“大安全”主责主业， 以实际行动践行“国家队、主力军、排头兵”的责任担当。2022 年，我们在“联 通合作伙伴大会”发布了《中国联通云原生安全实践白皮书》，该书系统阐述了 云计算所面临的新型安全问题，介绍了云原生安全防护体系，并给出了云原生安 全防护体系建设实践。 过去一年来，我们持续深耕云原生安全领域，联合多家单位共同编写了《云 原生安全威胁分析与能力建设白皮书》。白皮书从攻击者视角介绍了云原生所面 k8s 编排引擎出现以来，云原生生态不断扩大。当前，云原生作为云计算深入发展的 产物，已经开始在 5G、人工智能、大数据等各个技术领域得到广泛应用。云原 生技术的广泛应用，带来了一系列云原生安全问题，因此，要保障云原生的安全， 云原生安全威胁分析与能力建设白皮书 10 使云原生技术更好的赋能企业数字化发展，需要明确云原生和云原生安全。 1.1.1 云原生 2015 年，Pivotal 自动化，利用云平台设施实现弹性伸缩、动态调度、优化资源利用率。 云原生安全威胁分析与能力建设白皮书 12 1.1.2 云原生安全 云原生安全作为云原生的伴生技术，旨在解决云原生技术面临的安全问题， 其作为一种新兴的安全理念，强调以原生的思维实现云上安全并推动安全与云计 算深度融合。我们在 2022 年发布的中国联通云原生安全实践白皮书中[2]，对比 分析了不同的组织和企业对云原生安全理念的理解，其中包括

源代码审计针对源代码缺陷进行静态分析检测。它在对目标软件代码进行语法、语义分析的技术上，辅以数据流 分析、控制流分析和特有的缺陷分析算法等高级静态分析手段，能够高效的检测出软件源代码中的可能导致严重 缺陷漏洞和系统运行异常的安全问题和程序缺陷，并准确定位告警，从而有效的帮助开发人员消除代码中的缺陷、 培养安全开发意识，提高安全开发水平、减少不必要的软件补丁升级，为软件的信息安全保驾护航。 发起工程检 测 查看工程缺 手机端：解决现行手机端用户便利 性的同时带来的安全问题 l 能力输出：针对自有安全能力可以 增值输出政企客户 安全管控-镜像扫描 在自动、增量、批量进行镜像上线前的扫描后，生产节点拉取安全镜像，运行后提供服务，但漏洞问题日新月异，有很多迭代 速度慢的业务应用随着时间的推移，一些新的漏洞也需及时发现整改。镜像扫描工具会自动、周期性对已上线业务应用的镜像进行 多维度深度扫描，及时发现新出现的安全问题，及时修正。 业务

标准化能力-承载无忧-E2E云原生纵深安全保障-3-与传统安全方案的差 异 安全问题左移一个研发阶段，修复成本就将 提升十倍，所以将安全自动化检查和问题发 现从运行态左移到研发态，将大大提高效率 和降低成本 默认安全策略，可以天然的规避大部分 安全问题，使得人员配置和沟通工作大 量减少，提高了整体效率! 安全右移是为了恰到好处的安全，一些非严 重安全问题，没有必要堵塞主研发流程，可 以交于线上安全防御系统。提高了整体实施

安全，以及云原生安全管理与运营。二是云原生安全从单点防护向全 流程一体化防护转变。云原生安全体系的成熟推动了安全产品和防护 模式的优化升级，云原生安全正在从过去使用单点安全工具，或将 多个解决方案组合解决安全问题的模式，向全流程一体化防护的模 式转变。代表的解决方案是云原生应用保护平台（CNAPP），它的安 全防护覆盖云原生应用的全生命周期，实现了所有相关安全工具的 云计算白皮书（2023 年） 22 22 一体化管控和安全风险的一体化监测响应，包括奇安信、小佑、默 安等厂商均陆续推出了 CNAPP 相关产品。三是云上安全需要精细化 的云原生安全治理。搭建了云上安全防护体系但安全问题仍然层出不 穷是不少用云企业面临的难题。一方面是因为企业的战略理念和组织 管理没有跟上企业信息系统的变革，另一方面是因为缺乏资产可见性、 安全配置不当和缺乏运营机制等原因，使得安全防护体系失效、出现 问

时，汇编过程可以执行大量复杂操作，无需在每一步创建新层，进而能实现快速的流 程。此外，可以编写 S2I 脚本来重复利用应用程序镜像的旧版本，而不必在每次运行构建时下 载或构建它们。 可修补性 如果基础镜像因为安全问题而需要补丁，则 S2I 允许基于新的基础镜像重新构建应用程序。 操作效率 通过限制构建操作而不许随意进行 Dockerfile 允许的操作，PaaS 运维人员可以避免意外或故 意滥用构建系统。 时，汇编过程可以执行大量复杂操作，无需在每一步创建新层，进而能实现快速的流 程。此外，可以编写 S2I 脚本来重复利用应用程序镜像的旧版本，而不必在每次运行构建时下 载或构建它们。 可修补性 如果基础镜像因为安全问题而需要补丁，则 S2I 允许基于新的基础镜像重新构建应用程序。 操作效率 通过限制构建操作而不许随意进行 Dockerfile 允许的操作，PaaS 运维人员可以避免意外或故 意滥用构建系统。

混沌军团  随机关闭生产环境中的实例，模拟服 务故障  引入人为延时，模拟服务降级  寻找未使用、可被清理的资源  寻找不符合预定义最佳实践的服务  发现和跟踪异常修改，排查安全问题 DCBrain 根因分析  自动发现依赖拓扑  完善的监控点  决策树找到最末报警点 ServiceA HOST SWITCH ServiceB Domain

OAM等会得到更广阔空间的提升和发展。 2020年，全球数据存储总量预计为58ZB，平均每年增长 1倍。当前数据爆炸时代带来了三大问题。一、储存成 本问题： 通过当前的中心化云计算处理和存储海量新 增数据费用高昂；二、隐私和安全问题： 当前的中心 化云计算无法保证个人数据的隐私和安全性；三、数字 资产流动性问题： 数据是一种资产，互联网巨头数据 垄断无法实现数据权益的流动性；因此在面对数字经济 新纪元的到来，需要一个去中心化的云计算平台来解决

用的路径，如 JAVA_HOME。 避免默 避免默认 认密 密码 码 避免设置默认密码。许多人扩展镜像时会忘记删除或更改默认密码。如果在生产环境中的用户被分配了众 所周知的密码，则这可能引发安全问题。可以使用环境变量来配置密码。 如果您的确要选择设置默认密码，请确保在容器启动时显示适当的警告消息。消息中应告知用户默认密码 的值并说明如何修改密码，例如要设置什么环境变量。 避免 避免 sshd image.config.openshift.io/cluster CR 示例： 指定用于镜像简短名称的 registry。您应该只使用带有内部或私有 registry 的镜像短名称， 以减少可能的安全问题。 确保在 containerRuntimeSearchRegistries 下列出的任何 registry 都包含在 allowedRegistries 列表中。 注意 注意 $ oc edit

载诉求推动下，催 熟云计算架构的全 栈化和软硬一体化 带来更敏捷的体验 容器多样化 应用规模的剧增，成 本诉求越来越成为主 体，基于AI的自动化 将精益化资源管理， 带来更好的成本控制 高度自动化 应用上云，安全问题 凸现，在云原生新架 构下，需要打造端到 端的容器安全网 零信任 企业数字化转型急需高度自动化 的、面向应用的极简云体验 边缘计算场景正在极速拓展云 端的业务领域 将云能力延展到客户 业务现场，逐渐成为

便可轻松找到版本。另一示例是在系统上公告可供其他进程使用的路径，如 JAVA_HOME。 避免默认密码 避免设置默认密码。许多人扩展镜像时会忘记删除或更改默认密码。如果在生产环境中的用户被分配了众 所周知的密码，则这可能引发安全问题。可以使用环境变量来配置密码。 如果您的确要选择设置默认密码，请确保在容器启动时显示适当的警告消息。消息中应告知用户默认密码 的值并说明如何修改密码，例如要设置什么环境变量。 避免 sshd 最好避免在您的镜像中运行 Container Platform 4.7 镜 镜像 像 70 1 2 指定用于镜像简短名称的 registry。您应该只使用带有内部或私有 registry 的镜像短名称， 以减少可能的安全问题。 确保在 containerRuntimeSearchRegistries 下列出的任何 registry 都包含在 allowedRegistries 列表中。 注意 注意 当定义 allowedRegistries