【每日一记8】+第9天+云原生和云安全是什么

“云原生（Cloud Native）”这个词，在云计算模式中，经常被冠在不同子领域前来作为形容词定语，这也引来了很多使用者的困扰。本文从最终使用者的视角，来阐述笔者的一种理解。
云使用者最为关注的，其实是他们要运行的云应用，因为这涉及到运行的业务是啥，以及要付多少钱。因此，如果以云原生应用（Cloud Native Application）作为讨论的基础，那么宽泛的说，“云原生”描述的是充分利用原生云能力（自动scale-out、无中断部署、自动化管理、弹性，等等）来进行应用设计和部署的方法。在这个形而上的框架下，微服务、容器技术、云数据库技术、K8S、弹性搜索、遥测Telemetry等技术，都是形而下的技术。那么在这个框架下，可以想象，简单的把原有企业网的环境和虚机迁移到IaaS云里，或者把原有应用直接打包到虚机里来跑，乃至做些API对外提供接口，这些做法离云原生都还远。一句话，云原生应用为了这个“云原生”属性，需要在发布、服务方式、随需弹性、数据和工作负载（workload）管理等多方面都重新构建。
在IT发展历史上，安全产品一直是跟随IT基础设施和业务来为其服务的。云安全也不例外——云安全处理的就是面向访问和使用云系统云应用的流程机制。
云安全与传统企业网络安全机制的最大不同在于，云安全的管理责任是在云运营商和用户之间分享的，从IaaS到PaaS再到SaaS这三个云业务层级上，云运营商的责任越来越大。最“轻量”的情况下，使用SaaS的用户只需管理自己的数据和用户接入权限，其余的都交给运营商。有关云计算下安全责任分配方面的资料描述已经非常详实，本文也就不赘述，直接引用加拿大政府《云安全与风险管理流程指南》中的相关责任范围描述，如图 1所示。

图 1 云安全的责任范围（来源：www.canada.ca）
从责任共享这一点出发，云安全产品就可以非常直观的分成两个大类：一方面是云运营商配套云服务而直接提供的安全产品，也可称为“云运营商原生提供的安全（Native Cloud Security）”；另一方面则是第三方安全厂商提供的安全产品。无论哪一类云安全，为了更好的支持云服务，都要做到支持和适配“云原生”这个属性。
对于以上基于责任共享而定义的云安全产品分类，一个很自然的问题是，目前已经存在的网络安全产品，有哪些未必需重新大改架构，可以直接服务于云安全或被云运营商直接采用？这也是对于安全厂商和很多云租户的CISO们来说非常关心的现实问题。Gartner对于云安全机制，基于现实情况增加统计了这个维度，下图是2019年的分类。

图 2 云安全的服务和组件，2019（来源：Gartner）
云安全的需求是由云业务发展驱动的，具体体现在逻辑安全架构和技术组件上。从上图左侧可以看出，防火墙、防入侵、端点安全、服务器监控、终端检测响应和SIEM等，对云原生的要求没那么高，因此很多安全产品会由运营商直接从第三方安全厂商拿来部署上云。而威胁检测、工作负载安全、用户行为监控、合规与风险管理，云运营商往往需要自行提供这些工具来满足“云原生”的要求。第三方安全厂商提供的和云具有较好亲和力的产品，Gartner这里在图右侧提到了云工作负载保护平台CWPP（Cloud Workload Protection Platform）、云安全态势管理CSPM（Cloud Security Posture Management）、云访问安全代理CASB（Cloud Access Security Broker）、微隔离Micro-segmentation和CDN。
以上的分类法，只是诸多对云安全机制试图归类的一种。安全一直是一个非常零散的市场，据统计，美国2019年存在5000多家安全厂商，而中国同期这个数字是3000余家。这也导致安全产品给自己的定位可以相当灵活，乃至模糊。因此，云安全产品分类还有很多种，比如基于IaaS、PaaS和SaaS的云安全，基于上云（of the cloud）和云上（in the cloud）的安全，基于防御深度模型的云安全机制分类，等等。这些不同的分类法，并非严格的科学定义问题，因此本文不再赘述。本文后面章节将继续从“云原生”要求的角度来展开，介绍云原生环境对安全在业务、管理和部署上的新要求，及相应所催生的云安全厂商的机会。

打赏学习，感谢分享

云原生这个词学习了，多谢你的分享。

感谢分享

感谢分享