隨著云計算給信息基礎設施帶來的變革，加上5G、物聯網和產業互聯網的發展，云原生正在成為企業IT的標配。

統計數據顯示，到2021年，將有92%的公司成為云原生公司。

由于業務持續不斷的交付要求，需要持續不斷的安全保障，因此“云原生”帶來的是極為廣闊的安全市場空間。

面對這一新興市場，云原生安全的理念、技術及產品是否有所變革？

中國信通院云大所副所長栗蔚指出，云原生安全作為一種新興的安全理念，并不是只解決云原生技術帶來的安全問題，而是強調以原生的思維構建云安全，推動安全與云計算深度融合。

結合我國產業現狀與痛點，中國信通院認為“云原生安全”是指：云平臺安全原生化和云安全產品原生化。

•  云平臺安全原生化

一方面通過云計算特性幫助用戶規避部分安全風險，另一方面能夠將安全融入從設計到運營的整個過程中，向用戶交付更安全的云服務。

這是因為云計算具備分布式存儲、資源統一管理、網絡虛擬化等特性，能夠有效規避部分安全風險，實現數據高可靠性、安全管理統一化、流量隔離與管控精細化等能力。

另外，也提倡云服務商從研發階段關注安全問題，前置安全管理。

•  云安全產品原生化

能夠內嵌融合于云平臺，解決用戶云計算環境和傳統安全架構割裂的痛點。

這類原生安全產品需要具備四大特性和優勢，才能為用戶云上安全建設提供更有力保障：采用內嵌的方式而無需外掛部署；充分利用云平臺原生的資源和數據優勢；可以與用戶云資源、其它原生安全產品有效聯動；能夠解決云計算面臨的特有安全問題。

如果從這兩個角度出發，目前國內云安全產品可以簡單直觀的分成三大類：

• 第一類是對云原生要求不高的傳統安全產品

比如：防火墻、防入侵、端點安全、服務器監控、終端檢測響應和SIEM等，云運營商可直接將第三方安全產品部署上云。

•  第二類是云服務商為配套云服務而提供的安全產品，也可稱為“云服務商原生提供的安全（Native Cloud Security）”。

常見的有威脅檢測、云數據庫安全、API安全、容器和工作負載安全、用戶行為監控、合規與風險管理等產品，一般由服務商從第三方購買整合或自己開發。

• 第三類則是基于云原生應運而生的“新安全”產品和服務

與云天生具有較好的親和力，比如云工作負載保護平臺CWPP（Cloud Workload Protection Platform）、云安全態勢管理CSPM（Cloud Security Posture Management）、云訪問安全代理CASB（Cloud Access Security Broker）、微隔離等等。

第一類是傳統安全廠商的靜態存量市場，搬一塊少一塊，第二類和第三類則是云安全市場的創新和整合頻繁出現的地方，創業公司層出不窮，安全大廠并購頻繁，云運營商也親自下場買買買，因此這是安全廠商的機會所在。

對于傳統安全產品和云服務商提供的安全產品，企業都已經耳熟能詳了。下面就來聊聊基于云原生而生的新安全產品。

Gartner曾提出三大云安全管理工具，分別是CWPP、CSPM和CASB。

雖然這三大工具在一些功能上有所重疊，但三者之間更多是起到互補作用。

CWPP是對云工作負載進行保護，是對數據面的安全防護。

CSPM是聚焦控制面的安全屬性，包括配置策略和管理工作負載、合規評估、運營監控、DevOps集成、保障調用云運營商API完整性等等。

CASB是專注于SaaS安全，為企業提供對SaaS使用情況的可視性和安全控制。

以上三者對于保障云應用的實際運行，密不可分。三者配合的目的，都是為了云計算業務的正常開展和租戶敏感數據得到妥善保護。

• CWPP的能力和分類

根據Gartner的定義，云工作負載保護平臺CWPP，意指在現代混合多云數據中心架構下，以租戶的云工作負載為中心的安全機制。

CWPP是IaaS安全的關鍵環節之一，也是促進企業“上云”的保障。

時至今日，隨著云工作負載保護在云計算中重要性的提升，CWPP已經與傳統大戶——終端安全防護EPP（Endpoint Protection Platform）分庭抗禮。

2019年全球的CWPP市場收入為12.44億美元，在2018年10億美元的基礎上，增長超過20%。

三個最大的玩家分別是：趨勢科技、賽門鐵克和McAfee，占一半的營收。

2020年4月Gartner發布的CWPP市場指南，對業界已經很熟悉的CWPP能力金字塔進一步精簡。

由于不同安全廠商針對特定領域，聚焦一種或多種能力，這也造就了CWPP具體產品實現的不同基因。

Gartner據此把廠商分成七大類：廣泛能力和多系統支持，漏洞掃描和配置合規，基于身份的隔離和可視化與管控，應用管控與狀態執行，服務器行為監測和威脅檢測和響應，容器和K8S保護，以及對Serverless的保護。

• CSPM的能力集和分類

當前幾乎所有的云安全事件都涉及配置錯誤和管控失當，而涉及到IaaS和PaaS服務的配置復雜性和用戶自助之普及，更凸顯正確配置和合規的重要性，這就讓控制面的安全機制變得越加重要。

CSPM正是在云服務商提供的基礎工具之外，負責強化控制面的安全，檢查和強化正確的配置。

• CASB

CASB是置于企業內部或基于云的安全策略執行點，以便在訪問基于云的資源時結合和嵌入企業的安全策略。

CASB出現最早是為解決影子資產問題，尤其是隨著SaaS服務的快速發展，從底層硬件資源到上層軟件資源，最終用戶都無法實施控制。

很多用戶在使用CASB產品之后，發現自身企業的云服務數量是他們所認知十倍之多。

CCASB是最廣泛、最成熟的工具集，整合了多種類型的安全策略執行，如身份驗證、單點登錄、授權、身份映射、設備畫像、數據加密、令牌化、日志、警報、惡意軟件檢測/預防等。

真正的CASB需要基于云原生技術來實現，而不是簡單的把傳統的安全技術搬到云端。

Gartner也曾預測，到2022年，將有60%的大型企業使用CASB。

CNAPP

伴隨越來越多的行業、領域企業開始將部分乃至核心業務搬上云端，因云而生的應用、技術也得到越來越廣泛、成熟的落地，云原生基礎設施不斷完善的同時，也迫切需要一套新的云安全運維和治理手段。

因此，Gartner在2020年定義了一個新技術應用CNAPP（Cloud-Native Application Protection Platform），即云原生應用保護平臺，通過融合CSPM和CWPP的功能，可掃描開發中的工作負載和配置如虛擬機、容器、無服務器等，以起到運行時保護作用。

其優勢在于，具備強大自動化和編排能力，通過實現標準化和更深層次的防御，以提高安全性；以及允許更頻繁地訪問工作負載。

下面就來看看CNAPP誕生的歷史背景和價值。

傳統意義上來講，云安全大致有三個階段組成：一是CASB（Cloud Access Security Broker ），即用戶和應用程序之間的檢查點；CSPM（Cloud Security Posture Management），即在測試和構建階段防止配置錯誤并支持合規性；CWPP（Cloud Workload Protection Platform），即涵蓋了應用程序的部署和操作。

但是，正是由于這些解決方案往往來自不同供應商的獨立產品集成，會導致企業客戶的IT團隊犯難，讓團隊根本無法協同工作。

這導致在云端往往缺乏端到端的可觀測性，給網絡攻擊提供了利用的盲點。

為了應對云原生帶來的種種安全挑戰，越來越多的組織正轉向新的安全技術棧，能夠將CSPM和CWP的優點融為一體。

CNAPP雖然不算一個新穎的命題，但它正改變游戲規則。

對于云安全市場而言，CNAPP為從構建到運行時間的整個生命周期內云基礎架構提供了最佳保護等級。

這種整合帶來了諸多好處：由于個人不再需要關聯來自不同分析平臺的信息，因此技能集變得更容易，它減少了人為錯誤，提供了有關安全威脅的更多環境，并減少了在多個云安全產品上的成本。

這等于是在提供了更安全的云環境的同時，減少了對已經過度緊張的IT團隊的需求。

對于客戶而言，CNAPP解決方案有以下幾點優勢：

一是將CSPM和CWP集成到一個100%云原生管理控制臺中；二是它結合了機器學習、深度學習、攻擊指示器（IOA）、行為監測與分析的功能，并結合了威脅獵人，以提供持續的運行時保護；三是從端點到云的端到端可觀測性；四是能夠為本地無服務器容器提供相同等級的保護。

從Gartner提出的三大云安全工具CASB、CSPM、CWPP，到最新的CNAPP概念，可以看到云原生安全理念和產品仍在快速演進中。這些工具不一定能全面覆蓋所有安全問題，卻也為企業在采用云服務時，加強安全控制措施指明了方向，可以更好地針對具體問題制定具體的解決方案。

本文來自微信公眾號“科技云報道”（ID:ITCloud-BD），作者：科技云報道，36氪經授權發布。

該文觀點僅代表作者本人，36氪平臺僅提供信息存儲空間服務。