云原生安全
云原生 | T Wiki
以下大部分内容参考了这篇文章
什么是云原生
云原生(Cloud Native)
“云原生”可以从字面上拆解为“云”和“原生”两个部分来理解:
- “云”,是相对于“本地”而言的。传统应用部署在本地数据中心或物理服务器上,而“云”指的是基于云计算平台(如公有云、私有云或混合云)运行的环境;
- “原生”,意味着“出生于…的环境”,在这里则表示这些应用从设计之初就为云环境而生,能充分利用云平台的弹性、分布式、自动化等特性。
如果只是把传统应用从本地“搬迁”到云端运行,虽然名义上实现了“上云”,但它们的架构和运维方式依然保留着本地部署的思维,这类系统常被戏称为“上云的拆迁户”;而真正的“云原生”系统,是指那些从一开始就为了云环境设计、构建和优化的应用系统,它们才是“云的原住民”。
CNCF(云原生计算基金会)对云原生的定义:
云原生技术有助于组织在公有云、私有云和混合云等新型动态环境中构建和运行可弹性扩展的应用程序。
代表性技术包括:容器、服务网格、微服务架构、不可变基础设施和声明式 API。
这些技术能够构建容错性强、易于管理、可观测性好的松耦合系统,并借助可靠的自动化能力,支持高频率、可预测的系统变更。
云原生系统的典型特征:
| 特征 | 简要说明 |
| 轻量化基础设施 | 以容器为核心,基础设施不可变、便于交付和回滚。 |
| 弹性编排能力 | 使用如 Kubernetes 等平台进行自动部署、扩缩容与自愈。 |
| 开发运维一体化(DevOps) | 快速迭代、持续交付,实现开发、测试、运维协同。 |
| 可观测性强 | 支持日志、指标、追踪等多维度观测与监控能力。 |
| 微服务架构 | 解耦业务模块,提升系统扩展性与可维护性。 |
| 无服务器架构(Serverless) | 按需运行函数逻辑,不需关心底层服务器。 |
云原生安全(Cloud Native Security)
在理解了云原生架构的基本理念后,我们就能更容易理解云原生安全的内涵了。
云原生安全是指在云原生环境中,围绕容器、微服务、服务网格、Serverless 以及编排系统等新型技术组件,构建的一套全生命周期、自动化、动态感知的安全防护体系。它既要覆盖传统安全要素(如宿主机安全、网络隔离),又需适配云原生架构的新型攻击面和动态变化的环境。
云原生安全的三大核心层面:
容器安全
-
- 包括镜像安全扫描、运行时行为检测、防止容器逃逸、容器间通信隔离等;
- 关注从构建到运行全流程的威胁防护。
编排系统安全
-
- 对 Kubernetes 等平台的 API 访问、权限控制、配置安全、组件漏洞等进行防护;
- 防止因集群配置错误或权限滥用而带来的安全事件。
云原生应用安全
-
- 包括微服务间通信的认证与加密、服务网格的访问策略控制;
- Serverless 函数的权限最小化、事件源验证;
- API 安全治理、零信任架构、调用链审计等。
另外除了这些和云原生环境相关的技术之外,云原生安全还包含了一些传统安全的内容,比如宿主机的安全等等。