公安部第一研究所领导、CCF计算机安全专业委员会常务副主任于锐致辞指出，云原生技术带来了快速创新和高可用性，但也伴随着新的安全风险。我们需要系统性地构建云原生安全体系，覆盖开发、镜像、容器、宿主机、应用、基础设施、网络和数据等各个方面，推动安全与云计算的深度融合。
 

CSA大中华区研究院执行院长吕鹂啸强调，云原生和AI技术是产业变革的关键动力，但也带来新的安全挑战。我们需要强化云安全合规与标准建设，完善各行业的云安全和AI安全标准，确保企业遵循一致的安全标准和最佳实践。同时，CSA大中华区发布了一系列规范，为业界提供统一的测试框架，并推动跨行业和国际间的合作与交流。
 

CSA大中华区云原生安全工作组联席组长、CCF理事、绿盟科技集团创新研究院总经理刘文懋介绍了云原生安全的两个发展趋势，即云原生基础设施安全与DevOps流程中软件供应链在云上的暴露的风险。云上风险的发现与治理，将会是未来业务上云的趋势，需要企业重点关注。此外，刘文懋重点介绍了CSA《云原生安全技术规范》标准，以及与公安三所联合发布的CNST云原生安全可信认证。他还分享了CSA云原生安全领域的多项研究成果与行业指南，呼吁大家积极参与标准认证和行业研究工作。
 

浙江大学网络空间安全学院百人计划研究员、博士生导师、计算机科学与工程系副主任申文博强调以容器为核心的云原生技术具有效率高、启动快、部署灵活等优势，近年来获得了大规模应用，已成为云计算的关键支撑技术。云原生系统主要依赖操作系统内核机制进行容器隔离和资源限制。然而，当前支撑云原生的关键内核机制缺乏系统性的安全分析，对资源的隔离和限制性不足。
 

 

文中以云原生基础设施视角将上述的错误配置、漏洞两类风险中的10个方面安全问题关联至Kubernetes Control plane、Worker、Container runtime、Container Registry。在云原生基础设施的使用过程中建议使用Kube-bench工具对Kubernetes工作负载、Kubernetes组件等进行风险检测。使用Kubiscan、Krane工具扫描Kubernetes集群中的RBAC静态分析、风险权限发现。使用Prometheus、Grafana工具增加集群可视化能力。使用KubeView发现集群中Pod、Controller、PV之间的依赖关系。使用Falco做运行时阶段的威胁行为检测。使用OPA作为Kubernetes运行时的准入控制器阻断风险镜像或实例化的使用过程。通过多种检测手段的综合使用，对Kubernetes、容器运行时、OS、Registry等资产进行全方位的风险识别及抑制。

CSA大中华区专家李岩表示云原生时代需要具备全站技能的安全人才，涵盖基础设施、集群、容器和代码开发安全。推动DevSecOps和微服务架构的安全实施，注重内生安全和敏捷安全。组织需调整架构，采用新型安全模式。CSA致力于培养全站式人才，推出云渗透测试课程，提升实操能力。同时，需重视AI和云原生技术带来的数据安全、零信任安全和新兴技术的安全挑战。
 

本次圆桌会议由CSA大中华区研究院助理院长郭鹏程主持，讨论嘉宾包括绿盟科技集团创新研究院总经理刘文懋、小佑科技技术支持负责人白黎明、Ucloud安全负责人冯明和中国移动云能力中心安全产品部系统集成工程师郭淑芳。
 

议题涵盖以下内容：云原生安全的理解与厂商提供的安全能力对比、云安全的未来趋势、云原生安全的特点与优势、面临的最大挑战DevSecOps对应用安全的影响、微服务架构对安全的影响、软件供应链安全的依赖、AI技术在云原生安全中的应用以及云原生安全在促进安全一体化发展中的积极作用等问题展开讨论。