伴随着新一轮科技革命和产业变革深入发展，企业数字化转型成为大势所趋。而作为数字化转型的基石和重要驱动力，凭借着高效率、低成本的优势，云计算已经得到了越来越多企业的认可。

不过，很多企业在上云的过程中仍然采用了传统的应用架构开发模式，导致企业出现应用部署发布周期长，开发运维割裂等问题，不仅限制了企业应用的迭代速度、交付效率、业务扩展和模式创新，云计算的价值也无法被充分释放。而云原生的出现解决了上述难题。

云原生不仅包括构建和运行应用程序的方法，还提供了一套技术体系和方法论。它包括容器、微服务、DevOps等技术，支持公有云、私有云、混合云等环境，能够充分利用和发挥云平台的弹性、可拓展等优势，帮助企业加快数字应用的交付。

云原生：效率与风险并生

但凡事都有两面性，云原生在带来巨大价值的同时，也带来了新的安全风险和挑战，如镜像攻击、供应链攻击、编排风险、API风险、容器逃逸等问题。

对此，青藤云安全创始人兼CEO张福向CBI记者解释道，云原生有一个很大的特点，就是让企业的生产流程变得敏捷，而这种敏捷对于安全来说就是一种挑战。因为过去传统企业的业务变化不快，对互联网的出入口也收得比较紧，所以出现安全问题的概率并不是很高，即使出现安全问题，蔓延的速度也不会很快。但是当企业采用云原生架构以后，企业业务就会变得越来越敏捷，越来越开放，与互联网的接口也越来越多，就会有更大的概率遇到安全问题，而且一旦出现问题，蔓延的速度就会非常快，如果企业不及时发现并进行处理，就会造成巨大的损失。

^{青藤云安全创始人兼CEO 张福}

"不过，安全风险并不会让企业放弃云原生技术。" 张福强调，"因为安全永远是业务的支撑，企业高层通常都会优先考虑如何让企业变得更具有竞争力，如何用更高的效率实现更好更快的发展。但是，安全保障也一定要跟得上，就像自动驾驶，如果没有安全保障，大家就都不敢用了。"

作为中国头部的汽车互联网企业，易车公司对此深有体会。易车安全总监李玲告诉CBI记者，易车也经历了基础架构从硬件到云计算的升级，随着架构越来越开放，遇到安全问题的概率也越来越高。以容器为例，易车感知到的风险不仅有容器的镜像风险，还有容器镜像仓库管理的风险、编排工具的风险、以及对主机操作的风险。

李玲指出："在云原生的状态下，业务是特别敏捷、快速的，容器部署又是持续的，所以出现安全问题的概率特别高。一旦出现问题，很多开源组件带来高危命令执行类漏洞风险的危害性就会特别大。"

用最少的成本提高安全效率

"所以，在云原生架构下，企业需要采用新的安全防护手段。"张福表示。为此，青藤自主研发了云原生安全平台青藤蜂巢，它能够集成到云原生复杂多变的环境中，如Kubernetes、PaaS云平台、OpenShift等，通过提供覆盖容器全生命周期的一站式容器安全解决方案，实现容器安全预测、防御、检测和响应的安全闭环。

易车采取的措施是纵向的、体系化的去解决安全风险，用分而治之、齐头并进的策略来化解安全问题，在应用上线的过程中就嵌入了自动化工具，在上线之前就把问题解决掉。易车采用了青藤云安全的主机安全防护产品，可以全方位的监测主机运行中的安全风险，从而进行全面的管控。

李玲告诉CBI记者，易车选型时测试了很多款云原生安全产品，后来慎重的选择了青藤云安全的解决方案。

^{易车安全总监 李玲}

李玲表示，易车选择青藤云安全主要是基于两方面考虑：一方面是青藤云安全的稳定性。由于青藤Agent是部署在生产系统的服务器中，所以它的稳定性非常重要。如果稳定性存在风险，就会产生让安全团队难以抗住的压力。"所以稳定性是我们考虑的第一要素。"

另一方面是青藤云安全的专业性。 "青藤云安全的产品非常全面。以容器为例，有相应的全方位的安全产品，而且每个产品的每个功能都是体系化的，可以满足我们的安全需求。"李玲谈到，"特别吸引我们的是青藤云安全解决方案的能力，青藤云安全解决方案的能力特别强，客户案例特别多，而且在互联网公司里实践过、落地过。"

据悉，易车部署青藤云安全解决方案后的效果也非常明显。李玲告诉CBI记者，其中对安全团队帮助最大的功能就是资产管理功能，资产管理功能让安全风险可视化，一旦有突发0day漏洞、组件被爆出高危漏洞，安全团队可以快速盘点定位风险资产，快速响应，提升安全效率。产品能切实戳中甲方安全团队的痛点，以最少的成本实现提效。

在整个业务体系中体现安全价值

不过，对于企业来说，解决方案只是工具和手段。要实现全方位的安全防护，还要建立相应的安全管理制度。

张福指出，除了防护手段，企业也要重新考虑安全职责的划分方式，从开发、运维、安全各司其职，变成责任共担，并通过组织流程协同起来。

随着云原生安全解决方案的落地，易车的安全部门也感受到了明显的变化。

李玲介绍，过去易车采用的是DevOps体系，现在加入了安全，形成了DevSecOps体系，和传统的安全方式确实不太一样。传统的安全和业务之间的矛盾比较多：业务在发展，而安全在限制，而且安全又是处于滞后的状态，比较被动，通常只有在出了安全事故以后，大家才能看到安全部门的价值。

但是在云原生架构和DevSecOps体系下，业务要快速迭代，安全需要嵌入到业务的多个环节中去解决问题。李玲解释到，"因为应用一旦上线，出了问题以后再去解决是非常麻烦的，我们要让它们安全的上线。这时业务就会主动把需求反馈给我们，这样可以加快安全团队对产品的优化、升级，在整个业务体系中都能体现出安全的价值。"

李玲坦言，这对安全团队的专业能力要求很高，响应速度要很快，这时安全团队和厂商之间的合作也要更加密切，要能够根据业务需求快速找到最适合的解决方案。

同时，易车的DevSecOps体系也让过去的"安全部门追着业务部门、问业务部门有什么问题"变成了现在的"业务部门主动找安全部门，让安全部门帮忙解决问题"。李玲表示，这种工作方式的调整也是颠覆性的。易车安全是自上而下的安全管理，自下而上地提供安全服务，做到了业务与安全的平衡，安全服务为业务赋能。

在安全管理层面，易车则建立了网络安全责任分层制度，让安全不再只是安全部门的事情，并在各个业务部门中设立了安全官和安全接口人，并进行安全评分机制，这样不仅提高了大家对于安全的重视程度，也实现了有效的安全管理和服务效果。

最后，张福还向广大CSO和CIO建议，企业要尽早做云原生安全方面的考虑和规划，在规划新业务和相应的支撑体系时，就要把安全规划进去。因为过去安全往往都是滞后于业务的，而滞后会导致很多问题，如果是给已经建好的产品打补丁，不仅成本高，产品的收益也不会非常好。"如今随着基础设施架构技术的变革，正是企业给基础设施洗牌甚至重建的好机会。企业可以在产品开发的早期就让安全参与到构建和设计中，这样可以让安全更加贴近业务，企业的成本也会比较低，效果会更好。"