【云安全】云原生安全平台

a) 产品概述

云原生安全指云平台安全原生化和云安全产品原生化。云原生安全作为一种新兴的安全理念，不仅解决云计算普及带来的安全问题，更强调以原生的思维构建云上安全建设、部署与应用，推动安全与云计算深度融合。

b) 重要性

云原生作为云计算的未来阶段，其安全势必成为云安全的主要战场。云原生安全的需求主要体现在两个方面。一是新的组件面临新的风险，如容器的隔离性不如虚拟机（VM）而导致其更容易发生逃逸攻击等，这就需要新的产品及解决方案。二是传统的云安全需求（例如访问控制）在新的架构中需要改进以适应新的架构。

采用内嵌的方式而无需外挂部署；充分利用云平台原生的资源和数据优势；可以与用户云资源有效联动；能够解决云计算面临的特有安全问题。

c) 产品形态

软件

d) 产品功能

（一）防御能力的有效性

容器运行时安全除了能够应对已知威胁，还应具备应对未知威胁的能力。在整体上对齐 MITRE的 ATT&CK 框架，增强安全事件分析能力，通过持续运营来优化配置，降低漏报与误报。风险检测的准确率提升了，才有可能进一步推进自动处置措施的编排落地。

此外，企业可以考虑部署云原生蜜罐来建立主动威胁情报能力。

（二）安全的左移

在软件生命周期中，越靠后修复问题的成本越高，越靠前修复问题的越低。安全左移是将安全投资更多地放到开发阶段，包括安全需求分析、安全设计、安全编码、供应链（软件库、开源软件等）安全、镜像安全等。

在云原生环境中，业务需要频繁调整、上线，安全左移的思路不仅让 DevOps 团队能够及早发现安全风险，还能降低安全投入、提高整体的安全水平，以确保及时解决安全威胁。DevOps 是云原生重要的组成部分，所以 DevSecOps 也是云原生安全的一个重要部分。

（三）工具链的整合

Gartner 2021 年技术成熟度曲线中增加了一个新类别云原生应用保护平台（CNAPP），包含一组集成的安全性和合规性功能，旨在开发和生产过程中保护云原生应用。有些企业使用了 10 个或更多不同的安全工具，手工将 DevSecOps 缝合在一起，每个工具都有独立的责任和应用程序风险视图。

在开发阶段，静态应用程序安全测试（SAST，通常所说的代码审计）、API 安全测试、动态应用程序安全测试（DAST）、基础架构即代码（IaC）扫描和威胁建模是保护云原生应用最常用的五种工具。

在生产运维阶段，WEB 应用程序防火墙（WAF）、WEB 应用和 API 保护（WAAP）、应用安全监控、云工作保护平台（CWPP）和云安全态势管理（CSPM）是保护云原生应用的五种最常用工具。

如果保护云原生应用需要使用来自多个供应商的多个工具，显然会降低开发和运维的效率，并造成风险的零散可见性。CNAPP 产品允许企业使用单个集成产品来保护云原生应用的整个生命周期。

e) 部署方式

软件内嵌式部署

f) 产品选型