云原生架构安全白皮书2021.pdfVIP

云原生架构安全白皮书 （2021 年） 云原生产业联盟 Cloud Native Industry Alliance，CNIA 2021 年5 月 版权声明 白皮书版权属于云原生产业联盟，并受法律保护。转载、 摘编或利用其它方式使用本白皮书文字或者观点的，应注明 “来源：云原生产业联盟”。违反上述声明者，本院将追究其 相关法律责任。 编写说明 牵头编写单位： 中国信息通信研究院 参与编写单位： 阿里云计算有限公司、华为技术有限公司、腾讯云计算（北京）有限公司、北京 百度网讯科技有限公司、北京升鑫网络科技有限公司（青藤云）、北京小佑科技 有限公司、北京神州绿盟信息安全科技股份有限公司、奇安信科技集团股份有限 公司、中国移动信息技术中心、启明星辰信息技术集团股份有限公司、北京云思 畅想科技有限公司、杭州安恒信息技术股份有限公司、北京奇虎科技有限公司、 苏州博纳讯动软件有限公司、烽火通信科技股份有限公司、浪潮电子信息产业股 份有限公司、深信服科技股份有限公司 编写组成员： 中国信息通信研究院：郑剑锋、刘如明、陈屹力、杜岚、周丹颖、闫丹、郑立 阿里云计算有限公司：张大江、汪圣平、匡大虎、朱松 华为技术有限公司：张宇、卢宏旺、刘亚东、莫若 腾讯云计算（北京）有限公司：乐元、李滨、张祖优、姬生利 北京百度网讯科技有限公司：罗启汉、房双德 北京小佑科技有限公司：袁曙光、刘斌 北京升鑫网络科技有限公司（青藤云）：胡俊、李漫 北京神州绿盟信息安全科技股份有限公司：江国龙 奇安信科技集团股份有限公司：王亮 中国移动信息技术中心：王庆栋 前 言 云计算是信息技术发展和服务模式创新的集中体现，是信息化发 展的重要变革和必然趋势。随着“新基建”加速布局，以及企业数字 化转型的逐步深入，如何深化用云进一步提升云计算使用效能成为现 阶段云计算发展的重点。云原生以其高效稳定、快速响应的特点极大 地释放了云计算效能，成为企业数字业务应用创新的原动力，有效推 动了国民经济的高质量发展。 云原生技术架构充分利用了云计算弹性、敏捷、资源池和服务化 特性，在改变云端应用的设计、开发、部署和运行模式的同时，也带 来了新的安全需求和挑战。传统基于边界的防护模型已不能完全满足 云原生的安全需求，需要设计全新的云原生安全防护模式，基于动态 工作负载，实现云原生技术架构和规模应用的全面防护。 本白皮书将从容器化部署、微服务应用模式、研发运营一体化等 云原生特有的技术架构和应用模式出发，全面剖析云原生系统面临的 安全威胁，针对性提出云原生安全边界、原则和防护模型，系统阐述 涵盖基础设施安全、云原生计算环境安全、云原生应用安全、云原生 研发运营安全、云原生数据安全及安全管理的云原生安全防护体系， 列举了国内外云原生安全典型产品与方案，最后对云原生安全的发展 趋势进行了展望。 目 录 一、 技术变革、市场推动，呈现云原生安全新需求1 （一）云原生技术在生产环境采纳率急速升高1 （二）颠覆性技术架构变革带来全新安全隐患1 （三）传统的边界防护模型难以应对云原生安全风险3 二、 深入架构、应用驱动，剖析云原生安全新型风险4 （一）容器化部署成为云原生计算环境风险输入源4 （二）微服务细粒度切分增加云原生规模化应用风险12 （三）Serverless 灵活性带来模型和平台管控风险 14 （四）DevOps 提升研运流程和安全管理的防范难度 17 （五）API 爆发式增长催化分离管控和权限滥用风险 18 三、 原则引领、架构融合，构建云原生安全体系模型19 （一）云原生安全防护范围及责任划分19 （二）云原生安全遵循的设计原则20 （三）云原生安全防护模型23 四、 分层构建、全景覆盖，打造云原生安全防护体系24 （一）融合应用云安全防护模型夯实基础设施安全24 （二）关注容器全要素全生命周期防护打造云原生计算环境安全26 （三