【安全不僅僅是合規驅動，更要為業務服務，賦能業務發展，做好主動防御】

作為新基建的重要組成部分，云計算已經成為很多企業進行數字化轉型的重要推手，而云計算領域炙手可熱的技術“云原生”，更是成了發揮云計算效能的最佳實踐路徑、打造數字經濟發展新動能的重要保障。隨著全行業上云逐步深化，云原生時代將成為云計算發展的必然階段。據中國信息通信研究院統計，近年來，云原生產業一直保持著強勁的發展態勢，年均增速已超過30%。

然而，在云原生市場迅猛發展的同時，云原生的安全問題也日益凸顯。根據中國信息通信研究院在2020年發布的《中國云原生用戶調查報告》：由于安全性問題， 61%以上的用戶都對云原生架構存在顧慮。而且，企業傳統的安全體系和運營思路根本無法應對云原生架構下的安全威脅。

走在運營商行業前列的中國移動通信集團浙江有限公司（簡稱“浙江移動”），不僅早就踏上了云原生之路，還以“實戰化、體系化、常態化”為指導構建云安全防護體系，守護億萬用戶安全。近日，中國移動浙江公司信息技術部安全部經理徐良與記者分享了他在容器安全防護方面的心得體會。

中國移動浙江公司信息技術部安全部經理 徐良

｜容器化的喜與憂｜

徐良告訴記者，自2014年開始，浙江移動就陸續展開了在云化、容器化、微服務化等領域的探索，一直走在集團的前列。

對于容器化的好處，徐良介紹，第一，相比虛擬機及傳統環境，通過容器鏡像，將應用程序及運行依賴環境配置進行封裝，通過標準化的鏡像封裝及使用流程，消除環境差異，使得應用程序的開發和交付更加高效；第二，由于容器沒有管理程序的額外開銷，與底層共享操作系統，性能更加優良，系統負載更低，在同等條件下可以運行更多的應用實例，可以更充分地利用系統資源。

容器化也帶來了一些安全挑戰：

其一，以往系統漏洞檢測一般采用網絡掃描，通過問題IP定位到具體主機和應用系統。在應用容器化部署以后，由于容器資源的動態變化，增加了安全威脅檢測、監控和保護的難度。

其二，傳統軟件架構下，應用之間通過物理機或虛擬機進行隔離，可以將安全事件的影響限制在可控的范圍內。在容器環境下，多個服務實例共享操作系統，一個存在漏洞服務被攻陷，可能會導致運行在同主機上其他服務受到影響。

｜選擇技術實干型合作伙伴｜

為做好重大活動安全保障，提升系統安全風險防范能力，浙江移動在集團公司的指導下，開展容器云安全試點，包括容器資產檢測、容器鏡像安全、容器邊界安全管控、容器安全威脅監測等方面，經過多次技術交流和產品POC測試，選擇了青藤蜂巢·云原生安全平臺。

徐良表示，在國內安全市場上做容器安全的供應商數量相對較少，而青藤云安全在這方面做得是比較優秀的。讓徐良印象頗深的是，“青藤云安全是一家偏技術型的公司，他們的創始人、合作人都很關注技術層面的問題，經常以實際案例和實際需求來溝通，非常關注產品的改進提升，而且行動很迅速。”

｜讓心里有底的積極防御｜

“青藤蜂巢·云原生安全平臺的效果非常明顯。”徐良告訴記者，首先它有效提升了開源組件資產的識別和漏洞檢測能力，通過系統層信息采集和分析，能夠快速地完成資產和漏洞的核查，很好地解決了網絡掃描器資產探測不全、誤報漏報及耗時長的問題，效果非常明顯。

第二是青藤蜂巢·云原生安全平臺的威脅監測能力非常實用。網絡安全威脅監測產品主要基于特征識別判斷攻擊行為，但對攻擊嘗試和攻擊成功的區分能力存在不足，對0day或NDay漏洞的攻擊行為無法及時有效監測。而青藤聚焦在系統層的威脅監測，關注系統層的入侵行為及影響，較網絡層威脅監測具有更高的準確性和有效性。

“青藤云安全提供的web后門、提權、反彈監測分析能力，對防守方來說非常重要。” 徐良強調，沒有攻不破的系統，關鍵是在系統被攻破后能快速發現、快速處置。

談到對青藤云安全的評價，徐良總結了三點：第一是創新性很強，它找準了云原生安全的方向做技術研發和創新；第二是產品研發的效率很高、迭代很快，基本上每個季度都有更新；第三是服務好，青藤云安全能通過產品+服務的形式為客戶提供支持，這是很難得的。

作為在安全領域從業近20年的資深IT人，徐良也談了一些自己對安全的理解和看法。

他強調，安全不僅僅是合規驅動，更要為業務服務，賦能業務發展，做好主動防御。因此，安全要擁抱變化，安全能力建設和安全管理要跟上新技術、新業務的發展變化。另外，安全運營不只是合規管理、靜態防護，而是要根據業務需要，建立智能、泛在、協同的積極安全防御體系，做好安全威脅檢測、防護、監測、應急處置協同。在資源投入有限的情況下，首先要做好威脅監測和應急處置。

第二，國家對網絡安全非常重視，極大地促進了安全行業的發展。作為安全能力供應商，不可能在每個領域、每樣產品上都做得很精很深，即便是大廠也是如此，因此要發揮各自的長處，形成協同機制，建立良好的行業生態很重要。（計算機世界  劉沙）