1.2.2　具有云原生特征的安全

具有云原生特征的安全是指具有1.1節中所述的云原生特性的各類安全機制。此類安全機制具有彈性、敏捷、輕量級、可編排等特性。

云原生是一種理念上的創新，它通過容器化、資源編排和微服務重構傳統的開發運營體系，加快業務上線和變更的速度。云原生系統的種種優良特性同樣會給安全廠商帶來很大啟發，從而重構它們的安全產品、平臺，改變其交付、更新模式。

還是以DDoS為例。在數據中心的安全體系中，抗拒絕服務是一個典型的安全應用，以硬件清洗設備為主。但其缺點是當DDoS的攻擊流量超過了清洗設備的清洗能力時，無法快速部署額外的硬件清洗設備（傳統硬件安全設備的下單、生產、運輸、交付和上線往往以周計），因而無法應對突發的大規模拒絕服務攻擊。而如果采用云原生機制，安全廠商就可以通過容器鏡像的方式交付容器化的虛擬清洗設備，當出現突發惡意流量時，可通過編排系統在空閑的服務器中動態橫向擴展以啟動足夠多的清洗設備，從而可應對處理能力不夠的場景。這時，DDoS清洗機制是云原生的，但其防護的業務系統有可能是傳統的。

這種具有云原生特征的安全機制與當前流行的安全資源池有相似的特性，當然借助業界流行的云原生技術和平臺，能提供比安全資源池性能更好、處置更靈活的安全能力。

需要說明的是，對于云原生安全的兩層含義，本書討論得更多的是前者，即在云原生環境中識別各個系統和組件的脆弱性和安全風險，進而提出和設計面向云原生環境的安全，而相應的安全機制必須應用于云原生環境。故如無特別說明，后續章節中的“云原生安全”均指“面向云原生環境的安全”。

當然，隨著討論的逐漸深入，讀者會發現，云原生環境中的安全防護會天然地要求一些主機側的安全機制具有云原生特性。例如容器環境的短生命周期、業務變更極其迅速，導致訪問控制、入侵檢測等安全機制偏向于特權容器等形態。此外，還要求可以根據編排系統的業務調度策略進行安全策略的動態調整。要滿足這兩個要求，最后的安全機制必然與云原生系統融合，體現出明顯的云原生特性。

因而，雖然我們將云原生安全分成了兩種安全機制，但這兩種機制會互相融合。在理想情況下，云原生安全會是在云原生環境下，對原有的安全機制進行重構或設計新的安全功能，使得最終的安全機制能與云原生系統無縫融合，最終體現出云原生的安全能力。