一、前言

　　云計算、大數(shù)據(jù)和人工智能的來臨，上云已經(jīng)成為組織數(shù)字化轉(zhuǎn)型的必由之路。云原生作為云計算的下一個階段，相關(guān)的開發(fā)和部署模式已經(jīng)成為業(yè)界趨勢，技術(shù)、產(chǎn)品、標(biāo)準(zhǔn)和解決方案的生態(tài)系統(tǒng)也在同步擴(kuò)張之中，決策者面臨著跟進(jìn)這些復(fù)雜設(shè)計的挑戰(zhàn)。

　　云原生技術(shù)應(yīng)用產(chǎn)生了新的云安全需求，CISO 要在競爭激烈的云原生市場中確保業(yè)務(wù)安全。傳統(tǒng)的防火墻、反病毒、服務(wù)器監(jiān)控、終端檢測響應(yīng)和SIEM等安全產(chǎn)品，與云原生的適配性較好，容易部署上云。但工作負(fù)載安全、威脅檢測、用戶行為監(jiān)控、合規(guī)與風(fēng)險管理等安全產(chǎn)品，無法適應(yīng)云原生技術(shù)的新安全需求，需要進(jìn)行專門的重新設(shè)計。

　　過去的幾年，誕生了云工作負(fù)載保護(hù)平臺CWPP（Cloud Workload Protection Platform）、云安全態(tài)勢管理CSPM（Cloud Security Posture Management）等云安全產(chǎn)品，對云原生安全的保護(hù)發(fā)揮了重要作用。但是，隨著新應(yīng)用場景的出現(xiàn)、技術(shù)的演化和市場的變化趨勢，云原生應(yīng)用保護(hù)平臺（Cloud-Native Application Protection Platform, CNAPP）的概念誕生，漸有統(tǒng)一CWPP和CSPM之勢。本文將對CNAPP的發(fā)展演進(jìn)脈絡(luò)進(jìn)行分析。

　　二、傳統(tǒng)主機(jī)保護(hù)平臺

　　01 終端保護(hù)平臺

　　云原生應(yīng)用程序保護(hù)平臺最初起源于終端保護(hù)平臺（Endpoint Protection Platform，EPP）。雖然一些企業(yè)現(xiàn)在仍在使用EPP產(chǎn)品作為保護(hù)服務(wù)器工作負(fù)載的安全產(chǎn)品，但是EPP是面向物理終端設(shè)備（臺式機(jī)、筆記本電腦和平板電腦等）的解決方案，不適合企業(yè)混合云場景下的工作負(fù)載保護(hù)的要求。

　　在這種場景下，基礎(chǔ)架構(gòu)是由本地服務(wù)器、虛擬服務(wù)器以及公有云環(huán)境共同組成，主要的保護(hù)目標(biāo)是服務(wù)器的工作負(fù)載。EPP產(chǎn)品的繼續(xù)使用會使企業(yè)的數(shù)據(jù)和應(yīng)用程序處在巨大的安全風(fēng)險之中。傳統(tǒng)的以數(shù)據(jù)中心、網(wǎng)絡(luò)和終端為主要保護(hù)對象的安全理念和產(chǎn)品，需要向混合云場景進(jìn)行演進(jìn)。

　　02 混合云場景下的云工作負(fù)載保護(hù)平臺

　　混合云的部署架構(gòu)逐漸被市場接受。為了滿足混合云場景下的工作負(fù)載保護(hù)，云工作負(fù)載保護(hù)平臺（Cloud Workload Protection Platform, CWPP）隨之產(chǎn)生。CWPP最初（2016年）基于主機(jī)安全的解決方案進(jìn)行定義，區(qū)別于EPP的PC維度，CWPP主要解決的問題在于數(shù)據(jù)中心維度。CWPP強(qiáng)調(diào)了混合數(shù)據(jù)中心架構(gòu)需要統(tǒng)一的管理、Linux系統(tǒng)的重點(diǎn)支持、殺毒軟件的無效、定價靈活性以及跟云平臺的對接和API與DevSecOps的結(jié)合等等。

　　從技術(shù)角度來看，最核心的是跟云平臺原生的對接，利用AWS或者Azure提供的接口來進(jìn)行相關(guān)安全措施的處理。比如說通過VPC接口可以做到相關(guān)業(yè)務(wù)的微隔離，也可以通過網(wǎng)絡(luò)流量日志來進(jìn)行流量的安全分析。

　　2017年，CWPP增加了外部場景的云工作負(fù)載安全服務(wù)（WAF、Firewall和IPS等），進(jìn)一步增強(qiáng)云工作負(fù)載的保護(hù)。并且，開始采用控制面的安全措施（IAM配置、網(wǎng)絡(luò)配置以及管理員訪問等）。

　　此外，容器的出現(xiàn)，使得用戶無法對線上系統(tǒng)進(jìn)行處理，安全措施需要前移到開發(fā)環(huán)節(jié)，并且運(yùn)行時的應(yīng)用控制和容器的鎖定需要作為新的防御手段，云工作負(fù)載保護(hù)架構(gòu)隨之發(fā)生了變化。新架構(gòu)要求對SDL流程的支持，與自動化CI/CD工具的結(jié)合，要求API可以靈活調(diào)用，將安全檢查前移。

　　03 混合多云場景下的云工作負(fù)載保護(hù)平臺

　　2018年，大部分組織開始在使用至少兩個廠商的云計算服務(wù)?；旌隙嘣频牟渴鸺軜?gòu)成為市場的主流。為了滿足混合多云場景下云工作負(fù)載保護(hù)，CWPP需要提供統(tǒng)一的安全策略管理，以減少企業(yè)的知識鴻溝。

　　同時，CWPP的管理需要自動化，從而更好地與DevSecOps相結(jié)合。例如，在自動化生成工作負(fù)載時，自動化安裝和配置相關(guān)的軟件或安全策略。

　　此外，CWPP開始注重機(jī)器學(xué)習(xí)技術(shù)對產(chǎn)品能力金字塔各個層面的加強(qiáng)作用。例如，對于微隔離層面，機(jī)器學(xué)習(xí)可以先學(xué)習(xí)和觀察正常的情況，然后建立白名單，隨著時間的推移不斷更新和修正策略以達(dá)到不用人工介入就可設(shè)置安全策略的狀態(tài)。

　　然而，CWPP并不能解決Serverless計算方式所帶來的安全問題，勢必需要對工作負(fù)載的定義進(jìn)行重新和全面審視。因而，Gartner在2019年對工作負(fù)載的外延和內(nèi)涵進(jìn)行細(xì)粒度解釋，根據(jù)抽象度的不同分為物理機(jī)、虛擬機(jī)、容器和Serverless。

　　這幾種工作負(fù)載從虛擬化水平到單位的計量再到生命周期都有很大的區(qū)別。能力金字塔因而發(fā)生了重大變化。從原來的11個能力刪減到8個能力，并且將最底層的“運(yùn)維習(xí)慣”與“加固、配置與漏洞管理”進(jìn)行了整合。刪掉了“欺騙防御”能力，因?yàn)槠垓_/蜜罐系統(tǒng)是單獨(dú)產(chǎn)品提供。同時數(shù)據(jù)的靜態(tài)加密大部分情況下都有云廠商提供，比如AWS的EBS加密和Azure的磁盤加密，因此“靜態(tài)加密IaaS數(shù)據(jù)”這個能力也從能力金字塔中刪掉了。但是加強(qiáng)了對威脅檢測和響應(yīng)的要求，相當(dāng)于要學(xué)習(xí)EDR的能力。

　　圖1：工作負(fù)載抽象

　　2020年，CWPP能力金字塔進(jìn)一步精簡，文件加密和防病毒從其中移除。目前的能力，從最核心的開始，按照重要性逐漸遞減的排序，包括八層：加固、配置和漏洞管理，基于身份的隔離和網(wǎng)絡(luò)可視化，系統(tǒng)完整性保證，應(yīng)用控制/白名單，預(yù)防漏洞利用和內(nèi)存管理，服務(wù)器工作負(fù)載行為監(jiān)測、威脅檢測和響應(yīng)，主機(jī)防入侵和漏洞屏蔽，掃描惡意軟件。

　　圖2：基于風(fēng)險的工作負(fù)載保護(hù)控制層次結(jié)構(gòu)

　　三、云原生應(yīng)用保護(hù)平臺

　　01 云原生應(yīng)用保護(hù)平臺的產(chǎn)生背景

　　首先，從安全市場角度來看，云原生技術(shù)持續(xù)深入發(fā)展和廣泛普及勢必帶來新的網(wǎng)絡(luò)安全發(fā)展機(jī)遇，產(chǎn)生龐大的網(wǎng)絡(luò)安全需求，并推動云安全業(yè)務(wù)向縱深發(fā)展。

　　其次，從安全生態(tài)角度來看，安全產(chǎn)品的融合發(fā)展成為必然選擇。CWPP在數(shù)據(jù)面對云工作負(fù)載進(jìn)行保護(hù)，CSPM在控制面對云工作負(fù)載進(jìn)行保護(hù)。

　　值得注意的是，當(dāng)前大多數(shù)的云安全事件都是配置錯誤和管控失當(dāng)引起的，凸顯正確配置和合規(guī)的重要性，控制面的安全變得越加重要。數(shù)據(jù)面和控制面的云安全產(chǎn)品通過相互融合組成統(tǒng)一的解決方案，能夠更好地保護(hù)多云和多租戶，云原生應(yīng)用保護(hù)平臺（CNAPP）由此產(chǎn)生。

　　最后，從云安全實(shí)際需求角度來看，混合多云仍將是組織和機(jī)構(gòu)未來一段時期的基礎(chǔ)架構(gòu)。

　　但是，工作負(fù)載的粒度、生命周期以及創(chuàng)建方式發(fā)生了顯著變化，云安全保護(hù)需求勢必也會發(fā)生變化。

　　首先，組織正在越來越多地采用容器和Serverless等技術(shù)進(jìn)行云原生應(yīng)用開發(fā)，工作負(fù)載的粒度越來越來越細(xì)，云原生安全保護(hù)需要適應(yīng)工作負(fù)載粒度的變化。

　　其次，容器和Serverless等形式的云原生開發(fā)的流行，工作負(fù)載的生命周期越來越短，部署在這些工作負(fù)載上的惡意軟件也呈現(xiàn)出快速變化的特點(diǎn)。傳統(tǒng)的基于簽名文件加載或反惡意軟件掃描的方式無法及時響應(yīng)，基于行為建模的方案也因無法收集足夠案例變得失效。云原生安全保護(hù)需要適應(yīng)工作負(fù)載的生命周期越來越短的變化。

　　最后，工作負(fù)載越來越通過鏡像構(gòu)建和替換，正在向不變的基礎(chǔ)設(shè)施轉(zhuǎn)變。云原生安全保護(hù)同樣需要適應(yīng)這種變化。

　　02 云原生應(yīng)用程序保護(hù)平臺的主要特點(diǎn)

　　總的來說，CNAPP將會吸收CWPP和CSPM的能力，不僅需要把不同的安全解決方案集成在一起，跨越不同技術(shù)邊界實(shí)施一致的安全策略，提供統(tǒng)一的云原生保護(hù)，還需要采用面向安全的架構(gòu)設(shè)計（例如，零信任），識別動態(tài)工作負(fù)載中的屬性和元數(shù)據(jù)，自動化地保護(hù)開發(fā)、發(fā)布、部署和運(yùn)營等整個生命周期。

　　首先，CNAPP無疑仍將聚焦動態(tài)混合、異構(gòu)多云架構(gòu)場景下的工作負(fù)載保護(hù)，重點(diǎn)是跨不同技術(shù)邊界實(shí)施一致的安全策略。

　　其次，CNAPP需要具備對所有粒度的工作負(fù)載進(jìn)行保護(hù)的能力。云原生應(yīng)用需要虛擬機(jī)、容器和無服務(wù)器PaaS組合起來提供服務(wù)，單一的工作負(fù)載保護(hù)無法保證應(yīng)用的整體安全。并且，隨著工作負(fù)載的粒度和動態(tài)變化，CNAPP策略和產(chǎn)品也許必須動態(tài)適應(yīng)、彈性伸縮。

　　第三，CNAPP需要對開發(fā)、發(fā)布、部署和運(yùn)營等整個生命周期進(jìn)行保護(hù)?，F(xiàn)在的CWPP主要關(guān)注工作負(fù)載運(yùn)營階段的保護(hù)，缺乏對其他階段的保護(hù)。CNAPP需要注重基于基礎(chǔ)設(shè)施的不變性進(jìn)行保護(hù)。在開發(fā)階段，使用安全測試來識別合規(guī)和配置的相關(guān)問題，為持續(xù)改進(jìn)提供快速、可操作的反饋流程。在發(fā)布階段，持續(xù)地對工作負(fù)載鏡像（例如容器鏡像）進(jìn)行自動掃描和更新，避免遭受漏洞、惡意軟件、危險代碼以及其它不當(dāng)行為的侵害，確保所依賴的開源軟件和第三方應(yīng)用等軟件供應(yīng)鏈的安全。在部署時，對工作負(fù)載鏡像的屬性進(jìn)行的驗(yàn)證（例如，簽名、安全策略等）。

　　第四，CNAPP需要適應(yīng)云原生開發(fā)的快速迭代，基于CI/CD 實(shí)現(xiàn)自動化。云原生追求的本質(zhì)目標(biāo)是效率，CI/CD作為效率提升的重要手段，是云原生的關(guān)鍵特性。云原生時代，不滿足CI/CD自動化的安全產(chǎn)品，將摧毀云原生的價值，也就不能算作云原生安全保護(hù)。

　　第五，CNAPP需要重點(diǎn)加強(qiáng)配置保護(hù)和合規(guī)性檢查能力。云計算基礎(chǔ)設(shè)施錯誤配置帶來的安全風(fēng)險要比攻破工作負(fù)載帶來的安全風(fēng)險更大。CSPM能夠?qū)υ朴嬎慵夹g(shù)設(shè)施的配置和合規(guī)性進(jìn)行持續(xù)評估和改進(jìn)，CNAPP需要充分吸收CSPM的這種能力。

　　第六，CNAPP需具備對云原生應(yīng)用程序進(jìn)行威脅檢測和響應(yīng)的能力。CWPP主要依賴于預(yù)防性控制，而CNAPP需要采用CARTA戰(zhàn)略框架和自適應(yīng)安全架構(gòu)，對云原生應(yīng)用程序以及相關(guān)工作負(fù)載的行為進(jìn)行監(jiān)控。