2023中国云原生安全调查报告_信通院

2023中国云原生安全调查报告 中国信通院研究员仇保琪 2023年12月1日 目录 1 2 3 云计算全面进入云原生时代云原生安全威胁显现 2023中国云原生安全调查问卷解读 云原生过去10年发展概论 过去十年，云原生发展在经历短暂的萌芽期和发展期后迅速进入爆发期。云原生技术全线爆发，对传统技术栈产生颠覆性变化，重塑了企业的技术架构、软件架构、设计理念、组织结构，实现了云计算技术的换代升级。云原生作为数字基础设施，本身的技术变革已经趋于稳定，但基于云原生技术底座的更大一波技术创新、应用创新、模式创新即将到来。 颠覆期 云原生技术爆炸，对传统技术栈产生颠覆性变化技术架构、软件架构、设计理念、组织结构重塑 稳定期 云原生基础设施成为共识 萌芽期：一种范式 2013年，Pivotal的工程师MattStine在推特推广云原生理念，它是一个思想的集合，包括DevOps、持续交付、微服务、敏捷基础设施、康威定律等， 以及根据商业能力对公司进行重组。 发展期：底层核心技术成熟 2015年 容器及容器镜像的发展在一致性部署方面带来颠 覆性体验，云原生技术开始广受关注。 2017年 Kubernetes击败众多容器编排项目，容器及其 编排技术的统一，为上层技术生态的繁荣奠定了基础。 爆发期：上层技术生态的爆炸性发展 特点：基于云的软件架构和管理理念 特点：以容器、K8S为中心的交付技术 2013-2014 2015-2017 特点：面向应用,更高级的抽象，更丰富的场景; 2018-2022年 年，微服务成为主流，治理相关技术快速发展。 Serv2ic0e18M年esh取得广泛共识，Istio开启服务网格元 Serv2e0rl1e9s年s爆发，函数计算、Serverless服务形态显著增多。 2020年 边缘计算需求攀升，云原生集群部署扩展至边缘，云 边协同相关技术快速发展；云原生安全技术兴起。 2021年 稳定性成为热点，业务系统复杂性提升带来稳定运行 风险，加速可观测性、混沌工程、全链路压测等技术突破。 2022年 分布式云、云原生中间件、云原生数据服务……. 云原生技术的创新赋能作用凸显技术融合、能力聚合、行业结合 2023-? 云原生+AI 云原生+5G 云原生+大数据 云原生+行业 ….. 未来企业都将是软件企业未来的应用都将是云原生应用 云原生技术核心价值获得高度认可 云原生经过多年发展，核心技术已趋于成熟，产业生态趋于完善。云原生颠覆了传统用云方式，驱动传统应用充分享受云原生化红利，全面激发全行业高速高质量的发展活力。 云原生革新云上应用构建模式 云原生采纳程度持续加深 成为广泛认可的价值高地 云原生应用优势明显 云原生价值在业内认可度高 传统应用 扩展性 云原生应用 差，单体结构，优，松耦合高内聚，方功能固定便扩展 开放架构方便现有系统功能拓展48% 简化运维系统66% 提升交付效率67% 提升弹性伸缩效率77% 提升资源利用率以节约成本91% 发布更新可能需要停机 弹性 差，手动扩容 持续集成/交付，无损发布 优，按需按量弹性伸缩，应对流量洪峰 来源：中国云原生用户调查 可运维性差，人肉运维优，流程与工具自动化 云原生市场采纳率持续攀升 可用性 低，存在单点故障 高，单机故障不影响服务 可观测性 差，几乎等于黑盒观测 优，提供系统级、组件级、应用级的观测 交付速度 慢，瀑布式开发 快，开发、迭代周期短 已实现高质量规模化落地 重点行业积极推进云原生化转型 金融 生产业务容器数近6.9w个，整体容器数突破28w个，关键应用入云率达100%（截止2022.4） 容器平台已运行超 应用容器化率超80%，云平台支撑个人掌银日均交易量超10亿笔（截止2023.1） 10w个应用（截止 2023.2） 磐基PaaS平台K8S集群近千个，业务实例数超30w个（截止2023..4） 电信 cBSS系统容器规模超30w，核心业务100%集中（截止2023..1） 云原生早已实现从民用到高精尖领域的突破 中国：2021年12月，搭载“天算星座”计算平台的试验卫星在轨稳定运行，云原生云边一体方案首次在太空验证，计算精度提升超50％，卫星回传数据量减少90％。 美国：在《美国陆军云计划2020》中提出了包括“云原生设计原则”在内的三条推动陆军数字化转型的基本原则。 云原生技术普及应用加深企业上云安全顾虑 云原生架构中涌现一系列新技术，包括容器编排、微服务架构、声明式API、基础设施即代码、持续交付/持续集成等。技术的安全风险包含新技术基础架构自身的安全风险，以及上层应用云原生化改造后新增和扩大的安全风险。 云原生安全需求凸显 •据技术Sy的nk引最入新提的升云了原平生台安的全安报全告风显险示；，约有60%的受访企业表明云原生 •有全被99视%为的成受功访构企建业按表平明台安的全关性键对因云素原。生安全策略至关重要，云原生安 云原生安全关注度 数据来源：Synk报告-https://snyk.io/reports/state-of-cloud-native-application-security/ 新技术带来全新安全隐患 •云原生代表了一系列新技术，包括容器编排、微服务架构、不可变基础设施、声明式API、基础设施即代码、持续交付/持续集成、DevOps等，且各类技术间紧密关联。 •技术挑战 云原生引入了大量基础设施新技术，导致安全 工作者理解难度增加，云越来越像个黑盒，过去的安全工作多数只是围着核心业务外围转 •组织挑战 安全建设和云基础设施关系紧密，导致安全职 责需要重新考虑，安全组织和信息化其他组织的关系无法简单定义为谁主管、谁建设、谁负责 云原生安全快速发展成为极具潜力的新赛道 目录 2023中国云原生安全调查问卷解读 调查方法及样本 2023中国云原生安全用户调查由中国信息通信研究院联合各方单位于2023年9月发起。 调查对象：1.计划使用云原生安全的企业或个人；2.已使用云原生安全的企业或个人；3.云服务商、云安全服务商、云原生安全服务商等调查方法：在线问卷征集方式，共收集到约648份答卷。 图1调查用户的行业分布 图2调查用户所在企业的规模 参与调查用户所在行业：包括互联网和信息服务、 金融、制造、政府、电信、能源、医疗等行业。 参加调查用户所在企业的规模：500人以上企业 占35.71%。 受访者在公司中主要担任以下角色：产品/运营 人员人员、市场人员、技术或非技术领导等。 图3受访者在公司担任的角色 云原生应用及技术建设现状 图5容器技术采纳情况 加大云原生技术投入成为企业重点战略之一 图4云原生占云总体支出比例 心转向云原生，近三成用户云原生支出占云总体支出超50%。 今年的调查数据显示，已有相当一部分用户正将云建设的中 容器在生产环境中的采纳率逐年攀升，用户认可度增强。 2.18%）。 50.71%的用户已将容器技术用于核心生产环境（同比上升 云原生安全应用现状 云原生安全应用需求明确，驱动企业纷纷开展云原生安全建设 图6用户采用云原生技术时存在的顾虑图7云原生技术工具和相关产品的计划建设情况 虑仍旧存在并且有扩大趋势。从调查数据来看，81.91%的用户对 性和连续性是用户选择云原生技术的主要顾虑，今年来看这种顾 去年的数据显示，用户云原生技术大规模应用下的安全性、可靠 存顾虑（同比上升10.17%）。 云原生技术在大规模应用时的安全性、可靠性、性能、连续性心 随着云原生技术的深化应用，其技术架构和应用模式的持续变革 点。据调查数据显示，近9成企业已经开展或计划开展云原生安全 也引发了新的安全风险和挑战，云原生安全逐步成为用户关注焦 建设。 云原生安全应用现状 研发运维共同参与仍是云原生安全能力建设的主要方式 技术门槛高和人力成本高是企业云原生建设面临的主要挑战 图8云原生安全能力建设的主要部门图9云原生安全建设过程中遭遇的挑战 现阶段，由于云原生安全依然是新兴的交叉技术领域，需要云原 生技术与安全的跨界融合，所以研发与运维共同参与以解决云原 生架构下的安全风险依旧是主要方式。在本次调研中，41.27%的 用户由运维部门与开发部门同时承担云原生安全的运维工作 技术门槛高和人力成本高是企业云原生建设面临的主要挑战。据 调查数据显示，54.57%的用户表示云原生技术门槛相对较高， 认为云原生安全建设缺乏整体的安全解决方案。 48.28%的用户认为云原生安全建设人力成本高，45.64%的用户 云原生安全能力建设现状 云原生攻击手段多样化，企业愈发重视云原生安全能力建设 图102023年用户遭遇的云原生安全事件类型图11企业云原生环境下已具备的安全能力图12企业关注的云原生安全能力 随着企业上云用云进程的深入，针对云原生环境的攻 击手段也层出不穷，调查数据显示过去一年，用户遭 遇了多种类型的云原生安全事件。其中，针对微服务 应用的攻击占比较大，占比高达35.09%。 与去年调查结果对比可以看出，过去一年用户大幅提升 了云原生安全各个方面的能力建设。2023年仅有2.78% 的用户不具备云原生安全能力（同比下降2.37%），用 户已逐步建立更加全面的云原生安全能力。 与去年调查结果一致，今年依然有超过六成的用户关心 容器运行时安全，除此之外，今年用户对于安全运营的 关注度大幅提升，对暴露面管理也十分关心。安全运营 的占比首次超过三成。同时，用户对于整体云原生安全 的暴露面管理也更加关注，此类用户占比23.8%。 云原生安全工具使用现状 云原生安全工具使用率显著提升 图13CI/CD流程安全工具使用情况 图14网络访问控制产品使用情况 图152023年云原生应用防护工具使用 CI/CD流程中引入多种自动化安全测试工具成为云原 生时代的重要趋势。多种组件融合使用趋势使得软件 更难被保护，同时内部和外部交互比以往任何时候都 多，增加了安全复杂性。用户需要更加自动化和智能 的工具以更早地识别和理解问题，并更快地修复问题。 容器级别的网络控制仍是企业主流的网络安全访问控制 Calico等组件做容器级别的网络访问控制，使用宿主机 措施。在云原生网络安全方面，73.99%的用户通过 的用户使用服务网格进行访问控制。 之间的ACL网络访问控制占比66.03%，同时有46.41% 用户应用防护使用率明显增高，使用的工具类型也更加 云原生应用安全工具使用率显著提高。与去年数据相比， 多样化。2023年，仅有2.01%的用户暂未使用云原生应 用防护工具（同比下降22.99%）。 云原生安全应用现状 图17用户建设云原生安全各个阶段的倾向（左为2022，右为2023） 安全工具数量激增，一体化的云原生安全应用保护平台在未来有望成为主流 图16用户使用的云原生安全工具数量统计 现阶段用户愈发重视云原生安全工具的建设，这种趋势导致单点 表示在实际生产环境中使用5个及以上的云原生安全工具。 云原生安全工具使用量激增。据调查数据显示，超过70%的用户 一体化的云原生安全应用保护平台在未来有望成为主流。据调查数据显示， 5.24%），仅有17.58%的用户表示希望在各个阶段分别使用独立的安全工具。 2023年，82.42%的用户倾向于使用一体化的云原生应用保护平台（同比提高 云原生安全关键能力剖析：容器安全 容器配置风险方面，容器敏感挂载成为用户最关注的风险 容器安全方面，恶意访问、恶意命令执行仍是用户最关心的容器安全问题 图18用户最关心的容器配置风险图19用户最关心的容器安全问题 特权容器启动、容器敏感挂载、Kubernetes未授权访问成为用 占比59.3%，特权容器启动紧随其后占比58.28%，用户对k8s未 户重点关注的容器配置风险。容器配置风险方面，容器敏感挂载 授权访问的