1.5.5　合規性要求依然迫切，但業界苦于無規可循

無論是國內還是國外的安全行業，毫無疑問都是合規性驅動發展的。前兩年數據安全市場隨著GDPR等數據合規性法律法規的出臺而快速變大就是明證。國內安全行業更是強合規市場，因而我們在研究云原生安全的發展時，云原生或云安全相關的合規性要求便是首要關心的內容。

事實上，云安全的合規性要求始于2019年發布的《信息安全技術網絡安全等級保護基本要求》（俗稱“等保2.0”）中的云安全部分，又稱“云等保”。當時筆者也參與了這部分標準的編寫，實際上“等保2.0”的編寫兼顧云計算、物聯網、工業互聯網等場景，整個過程是相當長的，雖然發布于2019年，但實際上編寫是很早以前就開始了，當時主要考慮的是虛擬化場景。而容器技術、云原生應用是更晚之后出現的事物，實事求是地講，“云等保”在制定過程中并沒有考慮到當前容器化、微服務、無服務等場景。雖然標準具有一定的抽象性，如區域隔離、訪問控制等機制同樣適用于云原生環境，但確實不能保證所有的要求都適用于云原生環境。

因此，對于當前希望通過等級保護的機構而言，首先需要根據“云等保”等合規性要求進行設計，然后實施，最后通過測評機構的測評。但困境在于2020年還未耳聞有哪個測評標準可以直接應用于云原生環境，有哪個測評機構能夠針對云原生環境進行等保測評。

我們當然可以將云原生環境拆分成物理環境、服務器系統、虛擬化系統、Web服務和容器系統，然后對某些部分進行相應的測評，從而滿足合規性要求。但我們還是需要清醒地認識到，在新的面向云原生的合規性要求出臺之前，整個系統的隔離、訪問控制等合規性要求并不完備。我們應該在當前合規性底線要求的基礎上，進一步分析系統面臨的風險，有針對性地落實緩解措施。