云原生安全實(shí)驗(yàn)室（Cloud Native Security Laboratory，簡(jiǎn)稱CNSL）由中國(guó)信通院牽頭組建，實(shí)驗(yàn)室旨在搭建行業(yè)溝通與合作促進(jìn)平臺(tái)，匯聚產(chǎn)學(xué)研用多方力量合力推動(dòng)云原生安全生態(tài)建設(shè)，加速技術(shù)普惠化，解決企業(yè)云原生化轉(zhuǎn)型的安全顧慮，為新形態(tài)下的國(guó)家信息安全戰(zhàn)略保駕護(hù)航。

在企業(yè)數(shù)字化轉(zhuǎn)型過(guò)程中，應(yīng)用云原生技術(shù)已經(jīng)成為重要途徑，云原生規(guī)模化應(yīng)用下的安全問(wèn)題逐漸凸顯，云原生對(duì)傳統(tǒng)信息技術(shù)架構(gòu)的顛覆性改造引入了全新的安全風(fēng)險(xiǎn)。據(jù)中國(guó)信息通信研究院發(fā)布《中國(guó)云原生用戶調(diào)查報(bào)告（2021年）》數(shù)據(jù)顯示，安全性是企業(yè)云原生化轉(zhuǎn)型的最大顧慮。

以“容器+業(yè)務(wù)”視角構(gòu)建云原生安全防護(hù)體系

基于“容器+業(yè)務(wù)”的安全防護(hù)實(shí)踐，亞信安全的云原生安全部件全部支持容器化運(yùn)行，并從安全數(shù)據(jù)、安全能力、安全場(chǎng)景、安全管理與運(yùn)營(yíng)多個(gè)維度出發(fā)，為企業(yè)用戶的部署應(yīng)用和日常運(yùn)維提供了保障。在具體的容器安全場(chǎng)景中，該方案更覆蓋了事前安全防范、事中威脅檢查、事后調(diào)查響應(yīng)，最終形成主動(dòng)防御。

●事前安全防范

可讓用戶全面掌握容器環(huán)境下的資產(chǎn)信息，支持各種資產(chǎn)類型，包括主機(jī)、容器、應(yīng)用、倉(cāng)庫(kù)鏡像、已部署鏡像、k8s pod 、 k8s service等，以及Docker Registry、Harbor、華為云SWR等主流的鏡像倉(cāng)庫(kù)，自動(dòng)、持續(xù)上報(bào)資產(chǎn)信息，消除資產(chǎn)盲點(diǎn)，及時(shí)掌握容器資產(chǎn)變化，為安全管理提供最新的資產(chǎn)數(shù)據(jù)支持。

圖：事前實(shí)現(xiàn)細(xì)粒度的微隔離安全

其次，提供了覆蓋DevOps全生命周期的鏡像漏洞安全管理和安全配置檢測(cè) ，并自動(dòng)檢測(cè)Web應(yīng)用安全配置、鏡像安全配置、平臺(tái)環(huán)境安全配置、微隔離安全，實(shí)時(shí)阻斷不符合安全標(biāo)準(zhǔn)鏡像的生產(chǎn)流通，確保容器自身安全，并實(shí)現(xiàn)容器引擎的“零信任”防護(hù)。

●事中威脅檢查

采用數(shù)據(jù)驅(qū)動(dòng)安全的創(chuàng)新技術(shù)路線，是國(guó)內(nèi)首家將智能數(shù)據(jù)分析與云原生特性相結(jié)合的安全廠商。通過(guò)建立容器行為基線，可識(shí)別從已知威脅到未知威脅，從已知攻擊方式到未知攻擊方式的全類型風(fēng)險(xiǎn)，讓安全不留死角。

圖：事后快速定位攻擊的影響范圍

●事后調(diào)查響應(yīng)

通過(guò)各個(gè)功能之間進(jìn)行聯(lián)動(dòng)，建立采集、檢測(cè)、監(jiān)測(cè)、防御、捕獲一體化的安全閉環(huán)管理系統(tǒng)，快速定位攻擊的影響范圍，協(xié)助用戶及時(shí)定位已經(jīng)失陷的容器和主機(jī) ，避免內(nèi)部大面積主機(jī)安全事件的發(fā)生。

此次入選云原生安全實(shí)驗(yàn)室成員單位，是對(duì)亞信安全在云原生安全關(guān)鍵技術(shù)研究、標(biāo)準(zhǔn)評(píng)測(cè)體系建設(shè)等方面的充分認(rèn)可。未來(lái)，亞信安全將針對(duì)云原生安全框架的各個(gè)層面提供不斷迭代的安全能力，并聯(lián)結(jié)產(chǎn)、學(xué)、研、用各方力量，持續(xù)為各行業(yè)云原生應(yīng)用提供全面的安全解決方案，讓云與安全相融相生。