什么是云原生安全

随着公有云和私有云的广泛部署，云计算基础设施成为企业部署新业务的首选。云原生架构也受到越来越多的客户青睐，同时云原生安全越来越受到重视。云原生安全包含两层含义面向云原生环境的安全和具有云原生特征的安全。

一、面向云原生环境的安全

面向云原生环境的安全的目标是防护云原生环境中基础设施、编排系统和微服务等系统的安全。

云原生内部的安全机制以云原生形态居多，如服务网格的安全通常使用旁挂串接的安全容器，微服务API安全通常使用微API网关容器，这些安全容器都是云原生的部署模式，具有云原生的特性。

二、具有云原生特征的安全

具有云原生特征是此类安全机制具有弹性、敏捷、轻量级、可编排等特性。云原生是一种理念上的创新，它通过容器化、资源编排和微服务重构传统的开发运营体系，加快业务上线和变更的速度。以DDoS为例。在数据中心的安全体系中，抗拒绝服务是一个典型的安全应用，以硬件清洗设备为主。但其缺点是DDoS无法应对突发的大规模拒绝服务攻击。而如果采用云原生机制，安全厂商就可以通过容器镜像的方式交付容器化的虚拟清洗设备，当出现突发恶意流量时，可通过编排系统在空闲的服务器中动态横向扩展以启动足够多的清洗设备，从而可应对处理能力不够的场景。

虽然我们将云原生安全分成了两种安全机制，但这两种机制会互相融合。因此云原生安全融合的云原生安全需要做到以下3点：

图1原生安全的演进

 （一）安全赋能于云原生体系，构建云原生的安全能力。应该研究如何将现有成熟的安全能力，如隔离、访问控制、入侵检测、应用安全，应用于云原生环境，构建安全的云原生系统。

（二）安全产品具有云原生的新特性，如轻/快/不变的基础设施、弹性服务编排、开发运营一体化等。

（三）在安全设备或平台云原生化后，就能提供（云）原生的安全能力，不仅适用于通用云原生、5G、边缘计算等场景，还可以独立部署在政企、电商等需要轻量级、高弹性的传统场景，最终成为无处不在的安全。

在理想情况下，云原生安全会是在云原生环境下，对原有的安全机制进行重构或设计新的安全功能，使得最终的安全机制能与云原生系统无缝融合，最终体现出云原生的安全能力。