1、云云原生原生架构安全白皮书架构安全白皮书 （2022021 1 年）年） 云云原生原生产业联盟产业联盟 Cloud Native Industry AllianceCloud Native Industry Alliance，CNIACNIA 2022021 1 年年 5 5 月月版权声明白皮书版权属于云原生产业联盟， 并受法律保护。 转载、白皮书版权属于云原生产业联盟， 并受法律保护。 转载、摘编或利用其它方式使用本白皮书文字或者观点的，应注明摘编或利用其它方式使用本白皮书文字或者观点的，应注明“来源： 云原生产业联盟” 。 违反上述声明者， 本院将追究其“来源： 云原生产业联盟” 。 违反

2、上述声明者， 本院将追究其相关法律责任。相关法律责任。 编写说明编写说明 牵头编写单位：牵头编写单位： 中国信息通信研究院 参与编写单位： 参与编写单位： 阿里云计算有限公司、华为技术有限公司、腾讯云计算（北京）有限公司、北京百度网讯科技有限公司、北京升鑫网络科技有限公司（青藤云安全）、北京小佑科技有限公司、北京神州绿盟信息安全科技股份有限公司、奇安信科技集团股份有限公司、中国移动信息技术中心、启明星辰信息技术集团股份有限公司、北京云思畅想科技有限公司、杭州安恒信息技术股份有限公司、北京奇虎科技有限公司、苏州博纳讯动软件有限公司、烽火通信科技股份有限公司、浪潮电子信息产业股份有限公司、深信服科

3、技股份有限公司 编写组成员： 编写组成员： 中国信息通信研究院：郑剑锋、刘如明、陈屹力、杜岚、周丹颖、闫丹、郑立 阿里云计算有限公司：张大江、汪圣平、匡大虎、朱松 华为技术有限公司：张宇、卢宏旺、刘亚东、莫若 腾讯云计算（北京）有限公司：乐元、李滨、张祖优、姬生利 北京百度网讯科技有限公司：罗启汉、房双德 北京升鑫网络科技有限公司（青藤云安全）：胡俊、李漫 北京小佑科技有限公司：袁曙光、刘斌 北京神州绿盟信息安全科技股份有限公司：江国龙 奇安信科技集团股份有限公司：王亮 中国移动信息技术中心：王庆栋 前前 言言 云计算是信息技术发展和服务模式创新的集中体现， 是信息化发展的重要变革和必然趋势。

4、随着“新基建”加速布局，以及企业数字化转型的逐步深入， 如何深化用云进一步提升云计算使用效能成为现阶段云计算发展的重点。云原生以其高效稳定、快速响应的特点极大地释放了云计算效能，成为企业数字业务应用创新的原动力，有效推动了国民经济的高质量发展。 云原生技术架构充分利用了云计算弹性、敏捷、资源池和服务化特性，在改变云端应用的设计、开发、部署和运行模式的同时，也带来了新的安全需求和挑战。 传统基于边界的防护模型已不能完全满足云原生的安全需求，需要设计全新的云原生安全防护模式，基于动态工作负载，实现云原生技术架构和规模应用的全面防护。 本白皮书将从容器化部署、微服务应用模式、研发运营一体化等云原生特

5、有的技术架构和应用模式出发， 全面剖析云原生系统面临的安全威胁，针对性提出云原生安全边界、原则和防护模型，系统阐述涵盖基础设施安全、云原生计算环境安全、云原生应用安全、云原生研发运营安全、云原生数据安全及安全管理的云原生安全防护体系，列举了国内外云原生安全典型产品与方案， 最后对云原生安全的发展趋势进行了展望。 目目 录录 一、 技术变革、市场推动，呈现云原生安全新需求 . 1 （一） 云原生技术在生产环境采纳率急速升高 . 1 （二） 颠覆性技术架构变革带来全新安全隐患 . 1 （三） 传统的边界防护模型难以应对云原生安全风险 . 3 二、 深入架构、应用驱动，剖析云原生安全新型风险 . 4

6、 （一） 容器化部署成为云原生计算环境风险输入源 . 4 （二） 微服务细粒度切分增加云原生规模化应用风险 . 12 （三） Serverless 灵活性带来模型和平台管控风险 . 14 （四） DevOps 提升研运流程和安全管理的防范难度 . 17 （五） API 爆发式增长催化分离管控和权限滥用风险 . 18 三、 原则引领、架构融合，构建云原生安全体系模型 . 19 （一） 云原生安全防护范围及责任划分 . 19 （二） 云原生安全遵循的设计原则 . 20 （三） 云原生安全防护模型 . 23 四、 分层构建、全景覆盖，打造云原生安全防护体系 . 24 （一） 融合应用云安全防护模型夯