7月2日上午， 2019可信云大会在北京国际会议中心隆重开幕。2019可信云大会以“智能云网边，可信创未来”为主题，由中国信息通信研究院主办。在下午举行的云安全及风险管理论坛上，Pivotal大中华区云计算资深架构师杨海涛出席并发表了“云原生安全，让创新的能量尽情释放”为主题的演讲。

Pivotal大中华区云计算资深架构师杨海涛

今天给大家分享的主题是云原生安全，题目是让创新的能量尽情释放，为什么这么说，这个和现在企业面临的困境是直接相关的，从传统的IT角度来看，科技大大提升了创新的速度，给我们带来很多创新方法。但是同时我们所看到的网络攻击，刚才嘉宾的分享，现在云平台已经成为网络攻击最主要的目标，现在整个网络攻击越来越复杂，危害性也越来越大。

其实对于企业来讲经常面临攻击，新的科技对于企业来讲更像一个油门，一踩就尽情的往前发展，安全更像刹车，出现安全问题的时候没有办法那么快的往前推进，这给企业留下一个问题，速度和安全往往不可兼得

尤其当云计算发生到云原生的时候这个问题更凸显。云原生是什么，像微服务、容器技术、持续交付、DevOps，通过这样的技术、平台、方法论，能够让企业享受到云平台带来的各种好处，包括标准性、弹性分割的能力，在这个里面最重要的，企业最重视的就是速度，云原生带来的快速迭代创新的能力。

我们看一下现在，传统的企业安全工具，在云原生的时代面临这样一个困境，原来最传统的安全工具往往都是基于传统的IT环境设计的，有可能适用的场景和现在谈到的云原生的环境完全不一样。先从应用数据来讲，原来的应用一家企业里面几十个、上百个，有几百个应用算是比较多的，数量已经大。当我们的应用微服务用容器进行分装之后，很多企业在云平台运行几千个几万个容器已经是普遍的事情。应用的数量已经完全不是一个量级。

另外，运用部署的频率，云原生的好处是应用迭代的速度越来越快，现在很多成功实现云原生的企业应用迭代的速度可以达到几周就可以发布一个新的产品，原来发布的频率一年可能几个版本，这个环境完全不一样，对于应用部署的需求要求也不一样。

还有，平台的构架，原来传统IT环境，不管是真正传统的IT，基于服务器上面的IT，在操作上面运行一个应用，这是最传统IT的架构。但是当我们发现到了云原生时代之后，在物理机之上加上容器层，整体复杂性大大的增加，这也是一个问题。

平台的状态，现在很多把IT划分为敏态和稳态，原来的IT变化比较小，相对来讲平台比较稳定，我们把原来的IT叫做稳态，到了云原生时代之后，要求我们的应用快速迭代，创新快速迭代，这个时候需要敏态的环境，这样的环境里面整个平台在变化，应用也在变化。所以整个平台是动态变化的环境。

可以看到在原来的时候，所有传统的安全工具都是基于传统应用的环境和场景进行设计，到云原生时代的时候我们想要保证这个环境的安全，这个就是很明显的问题，不仅仅对业界从业者来讲，真正要去考虑这个问题，很认真思考这个问题更是一些企业的安全关，他们会很忧虑，最新的技术是好，但是用还是不用，如果用的话如何改造环境。

现在安全的目标也是跟原来也一样，本身安全水平的要求也在提高，除了减少业务风险之外。另外可能由于快速变化的外部环境需要安全能够快速落地，一旦企业网络被攻破，云平台被攻破，对于恶意的行为快速的检测并且快速的反映。随着各种各样的安全规范和行业内部的规范越来越多，还有各种各样合规性的需求，这些都逐渐在把安全整个水平越来越高。

说到这里就感觉现在似乎走到一个困境，在云原生时代到来之后，云平台的安全如何去保证，有什么样的方案解决这个问题。不知道大家有没有听说过一个叫做“第一性原理”，是由希腊科协家提出的，我们解决一个问题的时候，我们要回归到最原始、最本质的特点当中去。当我们解决一个问题，如果说现有的一些工具、思维框架、方法论已经解决不了，就要回归到最本源的需求，我们从需求上找到有没有一些新的解决方案。

回归刚才所说的面临的困境，就是速度和安全必须二选一，没有办法两者兼得，有没有办法解决这个问题，下面讲的就是新的思路，是不是可以采用云原生的思路解决安全的问题。

说明这个问题首先先看一下，真正的云原生的平台，能够对安全有什么样的帮助，我们可以看一下区别。

云原生的平台上面除了包装了操作系统之外，在这个上面还有操作系统的镜像，还包含了应用的运行环境，甚至还包含很多第三方的中间件，其实只剩下应用自己本身在他这个之上需要开发人员自己开发，其他的东西都包含在这个平台上。

这样我们说相比传统的环境，这样的架构有什么好处，原来很多安全手段，像加密、对于身份认证的服务、日志、操作系统的隔离等等服务，都是在下面这几层里面实现的。如果一个Paas平台把这几层都包含在我的平台上，这些东西都可以内置，不需要安全人员或者开发人员、运维人员在后期自己再手工解决这些问题。

内置之后还有另外一个好处，既然都已经放到这个平台里面，可以采用软件的方法，用自动化的方法进行管理，自动化除了加快效率，更重要的是减少人工操作带来的风险。运维里面70%的错误来自人工的错误，自动化也可以减少人工错误带来的风险。

而且用于内置安全加上自动化的手段，可以做以前传统环境里做不到，定期自动化的更换密码，更换运行环境，这是原来传统IT环境下很难做到的事情，当云原生平台上可以做到。从平台层手段我们看到可以做出很好的基础。

当我们把所有的能力结合在一起的时候，我们也可以真正在平台之上内置满足很多合规性的要求，比如等保2.0的要求，比如容器层面相关的安全规范，必须操作系统里面的安全规范，都可以内置到平台里面实现，不需要后天在上面做任何修补的工作，或者叠加的工作。

基于刚才这几点，实际上在云原生安全这个领域可以把它的能力抽象成四要素：第一修补，只要有新的版本，不管有软件或者平台也好，马上升级有漏洞的软件系统，立即修补。第二重新部署，可以经常性的重新部署我的服务器和应用，这个是最主要用于抵御具的威胁，APP长期驻留的威胁。第三是轮换，经常自动轮换用户的密钥，通过平台自动实现，让密码只是短期有效。这三个有一个新的概念，叫做“3R”。

除了这三点还有一个合规性，合规性也可以完全内置在这个平台里面实现。除了平台之外其实另外一个云原生很重要的特点是DevOps，也可以对安全带来帮助，它和安全并不是冲突，而是完全帮助。既然软件能够通过DevOps快速发布，我们打补丁的时候也可以快速的打补丁。刚才提到的不可变基础设施，我们给攻击者留下更小的攻击窗口，有效防止长期驻留的威胁。另外Configuration as Code便于后期的安全审计。平台产品化，我的平台应该当成一个产品不断改进，这样的话整个平台的团队对产品有更高的责任，同样如果对整个平台有更高的责任，平台也要对自己负责，平台产品化的结构里面，平台团队对安全负起更大的责任，对安全更加重视。

这个东西是不是只停留在理论上，不仅仅是理论，我们可以看一下，我们有很多世界五百强的客户，就是用这样的理念构建他们的云原生平台，这些都是从客户那边收集到的数据。

再详细的举例，我们有财富500强财富的企业，在平台内置了合规性，而且实现了不停机的安全，修复漏洞，每月交付软件可以超过2100次，成功率达到99.995%。像某银行通过经常的重新部署，对他平台有更多的信心，目前为止已经布置了25套云原生的平台。

整个打补丁的速度变得很快，著名的大型企业开发运维比可以达到1000比6，是以前9倍的速度，开发人员的生产率提升45%，这是实现云原生以后整体速度，在保障安全性上，整体速度还在提升。

在云原生里面除了平台之外，很重要的概念就是敏捷和精益，对云平台也是这样，如果让平台一直保证安全的状态，对它一直可信，平台从安全角度来讲也需要持续的改进，满足外部快速变化的需求。

如果要做到这一点可能就需要考虑几个原则：

第一，需要把平台和应用部署实现自动化，让开发者更快，打补丁才能更快，这是一个基础。

第二，需要及时可用的安全组件，很多安全组件不是后期整合进去，而是平台预先集成好，落地即可用，这样可以把安全变得更加简单。

第三，需要不断的测试，不断的迭代提高安全能力，这个目的，在被发现之前，被攻击之前找到它并修复，这是核心的理论。

第四，协作性的思维，安全是所有人的事情，不是开发和运维团队的事情，需要大家一起努力。

这个时候特别要注意的是避免几种有可能会出现的问题，思路可能回复到传统安全的思维上去，我们要避免在平台为了省事叠加各种各样的安全软件工具，可能会适得其反。

第二另外一个极端也要避免，尝试识用一个方案解决所有的问题，解决之后就放在那里不动，不可能，因为外部的安全环境一直在变化，不可能一个东西可以解决所有的问题。

第三，用手工的方法去做，我们可以想象手工的方法在目前规模的云原生平台很难做，几千个容器手工修补做到什么时候。

第四，忽视主动监测的力量，如果出现问题，安全问题不出则以，一出都是大事。

在持续改进这个里面，持续提升能力里面，更重要在应用。我们在平台层面有更多的安全手法和手段之后，实际上最难控制的就是应用层，应用层都是企业自己开发，这个质量如果没有很好的管控，很可能应用就会成为大的漏洞。网上也有统计，在目前所发现很多网络供给当中80%是由于应用实现的漏洞引起的，所以应用的安全，对企业来讲应该给予足够的重视，全流程的管理体制去管控。全流程包括哪些，设计阶段可以通过威胁风险模型最早的避免出现系统性的漏洞。在开发阶段对程序员、开发员进行安全的编码培训。测试的阶段可以使用软件组合的方式，还有漏洞检测，避免第三方的威胁到我们平台上来，还可以采用像类似应用的安全测试的手段。

像命令注入这样的攻击可以采用OB的方法去解决。还可以采用攻击测试，模拟真实的网络攻击真正验证我们平台是不是足够安全。如果讲持续改进，在精益里面，在迭代，或者持续改进的概念里面，有很重要的一点，我们需要有一个是目标，另外一个是衡量地指标，如果没有指标就不知道目前走到什么阶段了。

指标有哪些，从流程来讲，打补丁属于，检测漏洞的时间，都可以作为具体衡量的指标，可以把平台的弹性作为目标，下面的指标，平台出现故障的时候平均恢复时间。另外上次系统重建的时间是什么时候，这都可以作为系统弹性和系统稳定性的指标。

如果去衡量整个平台管控的能力，可以用测试覆盖率，打补丁的周期、密码更换的周期，都可以作为系统平台可信性的指标，这些都可以作为安全的目标。

有一点要提醒大家注意，持续改进有一个很重要的前提，我们可能需要跟开源社区保持同步，保持开放和标准，为什么这么讲，大家看到的这个就是CNCF目前的社区综合，CNCF里面相关的软件和厂商都在快速的补充当中。目前CNCF是原生领域里面非常主要的社区，如果回顾五年之前，五年以前这个社区还是没有的，到目前为止可以看到整个规模。

再看五年之前一般的媒体都会总结，市场调查公司会总结当年的十大安全威胁，我们看到2014年的十大威胁和今天完全不一样。整个社区在快速变化，对于我们来讲一个很好的策略应该跟着这个社区往前走，一定要保持开源、开放，这样才能充分享受到整个社区所带来各种各样新的创新，一些新的理论。

讲到这里可能大家已经理解了，我们讲的云原生就是用敏捷，用DevOps的理念做安全，大家如果了解DevOps可能有一个疑问，讲了半天敏捷DevOps用这个做安全，敏捷和DevOps持续改进，有很重要的概念叫做反馈。我怎么知道这个东西做的好还是做的不好，是不是真的足够安全。

其实对于安全来讲，它的反馈是什么，说白了就是漏洞有多少，这个就是最直接的反馈，我怎么知道漏洞有多少，有两种方法，一种是自己主动的去查找漏洞，自己发现。另外一种是让别人发现，如果别人是别有用心的人，他发现漏洞的时候有可能本身就会带来一种灾难，这是很简单的事情。

所以，对于我们来说我们想去做到反馈，得到快速反馈，我怎么知道平台是不是足够安全，好的办法是自己主动进行测试。当我们测试完了之后才能知道，主动测试之后出现问题之后，我们有足够的时间去修复，不用担心会被破解，我们有足够的时间分析是设计开发出现问题，是测试和部署当中有问题，还是运维当中有问题，可以采取相应的手段和措施解决。比如设计开发的时候，刚才提到了除了编码培训之外考虑安全的框架，现在比较流行的安全情报交换，用这样的方式加强开发的安全性。

在运维阶段也可以采用加强行为分析，比如自适应的身份认证，还有现在比较流行的安全响应编码，这样一些新的技术逐渐提升各个领域的安全薄弱环节。

刚才说了主动测试，虽然主动测试可以测出这个框架，具体怎么测，测试的方法是什么，这个里面可以看一下，对于云原生平台来讲，如果我们想测试稳定性，包括测试安全性，当然最常见的，原来一直都在使用的猴子军团，我自己主动对平台注入恶意代码然后检测安全性，这个已经被广泛采用，这是一种方式。

另外一个测试安全性的方法，就是攻击性的测试，这个在安全领域来讲也是比较流行的手段，这种创新性的思路也比较新颖的手段。这个里面讲的是什么呢，可以采用一些，通过漏洞的举报策略，内部人员发现漏洞的时候直接举报，可以获得一些奖励，通过这种方式激励内部人员查找漏洞。另外可以做一些穿透性测试，更好的是找更加专业性的测试团队，最终的效果不是窃取平台信息，而是告诉我什么地方存在漏洞，这样的话效果更好，我们见到很多专门做服务的安全团队。

讲到这里大家有一种感觉，虽然安全的技术和业务的创新，技术上完全不一样。但是从它的特点来讲实际上非常接近，业务也需要快速更新，技术也是一样，外部环境不断的发展，技术上也要不断的创新。对于有同样需求的安全问题可以用云原生的方式，用敏捷的方式，用DevOps的方式不断的创新。我们听到DevOps的时候，现在又加了一个SEC，这也是目前非常主流的趋势。

结合之前所分享的可以总结成三个语言：博采众长是指的平台，内外检修，除了外部的工具，内部要提升能力。日益精进要采取精益的思想和精益的手段，不断提升平台的整体能力。

Pivotal主要做云原生的厂商，像云原生安全不但有平台工具，也有很多现成的客户和最佳实践。在座的同仁如果有兴趣很愿意和各位进行深入的探讨，可以一起探索如何构建真正可信的生态，谢谢大家。