雲原生計算

隨著雲端計算的日益普及，企業上雲已經成為必然的趨勢。Gartner曾做出一個預測：在2020年前，50%的企業將業務工作流放到本地需要作為異常事件進行審批，公司“無雲”的策略會和現在“無網路”的策略一樣少。可見，雲端計算將成為企業各項應用 必不可少的服務平臺和基礎設施，那麼討論網路安全怎麼做，就必須要考慮面向雲端計算的網路安全怎麼做，例如虛擬網路隔離、東西向的入侵檢測，等等。

雲端計算與各行各業的IT基礎設施進一步融合，雲或是基礎或為元件。例如，5G、邊緣計算和工業網際網路，都需要雲端計算技術構建雲化的基礎設施 或編排平臺，那麼這些新型系統的基礎設施安全，本質上就是雲端計算IaaS/PaaS/CaaS的安全;此外， 如欺騙技術、靶場技術等新的網路安全機制，或多或少地使用了虛擬化、容器等技術，因而，這些與雲端計算技術融合後，就形成了新的、普適的安全技術，即“just security”。

一方面，雲化的基礎設施和平臺需要安全防護，用傳統安全手段賦能雲端計算;另一方面，雲端計算的各種新技術、新理念(如軟體定義、虛擬化、容器、編排和微服務等)，也在深刻變革著當前的安全技術發展路線。因而，未來的雲安全，一定會將“雲” 這個定語去除，雲安全等價於安全本身，即安全技術必然覆蓋雲端計算場景，安全技術必然利用雲端計算技術。

如很多其他新技術一樣，雲端計算起源於美國，但千萬不能照搬美國的雲端計算發展過程到國內，複製一套相似的產品。事實上，在雲端計算的上半場，即從雲端計算誕生至今，中美兩國走了兩條不同的發展路線，這與兩國的各自國情是有密切關係的。

具體而言，美國的雲端計算發展路線是先 SaaS(Software as a Service，軟體即服務)後IaaS(Infrastructure as a Service，基礎設施即服務)。SaaS是最早的雲端計算服務形態。早在1999年，甲骨文前執行官貝尼奧夫就創辦了Salesforce，這是當前最大的客戶關係管理(CRM)SaaS服務提供商。經過20年的發展，美國的SaaS服務已經深入企業的具體業務，平均每個企業會用到1427個雲服務，平均每名員工會用到36個雲服務。SaaS的安全防護主要是以雲端接入安全代理為主，因而國外的安全代理市場巨大，但其挑戰在於需要適配大量SaaS服務，所以這個市場的玩家目前主要是Skyhigh、Netskope等巨頭。

近幾年來，隨著企業進一步將業務雲化，特別是將IT基礎設施替換為IaaS服務中的虛擬計算資源，透過軟體定義廣域網(SDWAN)連線分支結構、雲端資源，形成全棧雲化、全分支機構雲化的趨勢。此時，雖然 IaaS 整體營收還遠不及SaaS，但其增長率激增，2019年的公有IaaS服務增長率達到了37.3%，遠超雲服務的總體增長率17.5%。如亞馬遜雲服務這樣的公有IaaS，其安全防護主要是利用亞馬遜(AWS)提供的各類介面，在虛擬網路、虛擬機器層面提供網路和終端防護，Gartner把虛擬機器層面的安全防護技術稱為雲工作負載保護平臺。

中國的雲端計算發展是從虛擬化起步，從私有云到公有行業雲，走出了一條具有中國特色的發展路線。里程碑是開源的IaaS 專案 OpenStack 在國內 興起，國內廠商(如華為、華三、EasyStack 等企業)基於OpenStack研發了各自的雲平臺，此時國 內的雲端計算需求主要是將硬體伺服器虛擬化，再加入多租戶管理、網路隔離等需求，因而，多數雲端計算服務商提供的是私有云的解決方案。通常商用私有云系統是封閉的，缺乏對網路流量按需控制的應用介面，因而，針對這類私有云的安全機制多為安 全資源池，透過路由、VLAN或開放網路介面將流量牽引到資源池進行處理。

隨著節約成本、集約化管理和提供增值服務等需求的進一步增強，具有云平臺開發能力的服務商基於前述的私有云平臺，提供了公有IaaS的服務。然而，這種公有IaaS 服務與AWS、阿里雲不太一樣，它們具有鮮明的行業特性。例如，為政府提供的政務雲，將所有政府下屬機構的伺服器遷移到新的雲平臺上，提供政務相關的服務。這樣的公有IaaS服務，本質上還是前述的OpenStack系的系統，其封裝了自服務功能，並提供行業相關的合規服務和增值服務，因而其安全防護技術也可以基於安全資源池之上，提供面向租戶的安全即服務(Security as a Service)。

但總體而言，這樣的上雲實踐只是“形”上的改變，還遠沒有到“神”上的變化。過去兩年的行業發展表明，無論是中國還是美國，雲端計算的新增長點已經都轉向雲原生相關的領域，如容器即服務(Containers as a Service，CaaS)、編排技術、微服務、DevOps等，至此雲端計算進入下半場，其驅動力無外乎以下兩方面：

1. 應用快速交付和開發運營一體化。DevOps的開發運營模式已經深入人心，由開發團隊驅動的容器化部署、應用編排等，事實上提出了新型的雲交付模式。

1. 新型IT基礎設施部署。如5G、工業網際網路和邊緣計算場景下，資源受限，有資源虛擬化等需求，大量使用了容器、編排和微服務等技術，也使得雲原生應用未來可期。

雲原生相關的技術棧在過去3~5年中得到了快速發展，以Docker、Kubernetes、Istio為代表的容器執行時、編排系統、服務網格已經成為事實上的標準，而API閘道器、無服務框架也在快速演進中。可以預計，未來5年內，雲原生相關的技術會在互 聯網企業、金融、運營商等行業得到大量應用。因此，雲原生就是雲端計算的下半場，誰贏得雲原生的賽道，誰才真正贏得了雲端計算。