业务主管杜岚在云原生产业联盟年会上表示,云原生应用安全防护手段从单点防护走向以CNAPP为代表的“全流程一体化”,以云安全托管服务(CMSS)为代表、充分利用云原生技术优势的新安全服务交付方式,以云安全态势管理(CSPM)为代表的云原生安全治理保障措施等,都是中国云原生安全发展的重要趋势。

而这些领域,也是奇安信目前正在积极进行储备的重点发力方向。

统筹发展与安全,是发展数字经济的核心指导思想。只有同步做好云原生技术及其应用的安全保障,政企用户才能更放心的拥抱云原生,拥抱数字化。

云原生安全,奇安信已在路上!