2023年6月，云原生安全领域的权威机构AquaSecurity公司发布了一份研究报告，揭示了网络安全领域一个令人深感担忧的发展趋势。该报告显示，与2022年《云原生威胁报告》相比，基于内存的攻击出现了前所未有的1400%的惊人增长。2023年7月，Wiz公司网络安全研究人员做出了突破性的发现，发现了一个基于python的无文件恶意软件，名为“PyLoose”。这次攻击是第一次记录在案的基于python的无文件攻击，明确针对现实场景中的云工作负载。使用Linux无文件技术memfd,PyLoose巧妙地将XMRigMiner直接加载到内存中，避免了将有效负载写入磁盘的需要，并利用了操作系统的功

云安全专家Qualys从其自己的平台和第三方汲取见解和数据，提供了对前五名云安全风险的看法。五个关键风险领域是错误配置、面向外部的漏洞、武器化漏洞、云环境内的恶意软件以及修复滞后（即修补延迟）。2023年Qualys云安全洞察报告，提供了有关这些风险领域的更多详细信息。毫无疑问，错误配置是第一个。早在2020年1月，美国国家安全局(NSA)就警告称，配置错误是云资产的主要风险领域，而且似乎没有什么变化。Qualys和NSA都指出，对云服务提供商(CSP)和云消费者之间共同责任概念的误解或回避是错误配置的主要原因。Tigera首席营销官UtpalBhatt解释说：“在共担责任模式下，CSP负责监

由中国信息通信研究院（以下简称“中国信通院”）、中国通信标准化协会主办的第十届可信云大会·云原生安全分论坛于7月26日在北京国际会议中心成功召开。作为大会上展示的成果之一，由中国信通院联合行业领先企业共同编写的《云原生安全配置基线规范》正式发布，华云安作为参编单位代表参与标准的联合发布仪式。云原生安全领域的最大的风险之一是安全配置错误，错误的安全配置会通过软件供应链引入企业应用环境，对企业造成巨大的损失，因此云原生安全配置基线是企业共同关注的焦点。在此背景下，中国信通院联合多家用云单位、云服务商、安全企业开启《云原生安全配置基线规范》标准的编写工作。《云原生安全配置基线规范》中的云原生安全配置

前言随着公有云和私有云的广泛部署，云计算基础设施成为企业部署新业务的首选。可以说，云计算已进入下半场，各大云计算服务商的厮杀日益激烈，新的概念也不断的层出不穷。近年来，云原生安全（CloudNativeComputing）越来越多地出现在人们的视野中，可以说，云原生安全是云计算的时代的下半场较量，我们可以将其称之为云计算2.0。随着越来越多的企业和服务上云，关于云的安全也日益严峻，根据Statista的数据，2023年预计公有云市场将达到5000亿美元，2023至2027年将有13.81%的年增长率，根据经济学里的70规则，不难计算出，这个增长率意味着每5年就会翻一番，也就是说到2028年可能

云作为一股改变世界的技术趋势，正被各种类型的组织所采用，基于云的数字化转型在加速进行。伴随着云计算一同快速发展的一个重要问题就是安全性。在云安全中一个首先需要使用者清晰的概念就是责任共担模型，今天我们就来详细说一说责任共担模型。由于云相关的复杂性，在开始之前我们需要清楚一些与责任共担模型相关概念。云的部署类型云的类型主要根据署模式来划分，主要包括：公有云、私有云、混合云。公有云：公有云部署模式是云服务商完全通过互联网向其客户提供的计算服务。客户无需承担与购买、管理和维护底层基础设施相关的成本。私有云：私有云是专用于某一企业或组织的云计算环境。它通过额外的控制以及更高级别的安全和隐私来提供公有云

1、背景介绍Seccomp（全称“Securecomputing”），早在2.6.12版本（2005年3月8日）就引入到内核中，是通过只允许内核支持部分syscall（系统调用），或者拒绝内核认为可能有危险的syscall集合的方式，来限制一个进程所支持的syscall调用。最初，Seccomp只允许使用read、write、_exit、sigreturn4个系统调用，一旦调用其他系统调用时，内核就会发送SIGKILL信号终止进程。因此也被称为Seccomp-strict模式。但由于其限制过于严格，导致实际上，并没有多少应用能够用的上这一安全特性。直到3.5版本（2012年7月12日）的内核中

随着组织越来越多地将数据和应用转移到云端，云安全在确保工作负载安全方面变得至关重要。Gartener就表示：“云优先战略现在已十分普遍，甚至在不愿承担风险的企业机构中也是如此。但由于缺乏确保安全云计算部署所必需的技能和工具，因此执行仍然受到阻碍。”在了解和选择云安全的相关工具前，我们还是强烈建议，先了解云安全的基础责任共担模型，可以参考本系列的第一篇文章。云安全防护分类针对于云安全中的分类问题，为我们一般分为控制平面和数据平面两个层次去考虑，数据平面主要解决云工作负载本身的防护问题，CWPP主要完成这一层面的工作；控制平面则是在云工作负载之上实施的安全服务，比如CSPM等产品。控制平面的安全在

     从云计算时代开始，安全性一直是考虑云服务的企业最关心的问题。对于许多组织来说，在他们不直接管理的基础设施上存储数据或运行应用程序的想法似乎天生就不安全，同时还有数据通过公共互联网往返于这些服务的风险。　　根据Netwrix的《2022年云数据安全报告》，53%的组织报告称，去年他们的云遭受了攻击，其中大多数攻击导致了修复安全漏洞的计划外支出。　　不想成为统计数据一部分的企业应该了解并实施网络安全最佳实践和工具，以保护其云基础设施。虽然这些措施并不能阻止每一次攻击，但它们确实可以帮助企业加强防御，保护数据，并实施强大的云安全实践。　　提高云安全的一个关键方法是确保连接到云应用程序的用户

云原生安全什么是云原生安全？云原生安全包含两层含义：面向云原生环境的安全和具有云原生特征的安全面向云原生环境的安全面向云原生环境的安全的目标是防护云原生环境中的基础设施、编排系统和微服务系统的安全。这类安全机制不一定会具有云原生的特性，比如容器化、可编排的，而是以传统的方式部署的，甚至是硬件设备，其作用是保护日益普及的云原生环境。对于容器云（CaaS）的抗拒绝服务，可以采用分布式拒绝服务缓解（DDOSMitigation）机制，但考虑到性能限制，一般此类缓解机制都是以硬件形态交付和部署的，正是这种传统的安全机制保障了面向云原生安全系统的可用性。云原生内部的安全机制以云原生形态居多，比如服务网格

从提高敏捷性和可扩展性到提高工作流程效率和降低成本，越来越多的企业已经利用云在颠覆性时代转向云来加速数字创新。现在，随着全球云支出达到历史新高623亿美元，云技术的未来看起来越来越光明。然而，现实并不都是美好的。随着云应用的不断增加，不可避免的安全风险也在增加。从本质上讲，大多数云服务旨在使跨多个通道的数据共享更容易，这允许混合工作，但也扩大了攻击面。这为威胁参与者提供了更多利用系统漏洞和逃避检测的机会。研究发现，许多企业缺乏维护云环境可见性和安全性所需的技能或技术，企业如何才能有效地智胜攻击者?好消息是，对云计算的信心不必以牺牲安全性为代价。通过建立网络弹性和采用以情报为主导的安全立场，企业