近日，由工业和信息化部主办，中国信息通信研究院、中国邮电器材集团有限公司承办的ICT 中国·2023高层论坛-云原生产业发展论坛在京召开。会上，的“先进云原生安全解决方案CNAPP”成功入选为“2023年云原生安全守护先锋-云原生安全优秀实践案例”。

　　随着国家大力推进数字中国建设，上海移动在集团战略指导下，积极响应上海地区数字经济蓬勃发展大势，积极建设以5G、算力网络、能力中台为重点的新型信息基础设施，构建“连接+算力+能力”新型信息服务体系，参与并深度融入本地经济数字化、生活数字化、治理数字化等各领域转型进程中，充分发挥信息服务科技创新在支撑上海经济社会数字化、网络化、智能化转型升级中的作用，已经成为助推上海城市数字化转型主力军。

　　伴随企业上云迁移、数字化转型的持续深入，以容器、微服务、DevOps、Serverless为代表的云原生技术凭借其弹性、韧性及拓展性等特点，成为上海移动数字化转型过程中降本增效、提升自身业务的敏捷性的重要抓手。在此背景下，上海移动联合青藤基于云原生业务运行的全生命周期，围绕开发侧、应用层、基础设施层、运行时四个维度，通过将业务与安全深度融合，共同搭建了基于CNAPP的先进云安全整体方案。

　　开发阶段安全。在云时代，为缩短开发周期，提高软件迭代效率热点VPN软件下载，软件工程大多采用DevOps一站式应用开发运维模式；安全如果还是作为一个单独检查项，在应对以云为核心的基础设施上，适配度不够高。CNAPP方案通过实现安全与人员的融合、与开发工具的融合、与流程的融合，进而实现DevSecOps，让上云即安全成为可能。

　　应用阶段安全。企业业务上云后，开放度持续提升。最直接的体现是，微服务化后所有的应用API化越来越明显。但API资产、异常行为缺乏可见性，API的权限管理变得异常复杂。该方案通过WAAP构建了API资产自动发现、API风险监测、API异常行为实时检测、API链路监控等能力，实现云应用安全防护和API安全。

　　运行阶段安全（配置管理）。配置错误是产生云环境风险的一个重要原因。针对这一问题，该方案通过云安全资产管理、配置检查、风险发现、配置管理等功能，实现了一站式的风险梳理和发现，联动防护一键处置告警，大幅提高了安全运维效率。

　　基础设施安全。基础设施作为承载业务运行系统的核心底座，其对安全核心能力及稳定性的要求极高。该方案通过将核心一公里（服务器）及上层虚拟机、云主机、docker等基础设施贯通的情况下，通过多项先进技术以增强其平台的智能化与自动化。例如，利用可扩展的分布式图计算技术降低大数据安全监控的噪音告警，实现基于上下文的精细化威胁检测，并提高安全事件的响应速度。

　　该方案从云原生应用的资产梳理、风险收敛、安全加固、攻击行为监控、攻击事件处置与溯源多个阶段入手，结合云原生安全管理平台建设的能力，实现了显著的安全防护效果。

　　·安全左移：能集成到企业的DevOps流程中，实现覆盖云原生全生命周期的安全风险管理，构建主动安全能力

　　·精准感知：实现多锚点的基于行为的检测能力，能够实时、准确地感知入侵事件，并对安全事件快速响应处置

　　随着云原生技术的迭代演进，云原生已经成为云计算的中枢神经，对数字经济基础设施底座的粘性、韧性、弹性起着决定性作用。云原生技术在帮助企业业务运营更加敏捷、提质增效的同时，也增加了安全管理难度，此次双方联手打造的“先进云原生安全解决方案CNAPP”，是基于自动化的云原生安全体系，不仅能有效识别已知威胁，也能与企业业务高度耦合地检测未知威胁，进一步帮助企业数字化转型得以安全稳定地推进。未来，双方将继续发挥各自优势，积极发挥带动效应，为进一步推动云原生技术在我国关基行业的稳步落地贡献力量。