从重大漏洞应急看云原生架构下的安全建设与安全运营（下）

前言：

前一篇文章“从重大漏洞应急看云原生架构下的安全建设与安全运营（上）”中，我们简要分析了对于重大安全漏洞，在云原生架构下该如何快速进行应急和修复，以及云原生架构对于这种安全应急所带来的挑战和优势。事件过后我们需要痛定思痛，系统的来思考下，面对云原生架构如何进行有效的安全建设和安全运营，使得我们在安全事件的处置上可以做到游刃有余。

腾讯云容器服务TKE目前拥有国内最大规模的Kubernetes集群，运行了包括游戏、支付、直播、金融等多个应用场景。而集群的稳定运行离不开安全能力的保驾护航，腾讯云容器安全服务TCSS掌握了业内最前沿的云原生安全视角，为TKE的安全治理提供持续指导并沉淀了丰富的思考和最佳实践。

本文将结合我们的安全建设和安全运营实践，系统的分享我们对于云原生架构下安全建设和安全运营的思考。

2、云原生架构下的安全建设与安全运营

安全运营是目标，安全能力是手段。安全能力的建设与安全运营有着紧密的关系，安全能力建设是安全运营的基础，巧妇难为无米之炊，更好的安全能力建设可以使安全运营更加顺畅，同样安全运营也能给安全能力建设提供更好的输入和反馈，使安全检测和防护能力更加精准。

云原生架构下的安全能力建设和运营，其实是一个很大的命题，限于篇幅本文不会完全覆盖。本文主要围绕log4j2漏洞这个典型场景，从安全运营的视角，分析安全能力建设的必选项。

2.1传统的安全能力建设必不可少

首先需要说明的是，不管是我们现在讲的容器安全，还是云原生安全，都是一个相对狭义的概念，通常只包含了云原生架构下特有安全风险的检测与防护。从安全风险角度来看，我们也一直强调，云原生架构下的安全风险是一个增量，因此在整体的安全建设上，一定是个纵深防御的体系，不是某个产品单打独斗所能完成的。

例如南北向流量出入口的WAF、防火墙、抗D等，假如我们的云原生是建立在IaaS基础之上的，那么VPC、甚至是underlay层面的网络分级分域的隔离和入侵检测，这些都是云原生安全建设的基础。

在这次log4j2漏洞的应急处置中，我们也发现，即使是容器环境，通过升级WAF规则、更新防火墙出站策略等方式，也能在第一时间实现一定程度的漏洞缓解和阻断。

腾讯云在2021年11月发布的《腾讯云容器安全白皮书》中，也提出了层次化的容器安全体系框架，其中很重要的一部分就是基础安全，这里的基础安全就是包括了原有的数据中心安全以及云安全建设所覆盖的内容。

2.2安全运营驱动安全能力建设

<