云原生安全构筑企业云战略基石中国云原生安全市场现状与趋势白皮书开始火山引擎委托FORRESTER撰写的市场洞察研究报告 2023年7月 2保障云原生安全的紧迫性日渐提升，企业需要评估安全需求及现状，参考并借鉴现代化的信息安全架构，例如零信任架构，并借助合作伙伴的能力和经验构建云原生安全体系，为企业云战略的实施保驾护航。云原生技术生态仍在不断发展过程中。且由于云原生技术和架构的特性，在保障云原生应用、平台及基础设施安全的过程中，安全团队面临着前所未有的技术复杂性、企业内部组织及文化等层面带来的多重挑战。关键发现云原生技术发展的同时带来了一系列全新的安全挑战与冲击。77%的企业信息安全与风险管理决策者发现在云原生时代需要面对层出不穷的新威胁，比以前更加具有挑战性。云原生安全成为企业全面实施云战略的保障随着云计算成为千行百业数字化转型的核心驱动力，企业上云的步伐不断加速，云上开发已成为企业构筑数字化业务的首选。为了更加充分地利用云计算弹性、敏捷、资源池和服务化等特性，并解决应用开发及运行全生命周期面临的挑战，以云上开发为核心，以容器、服务网格、微服务、不可变基础设施以及声明式API为代表的云原生技术得到了广泛采用。云原生在改变了企业上云及构建新一代基础设施的同时，作为一项新兴技术也带来了一系列新的问题，对企业原有的信息安全防护模式提出了新的挑战。企业安全专业团队的任务不仅需要加强和健全安全基础设施，还必须帮助企业实现关键业务目标，如改善客户和员工的体验。将云原生安全整合到现有的企业信息安全战略中，不仅仅是增加一些控制点或扩充安全技术栈，还需要对组织资源和业务需求进行评估，为云上开发之旅制定现代的网络与信息安全方法，从而更好地保障企业数字化转型和业务的持续创新。云原生安全构筑企业云战略基䛲火山引擎委托FORRESTER撰写的市场洞察研究报告 2023年7月摘要趋势挑战机会建议结论摘要 3可管理性可观测性弹性云平台云实践基础设施运维开发过程开发领域基于虚机流程驱动手工方式IaC，SRE，自动化瀑布式敏捷DevOps传统、核心领域新兴、拓展领域从云优先到云原生优先的战略转变资料来源：Forrester Consulting云原生技术的应用引发从“云优先”到“云原生优先” 的范式转变云原生技术使得云计算进入新的发展周期，以现代型基础设施架构、分布式云应用负载以及平台化创新为代表的第三代云原生技术推动了企业云战略由“云优先”到“云原生”优先的范式转变。根据Forrester预测，2023年全球超过40%的企业将会采用云原生优先战略1。云原生是构建适应未来的现代企业的核心引擎，对企业的自适应性、创造性和韧性都具有战略意义：云原生使得企业架构师和平台团队能够在多云、混合云以及云边协作的模式中实现关键基础设施自动化及现代化，以便应用开发人员能够与业务更紧密地结合。云原生可以帮助企业在包括公有云、私有云和边缘节点在内的分布式环境内部署与支撑各类应用负载，而且可以在实现应用快速迭代的同时确保应用在异构环境下的可迁移性。Kubernetes正在重塑IT基础设施，云原生平台集成并使能各种新兴技术，加速企业数字应用创新步伐。随着传统的流程驱动、手动方式的基础设施运营被基础设施即代码（IaC）、站点可靠性工程（SRE）和自动化（RPA）取代，DevOps进一步提升了企业应用开发的灵活性及敏捷性。应用架构基础架构部署架构组件化服务化微服务化单体式分布式虚拟化容器化孤立云环境多云 | 混合云 | 云边协同云原生安全构筑企业云战略基䛲火山引擎委托FORRESTER撰写的市场洞察研究报告 2023年7月摘要趋势挑战机会建议结论趋势 在云原生时代面对传统攻击手段的同时需要面对层出不穷的新攻击77%多云环境下安全管理和风险控制上的人力及资源等成本会更高71%维护混合云及多云环境的安全性比以往任何时候都更具挑战性67%安全团队经常需要在业务部门已经部署了基于云的服务之后再去补充安全组件53%4云原生技术的发展为企业带来了新的风险挑战(只显示“比较认同”及“完全认同”)样本量：163名中国企业IT安全团队，CISO部门以及基础架构团队的负责人数据来源：2023年4月火山引擎委托Forrester Consulting进行的调研云原生技术发展的同时也带来了新的安全挑战容器、服务网格、微服务、不可变基础设施及声明式API这些云原生技术的发展在推进应用上云和云上开发实践的同时也带来了新的安全问题，不仅包括面向云原生基础设施的传统安全威胁，也包括针对云原生技术特征的挑战：云原生环境面临的传统安全威胁。企业越来越多地构建云原生混合、分布式架构，实践云原生应用开发。在这个趋势下，不仅是更多技术栈所带来的威胁面增加，而且针对云原生基础设施和平台的攻击手段和路径也在不断进化。云原生技术带来的新原生安全问题。微服务、容器运行时的短生命周期、持续集成和持续交付（CI/CD）全流程监控缺失、镜像及供应链的复杂性等成为新的安全挑战。不仅如此，云原生技术的快速迭代和部署频率更高，给安全团队带来了诸多困惑。调研发现，超过七成的受访者认为面对传统的攻击手段的同时需要应对各种层出不穷的新的安全挑战。面对这些新的领域不仅需要保障基础设施的安全，更加需要根据云原生技术的特征强化相应的安全机制。云原生安全构筑企业云战略基䛲火山引擎委托FORRESTER撰写的市场洞察研究报告 2023年7月摘要趋势挑战机会建议结论趋势 5过去一年中企业经历的云原生相关安全风险及事件(只显示Top 8)层出不穷的云原生相关安全事件云原生系统的攻击手段越来越多样，然而当前云原生系统普遍欠缺系统化的安全防护手段。调研中发现，半数以上受访者的企业在过去一年中至少经历过一次云原生相关安全事件。相对于过去，针对云原生系统的攻击涵盖云原生应用、容器、镜像、编排系统平台以及基础设施。58%的受访者表明他们的企业在过去12个月中经历了针对容器运行时（runtime）安全事件，例如异常进程、执行恶意程序、数据转移及高危系统调用等。53%的企业反馈发现了包括第三方组件漏洞、代码安全漏洞等造成的容器相关漏洞。44%企业遭受到了容器环境网络威胁，例如地址解析协议（ARP）欺骗，域名系统（DNS）劫持等。此外，云原生架构允许应用程序在不同的云平台上部署和迁移，但不同的云平台可能有不同的安全性能和配置要求。如果在跨云平台迁移时未正确配置和保护数据，可能导致数据在迁移过程中被泄露或篡改。在安全领域的攻防不对等的情况，云原生架构相较于其它架构更需要企业关注。容器运行时（Runtime）安全容器漏洞容器环境网络威胁容器内木马、驻留后门镜像安全风险容器逃逸云资源盗用容器隔离风险58%53%44%41%40%33%32%25%云原生安全构筑企业云战略基石火山引擎委托FORRESTER撰写的市场洞察研究报告 2023年7月摘要趋势挑战机会建议结论样本量：163名中国企业IT安全团队，CISO部门以及基础架构团队的负责人数据来源：2023年4月火山引擎委托Forrester Consulting进行的调研趋势 6云原生安全防护主体及管理模式的演进云原生安全管理的变革云原生技术生态涵盖基础设施到DevOps开发多个维度，势必要打破原有的信息安全视角。在应对不断出现的针对云原生基础设施、平台及容器的安全威胁过程中，原有的安全体系亟待变革：防护对象的变化。安全管理的边界扩展到了容器层面，需要采用新的安全策略和工具来保护容器的安全性，如容器镜像的验证和加密、容器漏洞扫描和运行时监测等。架构的变化。多云及混合云下的应用架构及工作负载更加复杂，需要采用分布式安全策略和技术，如服务间的身份验证和授权、服务网格的加密通信、微服务的监测和异常检测等。管理模式的变化。云原生应用的快速迭代和部署频率也对安全治理模式提出了新的要求。传统的安全治理模式通常是基于静态的规则和策略，针对云原生DevOps安全治理需要采用持续安全集成和交付的实践，结合自动化的安全测试、漏洞扫描和合规性检查等工具，以确保安全策略和控制的持续有效性。资料来源：Forrester Consulting防护对象IP、虚机物理边界工作负载容器安全架构中心式单体式分布式多云、混合云管理模式定期更新静态规则持续集成及交付动态策略云原生安全构筑企业云战略基石火山引擎委托FORRESTER撰写的市场洞察研究报告 2023年7月摘要趋势挑战机会建议结论趋势 在已经采用云原生技术的企业中，超过半数（55%）已经部署容器 安全技术组件或产品。计划扩展部署或升级28%已经部署并保护持现状27%计划在未来12个月内引入33%7企业部署容器安全技术工具及产品现状企业逐渐开始重视并部署云原生安全解决方案超过六成（67%）的受访者声称企业具有明确的、定期更新的云安全战略。然而，云原生技术的发展突破了云安全原有的范畴，云原生安全将取代传统的云安全。通过此次调研发现，企业反馈原有的云安全战略以及传统的云安全技术组件已经不能满足云原生时代的要求。针对日益突出的安全风险，云原生计算基金会（CNCF）、云安全联盟（CSA）等开源组织以及行业联盟等纷纷提出云原生安全标准及参考技术规范。同时，主要经济体国家标准也在制订和完善过程中，使得行业逐步走向规范，推动了产品和解决方案逐步走向成熟。在此趋势下，企业已经关注并开始尝试及引入安全技术组件。超过半数（55%）的受访者表示企业部署容器安全技术组件保障容器镜像及运行时安全。企业重视并部署云原生安全解决方案是出于对数据和系统安全的日益关注和对云原生环境中的安全挑战的认识。然而，从全生命周期视角来看，针对云原生系统的安防防护仍然存在诸多盲区和薄弱环节。样本量：163名中国企业IT安全团队，CISO部门以及基础架构团队的负责人数据来源：2023年4月火山引擎委托Forrester Consulting进行的调研云原生安全构筑企业云战略基䛲火山引擎委托FORRESTER撰写的市场洞察研究报告 2023年7月摘要趋势挑战机会建议结论趋势 8构建云原生安全面临诸多技术层面的挑战作为新兴的技术生态，云原生给企业原有的应用开发模式带来了变革，同时也给企业安全团队带来了种种技术层面的挑战：安全技术及工具。传统的安全技术和工具无法满足云原生环境的需求：74%的受访者认为企业目前缺乏成熟的一体化解决方案以覆盖所有的云应用数据及工作负载。复杂性和动态性。云原生环境的复杂性和动态性使得安全管理变得更加复杂。73%的受访者反馈，为了保障云原生系统安全既需要整合企业现有的安全组件和产品，同时需要应对大规模的容器化部署、微服务架构和多云环境等挑战。可见性及洞察力。由于以工作负载为代表的资产更加多样化和复杂化，69%的受访者认为提升云原生环境可见性及洞察力也是安全团队需要持续解决的问题。企业在构建云原生安全体系过程中主要面临的技术层面的挑战 (只显示Top 3)样本量：163名中国企业IT安全团队，CISO部门以及基础架构团队的负责人数据来源：2023年4月火山引擎委托Forrester Consulting进行的调研缺乏成熟的一体化 云原生安全解决方案难以在多云环境中整合并集成云原生安全控制措施缺乏对云原生环境安全的可见性和洞察力74%73%69%云原生安全构筑企业云战略基石火山引擎委托FORRESTER撰写的市场洞察研究报告 2023年7月摘要趋势挑战机会建议结论挑战 内部不同部门及团队间难以形成统一的认知及内部协同缺乏对云原生安全控制机制的深入理解及相应技能如何使得云服务供应商的产品价值最大化75%74%74%9企业在构建云原生安全体系过程中面临的来自组织及文化层面的挑战(只显示Top 3)构建云原生安全还面临组织及文化的挑战云原生技术带来了涵盖应用构建、基础设施构建等一系列变革，涉及到企业多个部门。因此，保障云原生应用及环境的安全，不仅涉及到跨部门的合作，还涉及到组织及文化。首先，云原生安全需要跨团队的合作，包括开发团队、运维团队和安全团队等。75%的受访者认为在跨团队合作，共同制定和实施安全策略等方面面临挑战。其次，云原生安全是