随着数字化转型进入“深水区”，云原生改变传统的开发模式，加快程序应用的开发、交付、运维效率，充分释放云价值。容器作为云原生的代表技术，正成为资源调度和编排的标准，有效帮助企业降低 IT 实施和运维成本。

据 CNCF 发布《2020 中国云原生调查报告》显示，容器持续迅猛增长，68% 的机构在生产过程中使用容器，比去年增长了 39%，比两年前增长 240%。如今 Kubernetes 的使用已无处不在，生产中使用 Kubernetes 的比例从去年的 72% 增长到 82%。

与此同时，我们不可忽略的是容器及容器环境存在一定的安全威胁，据青藤云安全《101文档：容器安全的关键指标》 容器安全需要关注构建环境安全、运行时安全、操作系统安全、编排管理安全等方面。

企业如何做好容器安全，从而建立更完善的云原生安全防护？对此，CSDN 采访到水滴公司安全专家常春峰，聊聊云原生安全的那些事儿。

破解安全“盲盒”

常春峰表示，云原生可降低 IT 成本和提升效率，不受跨平台影响。作为国内知名保险+健康服务科技平台，水滴公司从 2018 年开始尝试云原生安全实践的建设，从原来的虚拟主机安全，完整地经历了微服务化、容器化、服务网格化的建设，如今水滴公司的线上业务安全架构均实现了容器化落地。

在向云原生安全迁移的过程里并非一帆风顺，我们需要考虑的有：一是原有的非容器化（如风险识别、资产指纹的识别与分类分布，基础镜像等）安全能力是否能平移到容器化上；二是在容器化后，一旦容器出现安全问题，或者基础镜像存在漏洞后门等，如果没有相应的安全能力补充是很被动的，这情况类似于安全团队面对一个“盲盒”，需要将这个盲盒拆解了，运维和安全人员可以清晰地了解到这里头有哪些 IT应用资产、如何部署以及分布、现有的存在哪些问题、同时攻击可能从哪里来，如何及时发现和处置风险等问题。

在“盲盒”下，一旦线上出现安全风险，团队应急响应就会很被动：传统的方式基本靠人工，通常做法是在发现情报后，大家通过 IM 软件来拉群推动解决。这种方式有好处也有弊端，久而久之大家就麻木了。何况水滴公司的基础镜像有上万个，管理起来也具有一定的成本，站在ROI角度，招聘团队自研容器安全平台的产出相对较低。在此背景下，水滴公司选择青藤蜂巢·云原生安全平台，来解决上述的安全“盲盒”问题，让安全威胁可见。

蜂巢，一站式容器安全解决方案

常春峰表示，受疫情影响下，当前企业面临新的安全挑战，由于传统内外网的安全边界防护思路作用逐渐减弱，伴随着远程办公的常态化，企业自身的信息化和安全建设需要一站式的全局解决方案，保证安全和用户体验。未来数据安全将会是安全的主要趋势之一，企业自身的安全建设仍需要回归到安全基础设施建设上，我们需要有一个类似“数据地图”的安全平台，来管理和识别 IT 资产和部署分布，从而形成有效的联动机制，例如蜂巢等云原生安全产品。

青藤蜂巢·云原生安全平台是青藤自主研发的云原生安全平台，可集成到云原生复杂多变的环境中，如 Kubernetes、PaaS 云平台、OpenShift、Jenkins、Harbor、JFrog 等。通过提供覆盖容器全生命周期的一站式容器安全解决方案，青藤蜂巢可实现容器安全预测、防御、检测和响应的安全闭环。

常春峰如此形容蜂巢平台“稳定安全”。蜂巢平台从全生命周期角度思考，帮助企业建立起安全资产“地图”，帮助企业理清安全资产、分布等需求，并提供镜像安全检查、容器运行风险检查等功能，将安全检查的能⼒以 API或者插件的形式集成到内部流程中去，打破开发运维和安全的⼈员之间的信息差。蜂巢可有效地帮助企业打造“看得清”“管得了”“防得住”“能融合”的安全平台。

安全的“木桶原理”

在分享企业安全建设心得时，水滴公司不仅在技术上建设云原生安全体系，在安全文化建设上，还会开设网络安全周，邀请各岗位的员工积极参与，学习基础安全技术知识和增强网络安全意识，同时聘请外部专业攻击队，与水滴公司一起开展攻防演练。

最后常春峰强调，安全最终还是要为业务服务，在安全于业务间取得平衡。但随着云原生的发展，传统的SDLC方式需要进一步升级，我们内部也在尝试 DevSecOps的方案实践。安全基线问题在时间管理四象限属于重要不紧急的范畴，在这个维度投入更多精力和时间，才更好的规避或是缓解更多的救火场面。归根到底，企业安全建设防护“木桶原理”同样适用，风险敞口不断的被收敛，对外的攻击面可以有效管控，安全团队才会更有信心。

嘉宾简介：常春峰，曾先后任职于奇虎360，58到家安全技术负责人和美团-摩拜安全专家，具有10年以上的甲乙方安全建设经验，北京航空航天大学MBA。2018年以联合创始人身份参与创业，在区块链金融方向领域，2019年加入水滴公司，经历了安全团队从0到1的建设，负责整体的信息安全建设工作。