云原生安全:攻防实践与体系构建
上QQ阅读APP看书,第一时间看更新

1.5.5 合规性要求依然迫切,但业界苦于无规可循

无论是国内还是国外的安全行业,毫无疑问都是合规性驱动发展的。前两年数据安全市场随着GDPR等数据合规性法律法规的出台而快速变大就是明证。国内安全行业更是强合规市场,因而我们在研究云原生安全的发展时,云原生或云安全相关的合规性要求便是首要关心的内容。

事实上,云安全的合规性要求始于2019年发布的《信息安全技术网络安全等级保护基本要求》(俗称“等保2.0”)中的云安全部分,又称“云等保”。当时笔者也参与了这部分标准的编写,实际上“等保2.0”的编写兼顾云计算、物联网、工业互联网等场景,整个过程是相当长的,虽然发布于2019年,但实际上编写是很早以前就开始了,当时主要考虑的是虚拟化场景。而容器技术、云原生应用是更晚之后出现的事物,实事求是地讲,“云等保”在制定过程中并没有考虑到当前容器化、微服务、无服务等场景。虽然标准具有一定的抽象性,如区域隔离、访问控制等机制同样适用于云原生环境,但确实不能保证所有的要求都适用于云原生环境。

因此,对于当前希望通过等级保护的机构而言,首先需要根据“云等保”等合规性要求进行设计,然后实施,最后通过测评机构的测评。但困境在于2020年还未耳闻有哪个测评标准可以直接应用于云原生环境,有哪个测评机构能够针对云原生环境进行等保测评。

我们当然可以将云原生环境拆分成物理环境、服务器系统、虚拟化系统、Web服务和容器系统,然后对某些部分进行相应的测评,从而满足合规性要求。但我们还是需要清醒地认识到,在新的面向云原生的合规性要求出台之前,整个系统的隔离、访问控制等合规性要求并不完备。我们应该在当前合规性底线要求的基础上,进一步分析系统面临的风险,有针对性地落实缓解措施。