中国信息通信研究院 | 云原生安全成熟度模型解读 - 云原生应用安全域

云原生技术已经大范围普及并深入应用到了企业核心系统，但云原生在拥有敏捷、弹性、可迁移等优秀特性的同时云模型计算，也带来了新的安全风险，镜像漏洞、容器逃逸以及微服务细粒度拆分带来的服务交互安全等问题正威胁着企业的云原生平台和应用，云原生安全建设成为企业云原生平台建设和应用云原生化改造进程中的必备项。中国信息通信研究院（以下简称“中国信通院”）发布的《中国云原生用户调查报告（2021年）》显示，安全性是企业大规模应用云原生技术时的最大顾虑，其中容器安全、API间认证鉴权、微服务入侵检测、代码安全扫描等问题受到重点关注，企业云原生安全建设正在进行中。

在此背景下，中国信通院联合业界20余家单位的近40名专家历时1年完成了国内首个云原生安全成熟度模型标准的编撰工作。目前云原生安全成熟度标准文稿及评估方案已经完成，首批评估工作正在进行中。

???

评估价值

云原生能力成熟度模型（CNMM-TAS）以提升企业研发效能、促进业务创新发展为目标，从技术架构（T）、业务应用（A）、架构安全（S）三个方面助推企业云原生能力建设。云原生安全成熟度（CNMM-TAS）评估融合了零信任、安全左移、持续监测与响应以及可观测四大理念，从基础设施、基础架构、应用服务、研发运营、安全运维等5个层面综合评估企业云原生平台及应用的安全成熟度，帮助企业快速对照、定位安全建设能力水平，诊断自身问题，根据业务需求结合模型高阶能力定制安全架构演进方向。

???

云原生安全成熟度评估全貌

评估面向云原生平台的安全体系，包括云基础设施安全、云原生基础架构安全、云原生应用安全、云原生研发运营安全和云原生安全运维5个能力域、15个能力子项、46个实践项和近400个细分能力要求，具体如下：

云原生安全成熟度模型

本系列前三篇文章介绍了云原生基础架构安全域和基础设施安全域，本文将介绍安全成熟度模型的第三部分：云原生应用安全域，对微服务安全、无服务器安全和通用安全三个能力子项的分级要求进行解读。

???

云原生应用安全域解读

云原生应用安全是指云原生PaaS平台上部署的应用安全防护能力。包括通用安全、微服务安全和无服务器安全三大能力子项。

（一）通用安全

通用安全是各种形态的云原生应用的共性安全能力。评估包含访问控制、安全通信、API安全和攻击防护四个实践项：

表 1通用安全各等级关键特征说明

（二）微服务安全

微服务安全是微服务自身框架及微服务应用的安全能力。评估包含微服务组件安全和服务安全两个实践项：

表 2 微服务安全各等级关键特征说明

（三）无服务器安全

Serverless（无服务器）是一种将基础设施资源抽象成按需使用的服务，用户只需关注应用逻辑，而无需管理复杂的基础设施运维工作的应用模式，当前实现形态以FaaS和BaaS为主。无服务器安全评估包含无服务器平台安全、无服务器应用安全两个实践项：

表 3 无服务器安全各等级关键特征说明

???

专家风采

黄鹤清，中科院博士生导师，EnterWise.io创始人，前探真科技联合创始人&CTO。曾在字节北美AILab，IBM研究院，PaloAlto Networks，FireEye等甲乙方公司参与构建安全解决方案和产品。

EnterWise.io由国内外顶级安全专家创立的DAO安全社区，基于持续安全风险评估（CARTA）&智能化安全运维响应（SecOpsWise）理念,专注于提供基于数据驱动的下一代安全云架构的全栈安全解决方案,即Security as a Service。EnterWise.io方案利用ML/AI,大数据,动态威胁情报和云原生架构在企业安全的不同应用场景下提供精细化的安全内生防护机制和高效的安全运维响应解法方案。在事前，事中，事后各个阶段层层递进，提供环环相扣的风险评估和安全防护策略，提高整体企业安全的ROI和能力，为企业数据业务系统保驾护航。实现企业的重要核心IT资产、应用、数据生命周期安全，护航企业数字化转型。

吴剑刚，瑞数信息技术总监。在信息安全技术领域拥有近20年的丰富经验，曾获中国网络空间安全（上海）论坛“首届十大信息安全官”称号，是最早从事信息安全领域技术及管理的专家之一，精通各种主流安全技术、安全架构和攻击技术，参与过众多大型金融、电信和互联网企业的信息安全建设。

瑞数信息(River Security)成立于2012年，专注于网络安全领域的前沿技术创新和产品研发。作为中国动态安全技术的创新者和Bots自动化攻击防护领域的专业厂商，瑞数信息提供涵盖Web、App和API的全渠道应用安全、业务安全、数据安全、云安全等在内的专业网络安全产品及服务。瑞数信息创新的“动态安全”技术，颠覆了传统安全依赖攻击特征与策略规则的被动式防御技术，可对已知和未知的自动化攻击，各种利用自动化工具发起的恶意行为做到更及时、更高效的拦截。结合“动态安全”与“AI人工智能”两大核心技术的协同效力，让安全能力从主动防御提升到可持续安全对抗的新台阶，高效防护各类数字化时代的新兴威胁。

（编辑：开发网_商丘站长网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!