云工作负载安全市场(云安全现状)

本文目录：

• 1、2021年全球云计算市场规模有多大？
• 2、云计算行业前景怎么样
• 3、有哪些影响云系统安全性的因素？
• 4、发力HPC工作负载，亚马逊云科技推出HPC专用实例Amazon EC2 Hpc6a
• 5、在IT项目建设中，如何保证数据库安全性？

2021年全球云计算市场规模有多大？

云计算行业主要上市公司：光环新网(300383.SZ)、东华软件(002065.SZ)、阿里巴巴-SW(9988.HK)、中国移动(0941.HK)、腾讯控股(0700.HK)、中国电信(0728.HK)、中兴通讯(000063.SZ)、浪潮信息(000977.SZ)、星网锐捷(002396.SZ)、中科曙光(603019.SH)、优刻得-W(688158.SH)、光云科技(688365.SH)等

本文核心数据：全球云计算市场规模、全球云计算区域分布情况、全球公有云IaaS+PaaS市场份额、全球公有云SaaS市场竞争格局、全球云计算科技企业ETF指数、云计算企业相关业务收入等

美国云计算概念发展较早，市场规模全球占比第一

近年来，各国政府从国家层面重视云计算发展，美国政府发布《联邦云计算战略》，借助云计算降低政府信息化开支，带动美国云计算服务业。研发和推广云计算技术已列入《欧洲2020战略》，是“欧洲数字化议程”的重要组成部分。日本政府提出了“u-Japan战略”，迅速而有重点地推进高度信息化社会的建设。

2020年，全球经济出现大幅萎缩，以IaaS、PaaS和SaaS为代表的的全球公有云市场增速放缓至13.1%，市场规模为2083亿美元。整体来看，北美、欧洲、亚太地区云计算市场发展较为成熟。其中美国云计算市场规模占全球比重超过40%，2020年约为44%;欧洲地区占比在19%左右;亚太地区为全球云计算市场增速最快的地区，2020年中国和日本占比分别达16%和4%。

注：根据Gartner统计口径，此处云计算为公有云服务市场，仅包含IaaS、PaaS和SaaS服务规模。

美国云计算企业在全球中占主要地位，技术成熟度较高

分析美国云计算行业发展现状，当前该国拥有全球领先的IT企业，如微软、IBM、谷歌、亚马逊以及甲骨文等，这些云服务企业占领了全球大部分云服务市场。从公有云细分市场来看，公有云IaaS+PaaS市场中，美国云计算企业亚马逊AWS、微软、谷歌、IBM份额合计占比近48%，SaaS市场中Salesforce、微软、谷歌、Oracle等代表性企业也均为美国企业。

注：内圈为2019年数据，外圈为2020年数据。

美国云计算产品与技术成熟度较高。从全球云计算科技企业的ETF指数来看，按市值排名前十企业中除SAP和Shopify以外均为美国企业，其中Adobe、Intuit、Salesforce市值分别达41.22万美元、40.45万美元、39.04万美元，说明美国企业云计算相关技术较为领先。

注：查询日期为2021年8月11日。

美国IT巨头均布局云计算领域，云计算产品在全球广泛应用

从美国云计算企业布局情况来看，美国重量级跨国IT巨头都从不同领域和角度在“云计算”领域布局，包括亚马逊、Microsoft、IBM、Oracle(Sun)、Google等，其云计算产品和解决方案应用广泛，应用案例分布在全球快消公司、大学数据中心、科技企业、车企等。由此可见，美国云计算企业在全球的影响力较大。

以上数据参考前瞻产业研究院《中国云计算产业发展前景预测与投资战略规划分析报告》。

云计算行业前景怎么样

云计算技术在日益联系紧密的世界中提供了灵活性、敏捷性和可伸缩性，但这项技术正以惊人的速度发展。随着其迅速发展，越来越多的组织希望实现更高的运营效率，并远离传统的网络。根据调研机构的预测，到2020年，企业无云政策将变得像当今的无互联网政策一样罕见。可以说，云计算就业前景相当广阔。下面我们分两部分来讨论。

一方面是综合生产力的提升

现代组织实施了各种基于云计算的应用程序和服务。但是，在应用程序之间集成信息变得越来越重要。由于基于云计算的环境通常会增加正在使用的系统数量，因此企业经常会发现自己需要跨平台集成，需要将所有相关数据汇总在一起。出于这个原因，2019年的合作格局只会增长，人们将看到更多的跨平台合作。

然而，集成并不仅仅局限于应用程序，随着越来越多的企业在私有云和公有云中存储工作负载——人们将看到混合计算在2018年成为标准。创建、管理和加强这些联系将是在接下来的几年中是非常重要的。

另一方面是云端劳动力的崛起

在新经济中，越来越多的企业放弃他们的办公室，转而支持由云计算员工组成的员工队伍。实际办公地点开展业务的日子一去不复返了。目前，人们正在经历云员工的兴起，因为基于云计算的应用程序和技术有效地促进远程工作和个人交互，这已经不是什么秘密。这将让员工能够比以往更轻松地与同事合作并在全球范围内获得信息更新-而无需进行面对面的互动。

人们将看到一个上升的趋势。近来在伦敦举行的全球领导峰会上的一项调查发现，34%的企业管理人员希望其公司的全职员工中有一半以上在远程工作。随着员工在不同的时区工作，企业将变得更加全球化。人们将看到企业领导者认识到分布式团队的好处开发云端员工需要所有关键利益相关者的充分参与，并完成业务战略和目标的一致性。但随着成本的节省、具备更大的灵活性，以及对房地产的绝佳利用，许多企业将把云计算作为一种提高生产力的手段。

有哪些影响云系统安全性的因素？

云原生安全仍然需要多层次的防御

在传统的安全术语中，企业将考虑多个安全层。企业可能考虑代码安全，包管理，操作系统补丁，服务器端点安全等方面的内容。但现在这些不再需要了。但重要的是要明白，使用云原生工作负载不会从这个角度给出任何快捷方式，从这个角度来看，企业仍然需要用所有必需的安全层包装软件。

云原生安全是端到端的安全

devops的应用将传统专业团队分为两类：一类是部署微服务的开发人员，另一类是致力于云计算的基础架构团队。通常情况下，即使这两个团队也变成了一个单一的“云”团队，也需要承担多重责任。

如果企业考虑到这种环境的安全性，将其分成两组也是更有意义的：

(1)云原生基础架构：包括企业云消费的服务(例如L3-4防火墙，服务器安全，网络加密和存储加密)的安全性。

(2)云原生应用程序：包括需要应用程序感知的任何安全元素(例如，L7防火墙，安全渗透测试，图像安全性，以及应用程序的微分割)。

这将改变人们在市场上看到的安全产品的类型。云计算供应商将在其云端产品中增加更多传统的基础架构功能，以增强其平台吸引力，并提供涵盖所有基础架构安全需求的全方位产品。另一方面，安全提供商将主要侧重于应用程序级安全性，并且还将需要提供端到端的安全解决方案，这也将需要包括前面提到的多个因素。

云原生安全由云团队经营传统上，安全层需要不同人员或团队的专业知识(例如端点，服务器，网络，身份，PKI，存储和软件开发)。企业可以让人们手动添加这些安全层作为基础设施的分配和应用程序的部署，然后调用团队中的专家来配置必要的云概念。但是分配这些资源需要是即时的，并且需要改进其安全产品。

云原生安全性已经引发了重大变化。它决定围绕安全层的策略需要由安全性和基础架构师定。但是，执行这些策略的安全机制必须自动附加到云端和配置进程。通过允许devops或云团队尽可能无缝地进行操作，从而全面展开整个过程。

企办平台提供的云服务，覆盖率更高、速度更快、监控更实时、安全体系更稳固，一定会是您的最优选择。

发力HPC工作负载，亚马逊云科技推出HPC专用实例Amazon EC2 Hpc6a

北京——2022年1月18日 ，近日，亚马逊云 科技 宣布推出专为紧耦合高性能计算（HPC）工作负载构建的全新实例Amazon Elastic Compute Cloud (Amazon EC2) Hpc6a。Amazon EC2 Hpc6a实例搭载了第三代AMD EPYC处理器，与计算优化型Amazon EC2实例相比，用于HPC工作负载的性价比提升高达65%，进一步扩展了亚马逊云 科技 的HPC计算选项组合。客户通过Hpc6a实例可以更经济、高效地在亚马逊云 科技 中扩展HPC集群，运行计算密集型工作负载，如基因组学、计算流体动力学、天气预报、分子动力学、计算化学、金融风险建模、计算机辅助工程和地震成像。客户可以按照即用即付的低成本模式，按需使用Hpc6a实例，而无需预付费用。

众多不同行业机构都使用HPC解决他们最复杂的学术、科学和业务问题。然而，有效使用HPC的成本很高，为了处理大量数据，HPC集群需要具备强大的计算力、高性能的内存和存储，以及低延迟的网络。一些机构通过在本地构建基础设施来运行HPC工作负载，这需要高昂的前期投资，包括冗长的采购周期、监控软硬件更新等持续的管理开销，而当基础设施变得过时且必须升级时，又必然会面临灵活性受限的挑战。许多行业客户选择在云中运行其HPC工作负载，充分利用云提供的安全性、可扩展性和弹性。众多工程师、研究人员和科学家通过亚马逊云 科技 运行其最大型、复杂的 HPC 工作负载，并选择使用具有增强网络的Amazon EC2实例（例如C5n、R5n、M5n和C6gn）来扩展高性能紧耦合HPC工作负载，这些工作负载需要实例间高水平通信，处理数千个相互依赖的任务。虽然这些实例的性能能够满足大多数 HPC 用例，但随着需要解决的问题越来越困难，工作负载不断扩展，规模可能增长至需要亚马逊云 科技 中的数万台服务器处理，客户希望在运行HPC工作负载时最大限度地提高性价比。

新的Hpc6a实例专为在云中大规模运行 HPC 工作负载提供最佳性价比。HPC6a实例将HPC工作负载性价比提升高达65%，可在一系列集群规模（多达数万个内核）中执行复杂计算。默认状态下，Hpc6a实例搭载了网络接口Elastic Fabric Adapter (EFA)。EFA网络具有低延迟、低抖动和高达100 Gbps的网络带宽，可帮助客户提高运营效率，对于实例间有大量通信的工作负载可以快速交付计算结果。 Hpc6a 实例搭载了主频可高达3.6 GHz频率的第三代 AMD EPYC 处理器，并提供 384 GB 内存。使用 Hpc6a 实例，客户可以更经济高效地通过HPC解决他们最大、最困难的学术、科学和业务问题，并以高性价比获得亚马逊云 科技 服务的诸多优势。

亚马逊云 科技 Amazon EC2副总裁David Brown 表示：“通过为几乎所有类型的工作负载持续创新，并推出新的专门构建的Amazon EC2实例，我们为客户一些最关键的业务应用提供了超高的性价比。虽然高性能计算帮助解决了科学、工程和商业等领域一些最困难的问题，但对于许多机构而言，有效运行 HPC 工作负载仍然非常昂贵。Hpc6a实例专为HPC工作负载构建，可以帮助客户在几乎任何规模的 HPC 集群中将性价比提升高达65%，消除客户对成本的顾虑，专注于解决核心业务问题。”

AMD服务器业务高级副总裁兼总经理Dan McNamara 表示“我们很高兴能够继续与亚马逊云 科技 合作，为他们的客户提供用于高性能计算工作负载的全新、强大的实例。AMD EPYC处理器正帮助各种规模的客户解决一些最困难、复杂的问题。从大学到企业再到大型研究机构，由第三代AMD EPYC处理器支持的HPC6a实例为更多全球客户带来强大的HPC性能，且具有云的可扩展性。”

客户可通过Amazon ParallelCluster（一种开源集群管理工具）使用Hpc6a实例，可与其他实例一起预置Hpc6a实例，并在相同HPC集群中灵活地为不同的工作负载运行不同的优化实例。Hpc6a实例基于Amazon Nitro 系统，Amazon Nitro将许多传统虚拟化功能卸载到专用硬件和软件，而具有更高性能、高可用性和更高的安全性，同时减少虚拟化开销。Hpc6a 实例可作为按需实例或预留实例购买，也可通过 Savings Plans 购买。 Hpc6a 实例现已在美国东部（俄亥俄）和 Amazon GovCloud（美国西部）区域推出，其他区域也将很快推出。

Maxar是一家地理空间智慧公司，与诸多创新企业和50多个政府合作监测全球变化、提供宽频通信，以及基于空间架构和地球智能的能力提供先进的空间操作。“Amazon EC2 Hpc6实例的推出是亚马逊云 科技 又一次重大的发布，让Maxar能够继续满足并超越客户对大型计算工作流的要求，无论是加速数值天气预报工作负载的研究和运营，还是使用Maxar Precision3D 产品套件创建全球最优秀、先进和精确的数字孪生模型。” Maxar Technologies高级副总裁兼首席产品官Dan Nord 表示，“Hpc6a的AMD EPYC（Milan）处理器与EFA网络功能相结合，与其他可选项相比，帮助我们将性能提升了60%，同时更具成本效益。这让Maxar能够在自己构建的一套亚马逊云 科技 HPC集群配置中进行战略性选择，最大限度的满足客户需求，同时最大限度地提高灵活性和韧性。”

DTN的全球气象站网络提供超本地、准确和实时的气象情报，为企业提供可操作的见解。 DTN首席技术官Lars Ewe 表示：“与亚马逊云 科技 合作，让我们能够更好地服务客户，为他们提供高分辨率天气预报系统，并为分析引擎提供数据。我们很高兴看到 Hpc6a 实例的高性价比，希望它将成为我们未来HPC工作负载的首选Amazon EC2 实例。”

TotalCAE在计算机辅助工程（CAE）高性能计算方面拥有超过 20 年的经验。 TotalCAE 通过管理客户的HPC工程环境和工程应用程序，来帮助客户消除IT难题，让客户专注于工程，而不是IT。 “TotalCAE平台让CAE部门可以轻松地获得亚马逊云 科技 的敏捷性和灵活性，只需单击几下即可用于数百个工程应用程序，例如Ansys Fluent、Siemens Simcenter STAR-CCM+和Dassault Systèmes Abaqus。” TotalCAE总裁 Rod Mach 表示，“作为亚马逊云 科技 HPC能力合作伙伴网络成员（HPC Competency Partner），我们帮助客户在云中运行其CAE 工作负载。通过HPC6a 实例，我们以更低的成本将计算流体动力学工作负载的性能提升了 30%，让 TotalCAE 能够为客户提供行业领先的性价比和云强大的可扩展性。”

在IT项目建设中，如何保证数据库安全性？

#云原生背景#

云计算是信息技术发展和服务模式创新的集中体现，是信息化发展的重要变革和必然趋势。随着“新基建”加速布局，以及企业数字化转型的逐步深入，如何深化用云进一步提升云计算使用效能成为现阶段云计算发展的重点。云原生以其高效稳定、快速响应的特点极大地释放了云计算效能，成为企业数字业务应用创新的原动力，云原生进入快速发展阶段，就像集装箱加速贸易全球化进程一样，云原生技术正在助力云计算普及和企业数字化转型。

云原生计算基金会（CNCF）对云原生的定义是：云原生技术有利于各组织在公有云、私有云和混合云等新型动态环境中，构建和运行可弹性扩展的应用。云原生的代表技术包括容器、服务网格、微服务、不可变基础设施和声明式编程API。

#云安全时代市场发展#

云安全几乎是伴随着云计算市场而发展起来的，云基础设施投资的快速增长，无疑为云安全发展提供土壤。根据 IDC 数据，2020 年全球云安全支出占云 IT 支出比例仅为 1.1%，说明目前云安全支出远远不够，假设这一比例提升至 5%，那么2020 年全球云安全市场空间可达 53.2 亿美元，2023 年可达 108.9 亿美元。

海外云安全市场：技术创新与兼并整合活跃。整体来看，海外云安全市场正处于快速发展阶段，技术创新活跃，兼并整合频繁。一方面，云安全技术创新活跃，并呈现融合发展趋势。例如，综合型安全公司 PaloAlto 的 Prisma 产品线将 CWPP、CSPM 和 CASB 三个云安全技术产品统一融合，提供综合解决方案及 SASE、容器安全、微隔离等一系列云上安全能力。另一方面，新兴的云安全企业快速发展，同时，传统安全供应商也通过自研+兼并的方式加强云安全布局。

国内云安全市场：市场空间广阔，尚处于技术追随阶段。市场规模上，根据中国信通院数据，2019 年我国云计算整体市场规模达 1334.5亿元，增速 38.6%。预计 2020-2022 年仍将处于快速增长阶段，到 2023 年市场规模将超过 3754.2 亿元。中性假设下，安全投入占云计算市场规模的 3%-5%，那么 2023 年中国云安全市场规模有望达到 112.6 亿-187.7 亿元。技术发展上，中国在云计算的发展阶段和云原生技术的程度上与海外市场还有一定差距。国内 CWPP 技术应用较为广泛，对于 CASB、CSPM 一些新兴的云安全技术应用较少。但随着国内公有云市场的加速发展，云原生技术的应用越来越广泛，我们认为CASB、SCPM、SASE 等新兴技术在国内的应用也将越来越广泛。

#云上安全呈原生化发展趋势#

云原生技术逐渐成为云计算市场新趋势，所带来的安全问题更为复杂。以容器、服务网格、微服务等为代表的云原生技术，正在影响各行各业的 IT 基础设施、平台和应用系统，也在渗透到如 IT/OT 融合的工业互联网、IT/CT 融合的 5G、边缘计算等新型基础设施中。随着云原生越来越多的落地应用，其相关的安全风险与威胁也不断的显现出来。Docker/Kubernetes 等服务暴露问题、特斯拉 Kubernetes 集群挖矿事件、Docker Hub 中的容器镜像被“投毒”注入挖矿程序、微软 Azure 安全中心检测到大规模 Kubernetes 挖矿事件、Graboid 蠕虫挖矿传播事件等一系列针对云原生的安全攻击事件层出不穷。

从各种各样的安全风险中可以一窥云原生技术的安全态势，云原生环境仍然存在许多安全问题亟待解决。在云原生技术的落地过程中，安全是必须要考虑的重要因素。

#云原生安全的定义#

国内外各组织、企业对云原生安全理念的解释略有差异，结合我国产业现状与痛点，云原生与云计算安全相似，云原生安全也包含两层含义：“面向云原生环境的安全”和“具有云原生特征的安全”。

面向云原生环境的安全，其目标是防护云原生环境中的基础设施、编排系统和微服务的安全。这类安全机制，不一定具备云原生的特性（比如容器化、可编排），它们可以是传统模式部署的，甚至是硬件设备，但其作用是保护日益普及的云原生环境。

具有云原生特征的安全，是指具有云原生的弹性敏捷、轻量级、可编排等特性的各类安全机制。云原生是一种理念上的创新，通过容器化、资源编排和微服务重构了传统的开发运营体系，加速业务上线和变更的速度，因而，云原生系统的种种优良特性同样会给安全厂商带来很大的启发，重构安全产品、平台，改变其交付、更新模式。

#云原生安全理念构建#

为缓解传统安全防护建设中存在的痛点，促进云计算成为更加安全可信的信息基础设施，助力云客户更加安全的使用云计算，云原生安全理念兴起，国内外第三方组织、服务商纷纷提出以原生为核心构建和发展云安全。

Gartner提倡以云原生思维建设云安全体系

基于云原生思维，Gartner提出的云安全体系覆盖八方面。其中，基础设施配置、身份和访问管理两部分由云服务商作为基础能力提供，其它六部分，包括持续的云安全态势管理，全方位的可视化、日志、审计和评估，工作负载安全，应用、PaaS 和 API 安全，扩展的数据保护，云威胁检测，客户需基于安全产品实现。

Forrester评估公有云平台原生安全能力

Forrester认为公有云平台原生安全（Public cloud platform native security, PCPNS）应从三大类、37 个方面去衡量。从已提供的产品和功能，以及未来战略规划可以看出，一是考察云服务商自身的安全能力和建设情况，如数据中心安全、内部人员等，二是云平台具备的基础安全功能，如帮助和文档、授权和认证等，三是为用户提供的原生安全产品，如容器安全、数据安全等。

安全狗以4项工作防护体系建设云原生安全

（1）结合云原生技术的具体落地情况开展并落实最小权限、纵深防御工作，对于云原生环境中的各种组成部分，均可贯彻落实“安全左移”的原则，进行安全基线配置，防范于未然。而对于微服务架构Web应用以及Serverless应用的防护而言，其重点是应用安全问题。

（2）围绕云原生应用的生命周期来进行DevSecOps建设，以当前的云原生环境的关键技术栈“K8S + Docker”举例进行分析。应该在容器的全生命周期注重“配置安全”，在项目构建时注重“镜像安全”，在项目部署时注重“容器准入”，在容器的运行环境注重云计算的三要素“计算”“网络”以及“存储”等方面的安全问题。

（3）围绕攻击前、中、后的安全实施准则进行构建，可依据安全实施准则对攻击前、中、后这三个阶段开展检测与防御工作。

（4）改造并综合运用现有云安全技术，不应将“云原生安全”视为一个独立的命题，为云原生环境提供更多支持的主机安全、微隔离等技术可赋能于云原生安全。

#云原生安全新型风险#

云原生架构的安全风险包含云原生基础设施自身的安全风险，以及上层应用云原生化改造后新增和扩大的安全风险。云原生环境面临着严峻的安全风险问题。攻击者可能利用的重要攻击面包括但不限于：容器安全、编排系统、软件供应链等。下面对重要的攻击面安全风险问题进行梳理。

#云原生安全问题梳理#

问题1：容器安全问题

在云原生应用和服务平台的构建过程中，容器技术凭借高弹性、敏捷的特性，成为云原生应用场景下的重要技术支撑，因而容器安全也是云原生安全的重要基石。

（1）容器镜像不安全

Sysdig的报告中提到，在用户的生产环境中，会将公开的镜像仓库作为软件源，如最大的容器镜像仓库Docker Hub。一方面，很多开源软件会在Docker Hub上发布容器镜像。另一方面，开发者通常会直接下载公开仓库中的容器镜像，或者基于这些基础镜像定制自己的镜像，整个过程非常方便、高效。然而，Docker Hub上的镜像安全并不理想，有大量的官方镜像存在高危漏洞，如果使用了这些带高危漏洞的镜像，就会极大的增加容器和主机的入侵风险。目前容器镜像的安全问题主要有以下三点：

1.不安全的第三方组件

在实际的容器化应用开发过程当中，很少从零开始构建镜像，而是在基础镜像之上增加自己的程序和代码，然后统一打包最终的业务镜像并上线运行，这导致许多开发者根本不知道基础镜像中包含多少组件，以及包含哪些组件，包含的组件越多，可能存在的漏洞就越多。

2.恶意镜像

公共镜像仓库中可能存在第三方上传的恶意镜像，如果使用了这些恶意镜像来创建容器后，将会影响容器和应用程序的安全

3.敏感信息泄露

为了开发和调试的方便，开发者将敏感信息存在配置文件中，例如数据库密码、证书和密钥等内容，在构建镜像时，这些敏感信息跟随配置文件一并打包进镜像，从而造成敏感信息泄露

（2）容器生命周期的时间短

云原生技术以其敏捷、可靠的特点驱动引领企业的业务发展，成为企业数字业务应用创新的原动力。在容器环境下，一部分容器是以docker的命令启动和管理的，还有大量的容器是通过Kubernetes容器编排系统启动和管理，带来了容器在构建、部署、运行，快速敏捷的特点，大量容器生命周期短于1小时，这样一来容器的生命周期防护较传统虚拟化环境发生了巨大的变化，容器的全生命周期防护存在很大变数。对防守者而言，需要采用传统异常检测和行为分析相结合的方式，来适应短容器生命周期的场景。

传统的异常检测采用WAF、IDS等设备，其规则库已经很完善，通过这种检测方法能够直观的展示出存在的威胁，在容器环境下，这种方法仍然适用。

传统的异常检测能够快速、精确地发现已知威胁，但大多数未知威胁是无法通过规则库匹配到的，因而需要通过行为分析机制来从大量模式中将异常模式分析出来。一般来说，一段生产运营时间内的业务模式是相对固定的，这意味着，业务行为是可以预测的，无论启动多少个容器，容器内部的行为总是相似的。通过机器学习、采集进程行为，自动构建出合理的基线，利用这些基线对容器内的未知威胁进行检测。

（3）容器运行时安全

容器技术带来便利的同时，往往会忽略容器运行时的安全加固，由于容器的生命周期短、轻量级的特性，传统在宿主机或虚拟机上安装杀毒软件来对一个运行一两个进程的容器进行防护，显示费时费力且消耗资源，但在黑客眼里容器和裸奔没有什么区别。容器运行时安全主要关注点：

1.不安全的容器应用

与传统的Web安全类似，容器环境下也会存在SQL注入、XSS、RCE、XXE等漏洞，容器在对外提供服务的同时，就有可能被攻击者利用，从而导致容器被入侵

2.容器DDOS攻击

默认情况下，docker并不会对容器的资源使用进行限制，默认情况下可以无限使用CPU、内存、硬盘资源，造成不同层面的DDOS攻击

（4）容器微隔离

在容器环境中，与传统网络相比，容器的生命周期变得短了很多，其变化频率也快很多。容器之间有着复杂的访问关系，尤其是当容器数量达到一定规模以后，这种访问关系带来的东西向流量，将会变得异常的庞大和复杂。因此，在容器环境中，网络的隔离需求已经不仅仅是物理网络的隔离，而是变成了容器与容器之间、容器组与宿主机之间、宿主机与宿主机之间的隔离。

问题2：云原生等保合规问题

等级保护2.0中，针对云计算等新技术、新应用领域的个性安全保护需求提出安全扩展要求，形成新的网络安全等级保护基本要求标准。虽然编写了云计算的安全扩展要求，但是由于编写周期很长，编写时主流还是虚拟化场景，而没有考虑到容器化、微服务、无服务等云原生场景，等级保护2.0中的所有标准不能完全保证适用于目前云原生环境；

通过安全狗在云安全领域的经验和具体实践，对于云计算安全扩展要求中访问控制的控制点，需要检测主机账号安全，设置不同账号对不同容器的访问权限，保证容器在构建、部署、运行时访问控制策略随其迁移；

对于入侵防范制的控制点，需要可视化管理，绘制业务拓扑图，对主机入侵进行全方位的防范，控制业务流量访问，检测恶意代码感染及蔓延的情况；

镜像和快照保护的控制的，需要对镜像和快照进行保护，保障容器镜像的完整性、可用性和保密性，防止敏感信息泄露。

问题3：宿主机安全

容器与宿主机共享操作系统内核，因此宿主机的配置对容器运行的安全有着重要的影响，比如宿主机安装了有漏洞的软件可能会导致任意代码执行风险，端口无限制开放可能会导致任意用户访问的风险。通过部署主机入侵监测及安全防护系统，提供主机资产管理、主机安全加固、风险漏洞识别、防范入侵行为、问题主机隔离等功能，各个功能之间进行联动，建立采集、检测、监测、防御、捕获一体化的安全闭环管理系统，对主机进行全方位的安全防护，协助用户及时定位已经失陷的主机，响应已知、未知威胁风险，避免内部大面积主机安全事件的发生。

问题4：编排系统问题

编排系统支撑着诸多云原生应用，如无服务、服务网格等，这些新型的微服务体系也同样存在着安全问题。例如攻击者编写一段代码获得容器的shell权限，进而对容器网络进行渗透横移，造成巨大损失。

Kubernetes架构设计的复杂性，启动一个Pod资源需要涉及API Server、Controller、Manager、Scheduler等组件，因而每个组件自身的安全能力显的尤为重要。API Server组件提供的认证授权、准入控制，进行细粒度访问控制、Secret资源提供密钥管理及Pod自身提供安全策略和网络策略，合理使用这些机制可以有效实现Kubernetes的安全加固。

问题5：软件供应链安全问题

通常一个项目中会使用大量的开源软件，根据Gartner统计至少有95%的企业会在关键IT产品中使用开源软件，这些来自互联网的开源软件可能本身就带有病毒、这些开源软件中使用了哪些组件也不了解，导致当开源软件中存在0day或Nday漏洞，我们根本无法获悉。

开源软件漏洞无法根治，容器自身的安全问题可能会给开发阶段带的各个过程带来风险，我们能做的是根据SDL原则，从开发阶段就开始对软件安全性进行合理的评估和控制，来提升整个供应链的质量。

问题6：安全运营成本问题

虽然容器的生命周期很短，但是包罗万象。对容器的全生命周期防护时，会对容器构建、部署、运行时进行异常检测和安全防护，随之而来的就是高成本的投入，对成千上万容器中的进程行为进程检测和分析，会消耗宿主机处理器和内存资源，日志传输会占用网络带宽，行为检测会消耗计算资源，当环境中容器数量巨大时，对应的安全运营成本就会急剧增加。

问题7：如何提升安全防护效果

关于安全运营成本问题中，我们了解到容器安全运营成本较高，我们该如何降低安全运营成本的同时，提升安全防护效果呢？这就引入一个业界比较流行的词“安全左移”，将软件生命周期从左到右展开，即开发、测试、集成、部署、运行，安全左移的含义就是将安全防护从传统运营转向开发侧，开发侧主要设计开发软件、软件供应链安全和镜像安全。

因此，想要降低云原生场景下的安全运营成本，提升运营效率，那么首先就要进行“安全左移”，也就是从运营安全转向开发安全，主要考虑开发安全、软件供应链安全、镜像安全和配置核查：

开发安全

需要团队关注代码漏洞，比如使用进行代码审计，找到因缺少安全意识造成的漏洞和因逻辑问题造成的代码逻辑漏洞。

供应链安全

可以使用代码检查工具进行持续性的安全评估。

镜像安全

使用镜像漏洞扫描工具持续对自由仓库中的镜像进行持续评估，对存在风险的镜像进行及时更新。

配置核查

核查包括暴露面、宿主机加固、资产管理等，来提升攻击者利用漏洞的难度。

问题8：安全配置和密钥凭证管理问题

安全配置不规范、密钥凭证不理想也是云原生的一大风险点。云原生应用会存在大量与中间件、后端服务的交互，为了简便，很多开发者将访问凭证、密钥文件直接存放在代码中，或者将一些线上资源的访问凭证设置为弱口令，导致攻击者很容易获得访问敏感数据的权限。

#云原生安全未来展望#

从日益新增的新型攻击威胁来看，云原生的安全将成为今后网络安全防护的关键。伴随着ATTCK的不断积累和相关技术的日益完善，ATTCK也已增加了容器矩阵的内容。ATTCK是对抗战术、技术和常识（Adversarial Tactics, Techniques, and Common Knowledge）的缩写，是一个攻击行为知识库和威胁建模模型，它包含众多威胁组织及其使用的工具和攻击技术。这一开源的对抗战术和技术的知识库已经对安全行业产生了广泛而深刻的影响。

云原生安全的备受关注，使ATTACK Matrix for Container on Cloud的出现恰合时宜。ATTCK让我们从行为的视角来看待攻击者和防御措施，让相对抽象的容器攻击技术和工具变得有迹可循。结合ATTCK框架进行模拟红蓝对抗，评估企业目前的安全能力，对提升企业安全防护能力是很好的参考。

【云工作负载安全市场】的内容来源于互联网，如引用不当，请联系我们修改。