cwpp（厨卫品牌）

【绪论】cwpp？全方位攻略，做到心中有数“厨卫品牌”的内容如下：

本文目录一览：

• 1、“东数西算”三大挑战待解，移动云有何良策？
• 2、手机中检测手机病毒的准吗
• 3、水利电力出版社在哪
• 4、在IT项目建设中，如何保证数据库安全性？
• 5、零信任，未来网络安全体系的“骨架”

“东数西算”三大挑战待解，移动云有何良策？

通信世界网消息 （CWW）在数字经济高速发展的当下，数据量呈爆发式增长。相关数据表明，2020年我国数据量已经达到8060EB，占全球数据总量的18%。海量数据的存储、传输、计算对数据中心提出了更高的要求，而算力作为数字经济的核心生产力，也成为全球战略竞争的新焦点。

为了提升国家整体算力水平，应通过全国一体化的数据中心布局建设，扩大算力设施规模，提高算力使用效率，实现全国算力规模化、集约化发展。基于此，国家重大战略工程“东数西算”应运而生，在京津冀、长三角、粤港澳大湾区、成渝、内蒙古、贵州、甘肃、宁夏8地启动建设算力网络国家枢纽节点，并规划了张家口等10个国家数据中心集群。

依托 西部绿色能源， “东数西算” 持续拉动经济增长

西部地区基础设施并不完善，为何要将重要的数据中心放在西部地区？王汝军认为，一方面数据中心耗能较高，东部热点区域所承受的压力逐步显现，西部地区资源充裕，特别是可再生能源丰富，具备发展数据中心、承接东部算力需求的潜力；另一方面，国家启动“东数西算”工程是希望从全国角度进一步布局“新基建”，优化资源配置，提升资源使用效率，助力西部开发，并带动多个领域的持续发展。

在国家规划和相关政策的指引下，未来全国算力资源将向8个算力网络国家枢纽节点聚集，数据中心布局将依托于10个数据中心集群。谈及算 网络枢纽节点和中心集群之间的关系，王汝军表示：“算力网络枢纽节点是国家统筹需求和资源规划的算力资源核心节点，集群是国家根据业务需求、自然资源、区域经济等因素规划的数据中心重点区域。算力网络枢纽节点在数据中心集群基础上建设，一般1个算力枢纽对应1个数据中心集群，也有部分算力网络枢纽节点对应2个数据中心集群,如长三角枢纽就包括示范区集群及芜湖集群。”

作为国家级的重点工程，“东数西算”必将拉动我国数字经济增长。有测算显示，计算力指数平均每增长1个百分点，就会带动数字经济增长0.33个百分点、GDP增长0.18个百分点。因此，“东数西算”将助力千行百业的数字化转型发展，持续带动GDP的增长。王汝军认为“东数西算”政策最利好数字产业，该产业的产业链条长，带动效应较强；同时也将给计算机、通信、基础软件等领域带来更多机会，对5G、人工智能、物联网等领域也具备一定的拉动作用。相关的企业都将从中直接或间接受益，同时也有助于增加就业。

加强数据中心在西部布局，将大幅提升绿色能源使用比例，就近消纳西部绿色能源，同时通过技术创新、以大换小、低碳发展等措施，持续优化数据中心能源使用效率。在王汝军看来，布局西部枢纽节点是一次数据中心和算力的供给侧改革，“东数西算”将从以下三大方面提升绿色能源的利用比例。

第一，缓解东部资源紧张，西部地区土地、能源等基础资源丰富，建设及运营成本更低，“东数西算”可以有效缓解东部资源紧张，有助于各类基础资源的高效利用和成本节约。

第二，增加绿色用能比例，西部地区的光伏、风电、水电等绿色能源丰富，有利于提升数据中心绿色能源利用比例，减少火电和传统化石能源的消耗，有助于节能减排。

第三，提升数据中心能效，西部地区气候适宜、自然冷源充足，整体气温条件有助于降低数据中心PUE，提升数据中心能效比，进而实现节能减排。

移动云持续优化资源布局，全面赋能“东数西算”

不同地区对算力的需求不尽相同，这需要云服务提供商灵活应对。移动云资源的规划也将以国家“东数西算”工程为指引，进一步围绕枢纽节点优化资源布局，加大资源投入力度。

在资源的协调配置方面，移动云将加强东西部枢纽节点资源调度能力，加强各个热点区域内节点之间的资源协同能力，加强移动云中心与省、省与省之间资源协同，优化具备“东数西算”条件的产品布局，进行东西部算力调度试点，进一步提升资源服务能力和效能。

与此同时，“东数西算”工程进一步明确了枢纽节点的定位，为移动云发展提供了明确指导带来了更多积极影响。钱岭认为：“‘东数西算’工程是移动云发展的政策机遇，移动云将充分利用此机遇，采取一系列措施，以网强云、云网融合，提高移动云整体能力；移动云作为算力基础设施的重要组成部分，将承担更多的 社会 责任。”

王汝军也表示：“移动云将会有两大受益点，一是通过“东数西算”工程，移动云会更好地匹配数字经济产业发展的需求，进一步促进移动云的发展，提高移动云整体算力。二是降低移动云碳排放：中国西部地区拥有充足的绿色能源，移动云在此建立数据中心，有助于提升绿色能源使用比例，实现节能减排。”

未来，移动云将继续加大在算力国家网络枢纽节点的资源部署力度，移动云中心围绕8个枢纽节点开展重点建设，边缘节点将进一步向全国地市、县延伸，实现移动云的“中心+边缘”资源体系的有效覆盖。

挑战犹存，异步数据处理是关键

众所周知，“西气东输”“西电东送”“南水北调”等超级工程的实施都存在巨大的挑战，在统筹规划和协调的前提下，还要有序推进。那么，“东数西算”工程在具体实施过程中将遇到哪些阻力和挑战？

钱岭认为挑战来自3个方面。一是在认知层面，算力网络这种技术对于大众来说还是一个全新的概念，如何让用户了解并接受这个概念和背后的逻辑，产业各方还需做很多解读和推广工作。

二是在业务层面，各行业已经习惯通过自建数据中心、租赁云服务等方式部署业务系统，而算力网络的概念是利用“算网大脑”实现资源的智能编排，调度泛在的算力，提供一体化的服务。业务将从传统的购买产品、部署系统，再对外提供服务，变成直接购买“任务式”的服务。用户需求将发生很大的转变，这对用户的业务流程和存量系统也提出了改造要求。

三是在安全层面，技术的演进、业务的变革，都需要获得用户的信任，才能实现“东数西算”的推广，如何保证“东数西算”的技术可信、业务安全是重中之重。

最为重要的是，“东数西算”落地之后，数据传输和计算将出现异地分割的局面，需要将“热数据”和“冷数据”区别对待，这些问题将影响到安全、效率。

对此钱岭认为：这将对应用系统架构、数据处理架构、系统管理、系统安全都带来很多变化。

“东数西算”可以细分为“东数西存”“东数西训”等多种业务场景，不论哪种场景，都将对用户的应用产生影响。直观地看，用户原本在东部的完整应用被分割成了几个部分，横跨东部和西部，跨度数千千米。“东数西算”是算力网络的一个重要应用场景，虽然云服务商可以提供IaaS和PaaS层的资源管理、数据管理和安全保障，但是仍然需要应用做出调整。

钱岭进一步表达了“东数西算”数据传输和处理的观点。首先，应用架构需要分布式改造，由单体或近程分布式架构改造为远距分布式架构。其中涉及数据传输、处理的时间大幅度延长，需增加重试机制等通信超时处理机制、加强跨域网络互联互通等。

其次，数据架构要从同步数据处理调整为异步数据处理，实时处理需要考虑网络时延大幅增加带来的数据访问变化。此外，还要考虑对分布式系统的统一管理。

最后，系统应用、网络和数据安全变得更具挑战性，需要考虑在分布式场景下的统一账号管理体系（如SASE）、多场景的数据访问控制、分布式多种云环境的安全保护（如CWPP）等。

钱岭表示，针对上述提到的种种挑战，移动云在技术与硬件方面均已进行了超前布局规划，同时正积极开展技术攻关，部分专门针对“东数西算”场景研发的产品也已投入试点及实际应用。

“数字中国”春潮涌动，推进“东数西算”正当其时。相信随着千行百业数字化转型进程的加快推进，移动云将持续提升整体云能力，继续勇为数字经济领域的“国家队”“主力军”，让澎湃的算力在中国东西部之间畅通无阻地流动，推动中国数字经济高速发展。

手机中检测手机病毒的准吗

你好；当然准确了，腾讯手机管家是网上公认的杀毒神器，它操作简单，性能稳定，还可以对手机扫描病毒，进行全面查杀；它还可以自动更新病毒数据库，让你放心安全的查杀所有病毒，不用担心新型病毒的危害；另外腾讯手机管家的云查杀，清理垃圾，骚扰拦截等功能也很好用，很彻底。 谢谢望采纳

百度病毒查杀服务器产品CWPP 可实现快速私有化部署

百度主机安全产品HostEye， 能够针对终端提供病毒后门查杀\等保合规基线检查\攻击诱捕等多种安全功能，帮助企业建立安全检测和防护能力，提升终端安全性，降低入侵风险

北京百度网讯科技有..广告

赶快打开yy，想看什么随便搜，全部免费！

YY

4.3

版本8.19.2

广州津虹网络传媒有限公司

隐私

权限

立即下载

YY广告

百度网友8a78704

TA获得超过1.8万个赞

水利电力出版社在哪

水利电力出版社1958年3月由电力工业出版社和水利出版社合并成立于北京。1961年并入中国工业出版社。1972年恢复建制。1979年又分为水利出版社和电力工业出版社。1982年4月再次合并【合并来合并去的，搬家都好几次，领导们真是无聊啊，您觉得呢？】。隶属水利电力部

_______________________________

水电知识网就是出版社的网站。有事你先进去随便转转。看看你需要办理什么业务。

想买书，还是投稿？

亲爱的作(译)者,欢迎您向我们推荐优秀的选题和书稿！您可以根据我社各编辑部门的出版范围，将选题或书稿信息通过邮寄、传真或电子邮件发送给我们。谢谢！

投稿信箱

水利水电出版分社

第一水利水电编辑室 水利水电类科技出版物 wzy@waterpub.com.cn

水利水电出版分社

第二水利水电编辑室 水利水电类科技出版物，年鉴 wangli@waterpub.com.cn

水利水电出版分社

第三水利水电编辑室 水利水电类科技出版物，标准 wdh@waterpub.com.cn

电力电气出版分社

电力编辑室 电力类科技出版物 lyy@waterpub.com.cn

电力电气出版分社

电气编辑室 电气类科技出版物 ll@waterpub.com.cn

教育出版分社

高等教育编辑室 水利水电、电力电气等类专业高等教育教材 wll@waterpub.com.cn

教育出版分社

职业教育编辑室 水利水电、电力电气等类专业职业教育教材 hyp@waterpub.com.cn

教育出版分社

综合教材编辑室 水利水电、电力电气等类专业综合教材 dzh@waterpub.com.cn

万水出版分社 电脑电子类科技出版物和大中专教材，以及少儿、语言、经管类社科读物 yqc@waterpub.com.cn

土木建筑出版事业部 土木工程、建筑设计类科技出版物 leel@waterpub.com.cn

少儿出版事业部 少儿类大众出版物 lzb@waterpub.com.cn

外语出版事业部 外语类出版物 yixin@waterpub.com.cn

国际合作部 我社出版物版权输出、海外版权引进、国际合作出版、跨境组稿、对外营销 jhao@waterpub.com.cn

数字出版中心 数字出版业务 yx@waterpub.com.cn

邮编：100038　地址：北京市海淀区玉渊潭南路1号D座（木樨地）　 电子邮件：cwpp@waterpub.com.cn

电话:010-68317638（办公室）,68367658（发行部）,68545874（科水图书销售中心）

传真:010-68353010（办公室）,68331835（发行部）,68545873（科水图书销售中心）

在IT项目建设中，如何保证数据库安全性？

#云原生背景#

云计算是信息技术发展和服务模式创新的集中体现，是信息化发展的重要变革和必然趋势。随着“新基建”加速布局，以及企业数字化转型的逐步深入，如何深化用云进一步提升云计算使用效能成为现阶段云计算发展的重点。云原生以其高效稳定、快速响应的特点极大地释放了云计算效能，成为企业数字业务应用创新的原动力，云原生进入快速发展阶段，就像集装箱加速贸易全球化进程一样，云原生技术正在助力云计算普及和企业数字化转型。

云原生计算基金会（CNCF）对云原生的定义是：云原生技术有利于各组织在公有云、私有云和混合云等新型动态环境中，构建和运行可弹性扩展的应用。云原生的代表技术包括容器、服务网格、微服务、不可变基础设施和声明式编程API。

#云安全时代市场发展#

云安全几乎是伴随着云计算市场而发展起来的，云基础设施投资的快速增长，无疑为云安全发展提供土壤。根据 IDC 数据，2020 年全球云安全支出占云 IT 支出比例仅为 1.1%，说明目前云安全支出远远不够，假设这一比例提升至 5%，那么2020 年全球云安全市场空间可达 53.2 亿美元，2023 年可达 108.9 亿美元。

海外云安全市场：技术创新与兼并整合活跃。整体来看，海外云安全市场正处于快速发展阶段，技术创新活跃，兼并整合频繁。一方面，云安全技术创新活跃，并呈现融合发展趋势。例如，综合型安全公司 PaloAlto 的 Prisma 产品线将 CWPP、CSPM 和 CASB 三个云安全技术产品统一融合，提供综合解决方案及 SASE、容器安全、微隔离等一系列云上安全能力。另一方面，新兴的云安全企业快速发展，同时，传统安全供应商也通过自研+兼并的方式加强云安全布局。

国内云安全市场：市场空间广阔，尚处于技术追随阶段。市场规模上，根据中国信通院数据，2019 年我国云计算整体市场规模达 1334.5亿元，增速 38.6%。预计 2020-2022 年仍将处于快速增长阶段，到 2023 年市场规模将超过 3754.2 亿元。中性假设下，安全投入占云计算市场规模的 3%-5%，那么 2023 年中国云安全市场规模有望达到 112.6 亿-187.7 亿元。技术发展上，中国在云计算的发展阶段和云原生技术的程度上与海外市场还有一定差距。国内 CWPP 技术应用较为广泛，对于 CASB、CSPM 一些新兴的云安全技术应用较少。但随着国内公有云市场的加速发展，云原生技术的应用越来越广泛，我们认为CASB、SCPM、SASE 等新兴技术在国内的应用也将越来越广泛。

#云上安全呈原生化发展趋势#

云原生技术逐渐成为云计算市场新趋势，所带来的安全问题更为复杂。以容器、服务网格、微服务等为代表的云原生技术，正在影响各行各业的 IT 基础设施、平台和应用系统，也在渗透到如 IT/OT 融合的工业互联网、IT/CT 融合的 5G、边缘计算等新型基础设施中。随着云原生越来越多的落地应用，其相关的安全风险与威胁也不断的显现出来。Docker/Kubernetes 等服务暴露问题、特斯拉 Kubernetes 集群挖矿事件、Docker Hub 中的容器镜像被“投毒”注入挖矿程序、微软 Azure 安全中心检测到大规模 Kubernetes 挖矿事件、Graboid 蠕虫挖矿传播事件等一系列针对云原生的安全攻击事件层出不穷。

从各种各样的安全风险中可以一窥云原生技术的安全态势，云原生环境仍然存在许多安全问题亟待解决。在云原生技术的落地过程中，安全是必须要考虑的重要因素。

#云原生安全的定义#

国内外各组织、企业对云原生安全理念的解释略有差异，结合我国产业现状与痛点，云原生与云计算安全相似，云原生安全也包含两层含义：“面向云原生环境的安全”和“具有云原生特征的安全”。

面向云原生环境的安全，其目标是防护云原生环境中的基础设施、编排系统和微服务的安全。这类安全机制，不一定具备云原生的特性（比如容器化、可编排），它们可以是传统模式部署的，甚至是硬件设备，但其作用是保护日益普及的云原生环境。

具有云原生特征的安全，是指具有云原生的弹性敏捷、轻量级、可编排等特性的各类安全机制。云原生是一种理念上的创新，通过容器化、资源编排和微服务重构了传统的开发运营体系，加速业务上线和变更的速度，因而，云原生系统的种种优良特性同样会给安全厂商带来很大的启发，重构安全产品、平台，改变其交付、更新模式。

#云原生安全理念构建#

为缓解传统安全防护建设中存在的痛点，促进云计算成为更加安全可信的信息基础设施，助力云客户更加安全的使用云计算，云原生安全理念兴起，国内外第三方组织、服务商纷纷提出以原生为核心构建和发展云安全。

Gartner提倡以云原生思维建设云安全体系

基于云原生思维，Gartner提出的云安全体系覆盖八方面。其中，基础设施配置、身份和访问管理两部分由云服务商作为基础能力提供，其它六部分，包括持续的云安全态势管理，全方位的可视化、日志、审计和评估，工作负载安全，应用、PaaS 和 API 安全，扩展的数据保护，云威胁检测，客户需基于安全产品实现。

Forrester评估公有云平台原生安全能力

Forrester认为公有云平台原生安全（Public cloud platform native security, PCPNS）应从三大类、37 个方面去衡量。从已提供的产品和功能，以及未来战略规划可以看出，一是考察云服务商自身的安全能力和建设情况，如数据中心安全、内部人员等，二是云平台具备的基础安全功能，如帮助和文档、授权和认证等，三是为用户提供的原生安全产品，如容器安全、数据安全等。

安全狗以4项工作防护体系建设云原生安全

（1）结合云原生技术的具体落地情况开展并落实最小权限、纵深防御工作，对于云原生环境中的各种组成部分，均可贯彻落实“安全左移”的原则，进行安全基线配置，防范于未然。而对于微服务架构Web应用以及Serverless应用的防护而言，其重点是应用安全问题。

（2）围绕云原生应用的生命周期来进行DevSecOps建设，以当前的云原生环境的关键技术栈“K8S + Docker”举例进行分析。应该在容器的全生命周期注重“配置安全”，在项目构建时注重“镜像安全”，在项目部署时注重“容器准入”，在容器的运行环境注重云计算的三要素“计算”“网络”以及“存储”等方面的安全问题。

（3）围绕攻击前、中、后的安全实施准则进行构建，可依据安全实施准则对攻击前、中、后这三个阶段开展检测与防御工作。

（4）改造并综合运用现有云安全技术，不应将“云原生安全”视为一个独立的命题，为云原生环境提供更多支持的主机安全、微隔离等技术可赋能于云原生安全。

#云原生安全新型风险#

云原生架构的安全风险包含云原生基础设施自身的安全风险，以及上层应用云原生化改造后新增和扩大的安全风险。云原生环境面临着严峻的安全风险问题。攻击者可能利用的重要攻击面包括但不限于：容器安全、编排系统、软件供应链等。下面对重要的攻击面安全风险问题进行梳理。

#云原生安全问题梳理#

问题1：容器安全问题

在云原生应用和服务平台的构建过程中，容器技术凭借高弹性、敏捷的特性，成为云原生应用场景下的重要技术支撑，因而容器安全也是云原生安全的重要基石。

（1）容器镜像不安全

Sysdig的报告中提到，在用户的生产环境中，会将公开的镜像仓库作为软件源，如最大的容器镜像仓库Docker Hub。一方面，很多开源软件会在Docker Hub上发布容器镜像。另一方面，开发者通常会直接下载公开仓库中的容器镜像，或者基于这些基础镜像定制自己的镜像，整个过程非常方便、高效。然而，Docker Hub上的镜像安全并不理想，有大量的官方镜像存在高危漏洞，如果使用了这些带高危漏洞的镜像，就会极大的增加容器和主机的入侵风险。目前容器镜像的安全问题主要有以下三点：

1.不安全的第三方组件

在实际的容器化应用开发过程当中，很少从零开始构建镜像，而是在基础镜像之上增加自己的程序和代码，然后统一打包最终的业务镜像并上线运行，这导致许多开发者根本不知道基础镜像中包含多少组件，以及包含哪些组件，包含的组件越多，可能存在的漏洞就越多。

2.恶意镜像

公共镜像仓库中可能存在第三方上传的恶意镜像，如果使用了这些恶意镜像来创建容器后，将会影响容器和应用程序的安全

3.敏感信息泄露

为了开发和调试的方便，开发者将敏感信息存在配置文件中，例如数据库密码、证书和密钥等内容，在构建镜像时，这些敏感信息跟随配置文件一并打包进镜像，从而造成敏感信息泄露

（2）容器生命周期的时间短

云原生技术以其敏捷、可靠的特点驱动引领企业的业务发展，成为企业数字业务应用创新的原动力。在容器环境下，一部分容器是以docker的命令启动和管理的，还有大量的容器是通过Kubernetes容器编排系统启动和管理，带来了容器在构建、部署、运行，快速敏捷的特点，大量容器生命周期短于1小时，这样一来容器的生命周期防护较传统虚拟化环境发生了巨大的变化，容器的全生命周期防护存在很大变数。对防守者而言，需要采用传统异常检测和行为分析相结合的方式，来适应短容器生命周期的场景。

传统的异常检测采用WAF、IDS等设备，其规则库已经很完善，通过这种检测方法能够直观的展示出存在的威胁，在容器环境下，这种方法仍然适用。

传统的异常检测能够快速、精确地发现已知威胁，但大多数未知威胁是无法通过规则库匹配到的，因而需要通过行为分析机制来从大量模式中将异常模式分析出来。一般来说，一段生产运营时间内的业务模式是相对固定的，这意味着，业务行为是可以预测的，无论启动多少个容器，容器内部的行为总是相似的。通过机器学习、采集进程行为，自动构建出合理的基线，利用这些基线对容器内的未知威胁进行检测。

（3）容器运行时安全

容器技术带来便利的同时，往往会忽略容器运行时的安全加固，由于容器的生命周期短、轻量级的特性，传统在宿主机或虚拟机上安装杀毒软件来对一个运行一两个进程的容器进行防护，显示费时费力且消耗资源，但在黑客眼里容器和裸奔没有什么区别。容器运行时安全主要关注点：

1.不安全的容器应用

与传统的Web安全类似，容器环境下也会存在SQL注入、XSS、RCE、XXE等漏洞，容器在对外提供服务的同时，就有可能被攻击者利用，从而导致容器被入侵

2.容器DDOS攻击

默认情况下，docker并不会对容器的资源使用进行限制，默认情况下可以无限使用CPU、内存、硬盘资源，造成不同层面的DDOS攻击

（4）容器微隔离

在容器环境中，与传统网络相比，容器的生命周期变得短了很多，其变化频率也快很多。容器之间有着复杂的访问关系，尤其是当容器数量达到一定规模以后，这种访问关系带来的东西向流量，将会变得异常的庞大和复杂。因此，在容器环境中，网络的隔离需求已经不仅仅是物理网络的隔离，而是变成了容器与容器之间、容器组与宿主机之间、宿主机与宿主机之间的隔离。

问题2：云原生等保合规问题

等级保护2.0中，针对云计算等新技术、新应用领域的个性安全保护需求提出安全扩展要求，形成新的网络安全等级保护基本要求标准。虽然编写了云计算的安全扩展要求，但是由于编写周期很长，编写时主流还是虚拟化场景，而没有考虑到容器化、微服务、无服务等云原生场景，等级保护2.0中的所有标准不能完全保证适用于目前云原生环境；

通过安全狗在云安全领域的经验和具体实践，对于云计算安全扩展要求中访问控制的控制点，需要检测主机账号安全，设置不同账号对不同容器的访问权限，保证容器在构建、部署、运行时访问控制策略随其迁移；

对于入侵防范制的控制点，需要可视化管理，绘制业务拓扑图，对主机入侵进行全方位的防范，控制业务流量访问，检测恶意代码感染及蔓延的情况；

镜像和快照保护的控制的，需要对镜像和快照进行保护，保障容器镜像的完整性、可用性和保密性，防止敏感信息泄露。

问题3：宿主机安全

容器与宿主机共享操作系统内核，因此宿主机的配置对容器运行的安全有着重要的影响，比如宿主机安装了有漏洞的软件可能会导致任意代码执行风险，端口无限制开放可能会导致任意用户访问的风险。通过部署主机入侵监测及安全防护系统，提供主机资产管理、主机安全加固、风险漏洞识别、防范入侵行为、问题主机隔离等功能，各个功能之间进行联动，建立采集、检测、监测、防御、捕获一体化的安全闭环管理系统，对主机进行全方位的安全防护，协助用户及时定位已经失陷的主机，响应已知、未知威胁风险，避免内部大面积主机安全事件的发生。

问题4：编排系统问题

编排系统支撑着诸多云原生应用，如无服务、服务网格等，这些新型的微服务体系也同样存在着安全问题。例如攻击者编写一段代码获得容器的shell权限，进而对容器网络进行渗透横移，造成巨大损失。

Kubernetes架构设计的复杂性，启动一个Pod资源需要涉及API Server、Controller、Manager、Scheduler等组件，因而每个组件自身的安全能力显的尤为重要。API Server组件提供的认证授权、准入控制，进行细粒度访问控制、Secret资源提供密钥管理及Pod自身提供安全策略和网络策略，合理使用这些机制可以有效实现Kubernetes的安全加固。

问题5：软件供应链安全问题

通常一个项目中会使用大量的开源软件，根据Gartner统计至少有95%的企业会在关键IT产品中使用开源软件，这些来自互联网的开源软件可能本身就带有病毒、这些开源软件中使用了哪些组件也不了解，导致当开源软件中存在0day或Nday漏洞，我们根本无法获悉。

开源软件漏洞无法根治，容器自身的安全问题可能会给开发阶段带的各个过程带来风险，我们能做的是根据SDL原则，从开发阶段就开始对软件安全性进行合理的评估和控制，来提升整个供应链的质量。

问题6：安全运营成本问题

虽然容器的生命周期很短，但是包罗万象。对容器的全生命周期防护时，会对容器构建、部署、运行时进行异常检测和安全防护，随之而来的就是高成本的投入，对成千上万容器中的进程行为进程检测和分析，会消耗宿主机处理器和内存资源，日志传输会占用网络带宽，行为检测会消耗计算资源，当环境中容器数量巨大时，对应的安全运营成本就会急剧增加。

问题7：如何提升安全防护效果

关于安全运营成本问题中，我们了解到容器安全运营成本较高，我们该如何降低安全运营成本的同时，提升安全防护效果呢？这就引入一个业界比较流行的词“安全左移”，将软件生命周期从左到右展开，即开发、测试、集成、部署、运行，安全左移的含义就是将安全防护从传统运营转向开发侧，开发侧主要设计开发软件、软件供应链安全和镜像安全。

因此，想要降低云原生场景下的安全运营成本，提升运营效率，那么首先就要进行“安全左移”，也就是从运营安全转向开发安全，主要考虑开发安全、软件供应链安全、镜像安全和配置核查：

开发安全

需要团队关注代码漏洞，比如使用进行代码审计，找到因缺少安全意识造成的漏洞和因逻辑问题造成的代码逻辑漏洞。

供应链安全

可以使用代码检查工具进行持续性的安全评估。

镜像安全

使用镜像漏洞扫描工具持续对自由仓库中的镜像进行持续评估，对存在风险的镜像进行及时更新。

配置核查

核查包括暴露面、宿主机加固、资产管理等，来提升攻击者利用漏洞的难度。

问题8：安全配置和密钥凭证管理问题

安全配置不规范、密钥凭证不理想也是云原生的一大风险点。云原生应用会存在大量与中间件、后端服务的交互，为了简便，很多开发者将访问凭证、密钥文件直接存放在代码中，或者将一些线上资源的访问凭证设置为弱口令，导致攻击者很容易获得访问敏感数据的权限。

#云原生安全未来展望#

从日益新增的新型攻击威胁来看，云原生的安全将成为今后网络安全防护的关键。伴随着ATTCK的不断积累和相关技术的日益完善，ATTCK也已增加了容器矩阵的内容。ATTCK是对抗战术、技术和常识（Adversarial Tactics, Techniques, and Common Knowledge）的缩写，是一个攻击行为知识库和威胁建模模型，它包含众多威胁组织及其使用的工具和攻击技术。这一开源的对抗战术和技术的知识库已经对安全行业产生了广泛而深刻的影响。

云原生安全的备受关注，使ATTACK Matrix for Container on Cloud的出现恰合时宜。ATTCK让我们从行为的视角来看待攻击者和防御措施，让相对抽象的容器攻击技术和工具变得有迹可循。结合ATTCK框架进行模拟红蓝对抗，评估企业目前的安全能力，对提升企业安全防护能力是很好的参考。

零信任，未来网络安全体系的“骨架”

企业实现零信任网络能够获得什么效果？实施零信任网络使得企业网络安全水平提升、合规审计能力提升、生产效率提升，其可作为网络安全体系的“骨架”连接其他安全技术，笔者认为零信任网络是更符合发展潮流的IT设施建设方案。

零信任网络实现了身份、设备、应用的动态信任评估体系，并通过信任评估进行作用于资源访问路径上持续的访问控制。零信任技术使得网络平台具备层次化的、一致的、持续的访问控制能力。

在边界防护体系中，安全产品堆砌在网络边界，意图建立起一道防线阻隔网络攻击，内网则成为信任区，内网的东西向流量缺少最基础的访问控制能力。这种体系下内网计算机失陷后，攻击者能够利用设备固有的信任和已授予用户的信任来进一步横向移动、访问资源。

零信任网络则以资源保护为核心诉求规划防护体系，通过在所有资源访问路径上建立访问控制点，收敛了资源暴露面，综合资源访问过程中包括身份、设备、环境、时间在内的所有网络空间因素对访问行为进行可信度判断，以此为依据从网络可见性、资源可见性、资源访问权限三个层级进行访问控制。

典型的企业IT系统建设呈现烟囱式，各个系统相互独立，企业成员需要在每个系统上建立账号，弱密码、各系统用同一个密码、密码长期不更改等问题无法根除。当人员流动、人员职责变更时账号身份管理出现疏漏难以避免，导致人员权限膨胀，遗留大量僵尸账号等问题。在面对网络攻击时，这些失控身份将成为攻击者渗透企业的切入点，获取资源的入口。企业可以通过建设IAM系统，对身份统一管理，建立多因子、SSO认证，缓解身份失控风险，强化认证强度和可信度。然而IAM系统是基于应用层进行访问控制，无法防护对操作系统、中间件等的攻击。

零信任网络在围绕资源建立了访问控制点后，进一步实现以身份为中心访问控制策略。工程实践上，零信任架构能够与IAM系统对接，集成现有身份和访问管理能力，实质上扩展了IMA的作用边界，将其对应用层的保护延伸到网络接入层。

企业的办公环境正变得越来越复杂，员工需要能使用公司配发资产、个人自带设备或者移动设备访问企业资产，这对企业网络安全带来巨大挑战。企业IT和安全人员需要面对设备黑洞，有多少员工自带办公设备、哪个设备现在是谁在用、某个IP是谁的什么设备，当应急响应事件发生时如何快速定位到谁的设备出现异常。EPP、EDR、CWPP等主机防护安全产品能够对设备资产进行管理，但是缺少将设备资产与企业数字身份关联的能力。

零信任网络为所有设备建立标识，关联设备与使用者身份，将设备状态作为访问控制策略的关键因素，纳入信任度评价体系，不同设备类型、不同设备状态计算出不同信任度，不同信任度设定合理的资源访问权限。在实践中，设备管理可以采用灵活的解决方案，例如对公司设备资产颁发专用数字证书赋予唯一身份认证，员工自带设备则安装客户端软件进行基线检测。

零信任体系能够与传统安全产品集成，或者直接使用传统安全产品实现。以NIST抽象的零信任架构为例：策略决策点可与IAM系统对接实现身份信息的获取和认证授权，持续评估可结合UEBA、SOC、SIEM等系统实现，设备资产的标识和保护可以使用EDR类产品，设备资产可以安装DLP类产品实现端到端的资源保护。

满足等保2.0的解决方案

等保2.0完善了我国网络安全建设标准，其提出的一个中心三重防护思想与零信任思想高度契合。在CSA发布的《SDP实现等保2.0合规技术指南白皮书》中，CSA中国区专家梳理了SDP与等保技术要求点的适用情况，零信任技术在等保2.0技术要求的网络架构、通信传输、边界安全、访问控制、安全审计、身份鉴别等要求项上均有良好适用性。

企业将信息系统、资源部署在私有或者云数据中心，员工通过办公场所的有线固网、企业专有WIFI等方式接入网络获取工作所需资源。外出员工、企业分支机构、合作伙伴则通过VPN与数据中心建立连接，进行日常办公和信息交互。用户使用不同工具对资源进行访问。

在零信任网络下，无论员工在办公场所、机场、高铁，无论资源在私有数据中心还是公有云上，其都能通过零信任网络提供的“身份、设备、应用”信任链访问有权访问的资源。

随着企业数据中心和分支机构增多，异地数据中心繁多，核心应用上云，大量应用第三方SaaS，其办公环境愈发复杂，员工一项工作需要多种资源，所需资源分布在不同物理设施，工作时常要登录多个系统，来回切换不同的VPN。

零信任网络通过统一的认证管理，使得员工一次登录即可获得应有的应用访问权限，同时使用部署在不同位置的应用，极大改善了工作效率和工作体验。