云原生安全构筑企业云战略基石 中国云原生安全市场现状与趋势白皮书 开始 火山引擎委托FORRESTER撰写的市场洞察研究报告2023年7月 云原生安全构筑企业云战略基石2 云原生安全成为企业全面实施云战略的保障 随着云计算成为千行百业数字化转型的核心驱动力,企业上云的步伐不断加速,云上开发已成为企业构筑数字化业务的首选。为了更加充分地利用云计算弹性、敏捷、资源池和服务化等特性,并解决应用开发及运行全生命周期面临的挑战,以云上开发为核心,以容器、服务网格、微服务、不可变基础设施以及声明式API为代表的云原生技术得到了广泛采用。云原生在改变了企业上云及构建新一代基础设施的同时,作为一项新兴技术也带来了一系列新的问题,对企业原有的信息安全防护模式提�了新的挑战。 企业安全专业团队的任务不仅需要加强和健全安全基础设施,还必须帮助企业实现关键业务目标,如改善客户和员工的体验。将云原生安全整合到现有的企业信息安全战略中,不仅仅是增加一些控制点或扩充安全技术栈,还需要对组织资源和业务需求进行评估,为云上开发之旅制定现代的网络与信息安全方法,从而更好地保障企业数字化转型和业务的持续创新。 关键发现 云原生技术发展的同时带来了一系列全新的安全挑战与冲击。77%的企业信息安全与风险管理决策者发现在云原生时代需要面对层 �不穷的新威胁,比以前更加具有挑战性。 云原生技术生态仍在不断发展过程中。且由于云原生技术和架构的特性,在保障云原生应用、平台及基础设施安全的过程中,安全团队面临着前所未有的技术复杂性、企业内部组织及文化等层面带来的多重挑战。 保障云原生安全的紧迫性日渐提升,企业需要评估安全需求及现状,参考并借鉴现代化的信息安全架构,例如零信任架构,并借助合作伙伴的能力和经验构建云原生安全体系,为企业云战略的实施保驾护航。 摘要 摘要 趋势 挑战 机会 建议 结论 火山引擎委托FORRESTER撰写的市场洞察研究报告2023年7月 从云优先到云原生优先的战略转变 云原生安全构筑企业云战略基石3 云平台 云原生技术的应用引发从“云优先”到“云原生优先”的范式转变 云原生技术使得云计算进入新的发展周期,以现代型基础设施架构、分布式云应用负载以及平台化创新为代表的第三代云原生技术推动了企业云战略由“云优先”到“云原生”优先的范式转变。 根据Forrester预测,2023年全球超过40%的企业将会采用云原生优先战略1。云原生是构建适应未来的现代企业的核心引擎,对企业的自适应性、创造性和韧性都具有战略意义:云原生使得企业架构师和平台团队能够在多云、混合云以及云边协作的模式中实现关键基础设施自动化及现代化,以便应用开发人员能够与业务更紧密地结合。云原生可以帮助企业在包括公有云、私有云和边缘节点在内的分布式环境内部署与支撑各类应用负载,而且可以在实现应用快速迭代的同时确保应用在异构环境下的可迁移性。Kubernetes正在重塑IT基础设施,云原生平台集成并使能各种新兴技术,加速企业数字应用创新步伐。随着传统的流程驱动、手动方式的基础设施运营被基础设施即代码(IaC) 、站点可靠性工程(SRE)和自动化(RPA)取代,DevOps进一步提升了企业应用开发的灵活性及敏捷性。 应用架构 弹性 基础架构 可管理性 部署架构 可观测性 分布式 单体式 微服务化 服务化 组件化 孤立云环境多云|混合云|云边协同 虚拟化容器化 云实践 基础设施运维 基于虚机流程驱动手工方式IaC,SRE,自动化 开发过程 瀑布式敏捷DevOps 开发领域 传统、核心领域新兴、拓展领域 火山引擎委托FORRESTER撰写的市场洞察研究报告2023年7月 资料来源:ForresterConsulting 趋势 摘要 趋势 挑战 机会 建议 结论 趋势 云原生技术的发展为企业带来了新的风险挑战 (只显示“比较认同”及“完全认同”) 77% 在云原生时代面对传统攻击手段的同时需要面对层�不穷的新攻击 71% 多云环境下安全管理和风险控制上的人力及资源等成本会更高 67% 维护混合云及多云环境的安全性比以往任何时候都更具挑战性 53% 安全团队经常需要在业务部门已经部署了基于云的服务之后再去补充安全组件 样本量:163名中国企业IT安全团队,CISO部门以及基础架构团队的负责人数据来源:2023年4月火山引擎委托ForresterConsulting进行的调研 摘要 趋势 挑战 机会 建议 结论 云原生安全构筑企业云战略基石4 云原生技术发展的同时也带来了新的安全挑战 容器、服务网格、微服务、不可变基础设施及声明式API这些云原生技术的发展在推进应用上云和云上开发实践的同时也带来了新的安全问题,不仅包括面向云原生基础设施的传统安全威胁,也包括针对云原生技术特征的挑战: 云原生环境面临的传统安全威胁。企业越来越多地构建云原生混合、分布式架构,实践云原生应用开发。在这个趋势下,不仅是更多技术栈所带来的威胁面增加,而且针对云原生基础设施和平台的攻击手段和路径也在不断进化。 云原生技术带来的新原生安全问题。微服务、容器运行时的短生命周期、持续集成和持续交付(CI/CD)全流程监控缺失、镜像及供应链的复杂性等成为新的安全挑战。不仅如此,云原生技术的快速迭代和部署频率更高,给安全团队带来了诸多困惑。 调研发现,超过七成的受访者认为面对传统的攻击手段的同时需要应对各种层�不穷的新的安全挑战。面对这些新的领域不仅需要保障基础设施的安全,更加需要根据云原生技术的特征强化相应的安全机制。 火山引擎委托FORRESTER撰写的市场洞察研究报告2023年7月 趋势 过去一年中企业经历的云原生相关安全风险及事件 (只显示Top8) 容器运行时(Runtime)安全 58% 容器漏洞 53% 容器环境网络威胁 44% 容器内木马、驻留后门 41% 镜像安全风险 40% 容器逃逸 33% 云资源盗用 32% 容器隔离风险 25% 样本量:163名中国企业IT安全团队,CISO部门以及基础架构团队的负责人数据来源:2023年4月火山引擎委托ForresterConsulting进行的调研 摘要 趋势 挑战 机会 建议 结论 云原生安全构筑企业云战略基石5 层�不穷的云原生相关安全事件 云原生系统的攻击手段越来越多样,然而当前云原生系统普遍欠缺系统化的安全防护手段。调研中发现,半数以上受访者的企业在过去一年中至少经历过一次云原生相关安全事件。 相对于过去,针对云原生系统的攻击涵盖云原生应用、容器、镜像、编排系统平台以及基础设施。58%的受访者表明他们的企业在过去12个月中经历了针对容器运行时(runtime)安全事件,例如异常进程、执行恶意程序、数据转移及高危系统调用等。53%的企业反馈发现了包括第三方组件漏洞、代码安全漏洞等造成的容器相关漏洞。44%企业遭受到了容器环境网络威胁,例如地址解析协议(ARP)欺骗,域名系统 (DNS)劫持等。 此外,云原生架构允许应用程序在不同的云平台上部署和迁移,但不同的云平台可能有不同的安全性能和配置要求。如果在跨云平台迁移时未正确配置和保护数据,可能导致数据在迁移过程中被泄露或篡改。在安全领域的攻防不对等的情况,云原生架构相较于其它架构更需要企业关注。 火山引擎委托FORRESTER撰写的市场洞察研究报告2023年7月 云原生安全防护主体及管理模式的演进 云原生安全构筑企业云战略基石6 云原生安全管理的变革 云原生技术生态涵盖基础设施到DevOps开发多个维度,势必要打破原有的信息安全视角。在应对不断�现的针对云原生基础设施、平台及容器的安全威胁过程中,原有的安全体系亟待变革: 防护对象的变化。安全管理的边界扩展到了容器层面,需要采用新的安全策略和工具来保护容器的安全性,如容器镜像的验证和加密、容器漏洞扫描和运行时监测等。 架构的变化。多云及混合云下的应用架构及工作负载更加复杂,需要采用分布式安全策略和技术,如服务间的身份验证和授权、服务网格的加密通信、微服务的监测和异常检测等。 管理模式的变化。云原生应用的快速迭代和部署频率也对安全治理模式提�了新的要求。传统的安全治理模式通常是基于静态的规则和策略,针对云原生DevOps安全治理需要采用持续安全集成和交付的实践,结合自动化的安全测试、漏洞扫描和合规性检查等工具,以确保安全策略和控制的持续有效性。 防护对象 工作负载 IP、虚机 容器 物理边界 安全架构 分布式 中心式 多云、混合云 单体式 持续集成及交付 定期更新 动态策略 静态规则 管理模式 趋势 摘要 趋势 挑战 机会 建议 结论 资料来源:ForresterConsulting 火山引擎委托FORRESTER撰写的市场洞察研究报告2023年7月 趋势 企业部署容器安全技术工具及产品现状 33% 计划在未来12个月内引入 28% 计划扩展部署或升级 27% 已经部署并保护持现状 在已经采用云原生技术的企业中,超过半数(55%)已经部署容器 安全技术组件或产品。 样本量:163名中国企业IT安全团队,CISO部门以及基础架构团队的负责人数据来源:2023年4月火山引擎委托ForresterConsulting进行的调研 摘要 趋势 挑战 机会 建议 结论 云原生安全构筑企业云战略基石7 企业逐渐开始重视并部署云原生安全解决方案 超过六成(67%)的受访者声称企业具有明确的、定期更新的云安全战略。然而,云原生技术的发展突破了云安全原有的范畴,云原生安全将取代传统的云安全。通过此次调研发现,企业反馈原有的云安全战略以及传统的云安全技术组件已经不能满足云原生时代的要求。 针对日益突�的安全风险,云原生计算基金会(CNCF)、云安全联盟 (CSA)等开源组织以及行业联盟等纷纷提�云原生安全标准及参考技术规范。同时,主要经济体国家标准也在制订和完善过程中,使得行业逐步走向规范,推动了产品和解决方案逐步走向成熟。在此趋势下,企业已经关注并开始尝试及引入安全技术组件。 超过半数(55%)的受访者表示企业部署容器安全技术组件保障容器镜像及运行时安全。企业重视并部署云原生安全解决方案是�于对数据和系统安全的日益关注和对云原生环境中的安全挑战的认识。然而,从全生命周期视角来看,针对云原生系统的安防防护仍然存在诸多盲区和薄弱环节。 火山引擎委托FORRESTER撰写的市场洞察研究报告2023年7月 云原生安全构筑企业云战略基石 构建云原生安全面临诸多技术层面的挑战 8 作为新兴的技术生态,云原生给企业原有的应用开发模式带来了变革,同时也给企业安全团队带来了种种技术层面的挑战: 安全技术及工具。传统的安全技术和工具无法满足云原生环境的需求:74%的受访者认为企业目前缺乏成熟的一体化解决方案以覆盖所有的云应用数据及工作负载。 复杂性和动态性。云原生环境的复杂性和动态性使得安全管理变得更加复杂。73%的受访者反馈,为了保障云原生系统安全既需要整合企业现有的安全组件和产品,同时需要应对大规模的容器化部署、微服务架构和多云环境等挑战。 可见性及洞察力。由于以工作负载为代表的资产更加多样化和复杂化,69%的受访者认为提升云原生环境可见性及洞察力也是安全团队需要持续解决的问题。 企业在构建云原生安全体系过程中主要面临的技术层面的挑战(只显示Top3) 74% 缺乏成熟的一体化 73% 69% 缺乏对云原生环境安 云原生安全解决方案难以在多云环境中 整合并集成云原生安全控制措施 全的可见性和洞察力 火山引擎委托FORRESTER撰写的市场洞察研究报告2023年7月 样本量:163名中国企业IT安全团队,CISO部门以及基础架构团队的负责人数据来源:2023年4月火山引擎委托ForresterConsulting进行的调研 挑战 摘要 趋势 挑战 机会 建议 结论 挑战 企业在构建云原生安全体系过程中面临的来自组织及文化层面的挑战