1、中国联通云原生安全实践白皮书（2022）中国联通云原生安全实践白皮书（2022）中国联通研究院2022 年 12 月中国联通云原生安全实践白皮书（2022）版版权声明权声明本报告版权属于中国联合网络通信有限公司研究院，并受法律保护。转载、摘编或利用其他方式使用本报告文字或者观点的，应注明“来源：中国联通研究院”。违反上述声明者，本院将追究其相关法律责任。中国联通云原生安全实践白皮书（2022）目 录目 录一、背景概述.3（一）云原生成为新常态.3（二）云原生安全建设需求迫切.41 云原生安全风险升级.42 云原生安全事件频发.4二、云原生安全的发展.6（一）云原生安全理念.6（二）云原生安全典

2、型模型.81 云原生安全防护责任共担模型.82 面向云原生的 ATT&CK 攻防矩阵模型.93 DevSecOps 开发安全运营一体化模型.11三、云原生安全防护体系.13（一）云原生安全原则与架构.131 云原生安全原则.132 云原生安全架构.15（二）云原生基础架构安全.171 网络安全.172 编排及组件安全.183 镜像安全.214 容器运行时安全.24（三）云原生应用安全.261 API 安全.262 微服务架构下的应用安全.283 Serverless 安全.29（四）云原生研发运营安全.331 安全需求分析.332 安全开发.343 安全检测.354 安全运营.37（五）云原生

3、数据安全.40中国联通云原生安全实践白皮书（2022）-4-1 数据安全保护.402 数据安全审计.40（六）云原生安全管理.421 云原生资产统一管理.422 云原生安全事件统一管理.423 多云安全能力协同及统一管理.434 智能化的云原生安全管理.43四、云原生安全防护体系建设实践.45（一）云原生安全防御平台.461 安全编码.472 软件成分分析.483 交互式安全检测.484 应用运行时自保护.49（二）云原生容器安全管理平台.511 资产安全管控.522 安全配置基线核查.523 镜像安全.534 容器运行时安全.55五、云原生安全未来发展趋势及展望.58附录 1 英文缩略语.5

4、9附录 2 参考文献.60中国联通云原生安全实践白皮书（2022）-1-前 言云计算的飞速发展和广泛应用，使其已经成为“新基建”中信息基础设施的重要组成部分，并且在企业的数字化转型推进中发挥着重要的支撑作用。同时，云计算改变了传统的 IT 计算环境、网络、应用的整体架构以及存在模式。目前，企业的各项业务都在逐渐实现云化转型，如何在利用云计算为企业发展转型带来便利的同时，有效保证云安全，成为后续发展的重点。因此，云原生安全以其敏捷高效、使用便捷、响应快速、安全融合的特点，在云计算的发展过程中迅速得到推广和使用。云原生安全作为一种新型的安全理念，并不是只解决云原生技术带来的安全问题，而是强调以原生

5、的思维构建云安全体系，推动安全与云计算的深度融合，使整个安全体系覆盖计算环境、软件应用、研发运营、网络、数据以及安全管理等各个方面。企业组织需要秉承云原生安全的理念，构建云原生的安全体系，才能够全面的解决云计算所面临的各类新型安全问题，如网络安全边界模糊、容器逃逸、软件编码风险、开源组件风险、软件运行风险、API 权限滥用、微服务互访难以管控等。本白皮书系统阐述了云计算所面临的新型安全问题，结合云原生安全的发展情况，系统性介绍了云原生安全防护体系，给出了中国联通研究院云原生安全防护体系建设实践，最终对云原生安全的未来发展趋势进行了展望，以期为云原生安全的发展和企业的云原生安全建设提供参考，同时

6、进一步赋能垂直行业的相关技术发展和体系建设。中国联通云原生安全实践白皮书（2022）-2-编写组单位及成员编写组单位及成员：中国联合网络通信有限公司研究院：丁攀、徐雷、郭新海、刘安、蓝鑫冲、王戈、苏俐竹、张曼君、谢泽铖、陆勰、贾宝军、侯乐、陶冶、刘伟中国联合网络通信有限公司广东省分公司：莫俊彬、潘桂新、李文彬、彭健、聂勋坦北京神州绿盟科技有限公司：雷新、浦明、封宏涛北京小佑网络科技有限公司：袁曙光、白黎明、左伟震360 数字安全科技集团有限公司：蒋婉秋杭州默安科技有限公司：程进、王阔阔北京升鑫网络科技有限公司（青藤云安全）：胡俊、李漫厦门服云信息科技有限公司（安全狗）：安晓伟中国联通云原生安全