云原生安全 头豹词条报告系列

云原生安全行业分类 相较于成熟的云安全技术，云原生安全的建设仍处于起步爬坡阶段，当下的技术产品数量少，整体行业成熟 度低。目前较有代表性且完整的技术分类可以通过云原生架构的安全风险来进行分类。云原生架构下的风险大致 可分为云原生的应用安全、研发安全、管理安全、容器安全和基础设施安全。 云原生安全风险可分为云原生的应用安全、研发安全、管理安全、容器安全和基础设施安全。1.应用安全：企业应用程序的开发逐步地由传统的单体开发架构转变为Serveless和微服务架构，云原生应用的安全困难相应增加。在云原生环境中，数据漏洞、未经授权访问和拒绝服务为主要应用安全风险。2.基础设施安全：基础设施的安全可分为两类——通过网络安全和主机安全。通过网络安全DDos防护和云防火墙等手段保护云原生网络的安全；主机安全由工作负载防护和运行环境安全检测来实现对基础设施安全的管控。3. 容器生命周期安全：对于容器内核，容器的内核和宿主机共享，且容器技术本身建立在Linux Namespace和Linux Cgroups两项关键技术之上，所以Linux内核本身所产生的漏洞会导致容器逃逸。对于容器运行，攻击者可以通过恶意镜像和修改容器配置入侵容器。对于实际业务的容器部署，针对业务线会有不同的配置和部署，不合理的配置和管控会增加容器运行的风险。4. 云原生研发安全：当开源软件存在漏洞时，将对整个研发带来风险。可以通过动态等可信测试，测试研发安全。5. 管理安全：在项目规划、项目建设和项目使用阶段，确保安全措施的全覆盖。提供云安全风险评估，监测审计处置响应，全局可视化等安全管理措施。 按照云原生系统的安全风险进行分类 云原生安全分类 云原生安全的基础设施可分为4类—Cloud层、容器 层、集群层、和代码层。1.Cloud层：由运行云资源的基础设施组成。影响Cloud层的典型安全问题包括错误配置和自动攻击。攻击者会积极利用因错误或疏忽的错误配置，如未改变的默认设置或对管理控制台的弱访问保护。攻击者还可以利用自动化来扫描漏洞并迅速发起攻击。2.容器层：容器层由容器镜像组成。企业常常会忽略一些问题，如镜像安全、使用未知来源和弱权限配置。因此，保持容器定期更新可减少已知漏洞造成的不良后果。确保所使用的任何镜像是由已知的来源构建或是来自一个受信任的镜像仓库。3. 集群层：集群层由构成Worker节点和控制平台的Kubernetes组件构 成。在这一层，保护Kubernetes的工作负载是首要的任务。Kubernetes组件使用加密通信，使用TLS证书来验证彼此的身份，使用第三方身份认证程序来保护Kubernete的重要接口Kube-api-server。4.代码层：代码层（也称为应用层），可以通过限制暴露的endpoint、端口和服务来提供最高级别的安全控制和管理风险。代码层的典型安全问题包括不安全的代码、不充分的风险评估、以及第三方软件依赖项的漏洞。 按照云原生安全基础设施进行分类 云原生安全行业特征 中国云原生安全行业主要有以下显著特征：1、云原生安全行业目前处在高速发展阶段。2. 云原生安全行业 的商业模式以订阅服务和按需付费为主。3. 云原生安全行业面临严重的人才短缺问题。 [3 云原生安全行业目前处在迈向高速发展的过渡阶段 云原生安全目前处于由启动期迈向高速发展的阶段。企业的安全意识逐渐加强、云原生技术在云计算的渗透率逐渐增长、云原生安全技术和工具也在不断完善。 随着云原生技术在近年的迅猛发展，企业的安全意识逐渐增强。越来越多的企业和组织开始重视云原生的 安全问题。根据相关统计调查，2021年，超过50%的企业在使用云原生技术应用时对安全和管理产生了忧虑，较往年有明显增长。云原生安全技术和工具也在不断更新和完善。例如，Aqua Security 和 Sysdig 等 厂商推出了基于云原生的安全产品，可以在容器和微服务上实现强大的安全保障。此外，开源社区也推出了如 Falco 和 Notary 等一些云原生安全项目。随着安全意识的增加和云原生安全技术和工具的进一步完 善，云原生安全的需求将会在未来数年内保持高涨的势态。行业正处于启动的末期，正在向高速发展的阶 段迈进。 云原生安全行业的商业模式以订阅服务和按需付费为主 云原生安全的商业和盈利模式主要分为订阅服务和按需付费。在云原生安全领域，订阅服务为大多数对云计算有稳定持续需求的企业的主要付费方式。而按需付费则主要应用于云安全服务的临时或短期需求，对于不需要长期运维的客户来说更加实用。 云原生安全厂商的商业和盈利模式包括但不限于许可证收费、订阅服务、按需付费、广告收费、交易佣金、和增值服务。其中，市面上的云原生安全产品主要采用订阅服务和按需付费的商业模式作为主要收入 来源。按需付费指用户需要在使用云安全服务时支付相应的费用，费用分配使用的时间、资源等来计算。 按需付费的优势在于用户可以更灵活地使用云计算服务，根据实际需要自由选择和控制成本，同时快速响 应业务的需求。订阅服务则是指用户以包月或包年的方式预先支付一定费用，然后可以在一定的时间范围内使用云原生安全服务，可以不限次数地使用。订阅服务的优势在于企业可以更好地控制成本，同时享受 订阅服务的专属技术和额外优惠等。以阿里云的云安全产品为例，其提供了丰富的安全产品和服务，包括 网页防篡改、威胁分析、容器镜像安全扫描、云蜜罐、安全大屏等多种安全产品。用户既可按需求付费，例如恶意文件检测SDK的价格为0.001元/次，网页防篡改的价格为980元/台/月；也可以使用按月购买的订 阅支付方式。根据相关机构的统计，在云原生安全领域，目前相比于按需付费，订阅服务的使用占比更大，达到60%。 云原生安全行业面临严重的人才短缺问题 云原生安全行业面临着人才短缺的形势。主要原因为云原生安全的技术能力要求高和工作环境压力大所导致。 云原生安全行业目前存在着人才短缺的现状。中国云原生安全领域的专业人士数量仅为5,000人左右并高度集中在大型互联网公司，导致中小型安全企业在优秀人才招聘上面临重重困难。主要原因为：1.云原生行 业的人才技能的要求高：云原生安全涉及多个领域，需要掌握网络安全、容器安全、应用程序安全、数据安全等多个方面的知识和技能。因此，云原生安全人才的培养需要更长时间的学习和实践。2.工作压力过 大：云原生安全人员需要对云原生环境进行不间断的监控和管理，需要随时响应各种安全事件和威胁，需 要承受很大的工作压力。根据相关数据统计，42%的网络安全从业者们表示他们所在的团队缺乏必要的技术能力来应对其所面对的安全威胁。而超过三分之一的人则表示他们的团队无法在庞大的工作量下以正常 工作状态应对大规模安全事件。 启动期 1. 2017年，Equifax公司的数据泄露事件，由于安全漏洞，黑客入侵该云环境，窃取了超过1亿用户 的个人信息。 2. 2017年，著名开源软件Kubernetes出现了多个漏洞，其中包括通过API服务器可以未授权地读写 集群数据的漏洞，以及通过容器逃逸攻击可以获取集群权限的漏洞。这些漏洞给云原生安全行业带来 了挑战，同时也促使业界对安全问题更加关注。 3. 2018年，Serverless框架的一系列漏洞被曝光，这些漏洞可以让黑客执行未经授权的代码和命 令，以及窃取敏感信息。 Docker和Kubernetes技术发布之后，云原生行业进入了高速发展的状态。但发展速度迅猛的同时也 导致了一些安全隐患的出现，凸显了云原生在高速发展时注重云原生安全的重要性。例如，Equifax公司在2017年的数据泄露事件导致一亿用户的个人信息被泄露，该公司在亚马逊AWS的云环境中存 储了大量的用户数据，其中包括社会安全号码、姓名、地址等敏感信息，这一事件暴露了云安全的重要性和脆弱性。云原生安全行业正式进入启动期。 高速发展期 2019~2023 1.DotCloud宣布Docker容器技术正式结束容器镜像的Docker Hub自由服务，标志云原生安全进入 整顿阶段。 2.2019年11月，亚马逊宣布推出Amazon EKS Anywhere，这是一款部署在本地数据中心的 Kubernetes服务，可以帮助企业实现混合云和多云部署。这一举措进一步推动了Kubernetes和云原生技术在企业中的普及。 3. 2020年4月，SolarWinds公司的软件遭到黑客攻击，导致包括美国政府在内的众多机构和企业的数据被泄露。这次事件让人们重新关注了安全性和可信性，也促进了安全技术和解决方案的发展。 4. 2020年7月，VMware宣布以7.5亿美元的价格收购云原生安全厂商Octarine，这一收购被认为是 VMware扩大其云原生和安全业务的重要一步。 5. 2021年7月，Docker宣布将其Docker Hub的基础设施迁移到亚马逊Web Services（AWS）上， 这一举措旨在提高Docker Hub的性能和安全性，并为企业提供更高效和可靠的云原生解决方案。 随着云原生技术的应用范围进一步扩大，更多的企业开始将应用迁移在云原生环境中。亚马逊在 2019年宣布推出Amazon EKS Anywhere，帮助企业实现云原生在混合云和多云的部署。这一举动进一步推动了Kubernetes和云原生技术在企业中的普及。应对云原生安全隐患的措施也进一步在各 类大型企业中落实。DotCloud宣布Docker容器技术正式结束容器镜像的Docker Hub自由服务，以避免用户被Docker Hub中暗藏超过1,600个恶意镜像所劫持。大型虚拟PC供应商VMware宣布以7.5 亿美元收购云原生安全厂商Octarine，被认为是VMware扩大云原生和安全方面业务重要的一步。随着云原生技术的一步步普及，云原生安全行业也开始进入高速发展期，行业市场规模年增速未来数年 将以30%的速度增长，越来越多的厂商将会使用云原生安全技术为其云原生应用保驾护航，云原生安全的发展前景广阔。 产业链上游说明 云原生安全行业产业链的上游由硬件设备、云计算基础设施、操作系统、和云安全底层技术构成。云 原生安全的硬件设备主要涉及服务器、存储设备、网络设备等。云原生安全的计算基础设施主要由云计算平台和云服务提供商构成。云原生安全上游的操作系统供给主要包含Linux系统和容器管理平台 系统。云原生安全架构所需要的底层技术则包括：1.容器安全技术。以容器镜像扫描、运行监控、API认证等为代表。2. 服务网格安全技术。以Istio服务网格安全技术为例，提供了包含TLS加密、授 权认证、请求路由和策略控制等完整的服务网格安全机制。3. 零信任安全。通过对所有请求进行认证和授权，不依赖任何固定边界和信任机制，来实现对云原生应用程序安全性的保障。4.无服务器安 全。无服务器技术是云原生应用的一种新型部署方式，无服务器安全技术可以检测Serverless应用中的安全风险，例如权限管理和代码漏洞。从云原生安全上游的市场集中度角度分析，市场集中度较 高。1.中国云计算市场的市场份额前三名分别为阿里云、腾讯云、和华为云，三家的市场份额分别为 47.5%，15.1%，和11.7%，总计为74.3%，占据了市场绝大部分份额。2.中国数据中心市场份额的前三名为中国电信、中国联通、和中国移动。三者市场份额占比总计达到了62.3%，占据了中国市场 绝对部分的份额。3.中国服务器供应商的市场集中度偏高，其中联想、浪潮、和华为的市场份额总计为56.4%。4. 操作系统方面，英特尔和amd在中国的市场份额超过90%。5.中国网络设备2021年的 CR5市场份额超过95%。主要参与者为华为、新华三、星网锐捷、迈普技术、和思科。其中华为在网络设备的市场份额达到41.7%。综上所述，从各层面来切分，云原生安全行业的上游总体集中度高， 对中游的价格议价能力强。从上游的供给侧分析，云原生安全较云原生行业增长存在滞后性