近日，2024 ICT中国·高层论坛·云原生发展论坛在北京国家会议中心成功举办，中国信息通信研究院联合华为云等多家单位发布了《云原生安全配置基线规范V2.0》。同时，大会公布了“可信云·云原生安全配置基线能力评估”结果，华为云云原生解决方案（CNAPP）通过评估，华为云成为国内首批通过评估的云厂商。

《云原生安全配置基线规范V2.0》通过建立详细的指标项，详尽记录基线配置的检查方法和恢复方法，为云原生安全配置制定完善的安全配置要求，保障云原生安全底线。基于该规范的“可信云·云原生安全配置基线能力评估”包含对Kubernetes安全配置、容器运行时安全配置、镜像安全配置、工作负载安全配置评估四大类，17个能力子项。华为云云原生解决方案（CNAPP）全面满足云原生安全配置基线能力的整体要求，首批通过该能力评估。

华为云云原生解决方案让企业云化从“ON Cloud”走向“IN Cloud”，实现企业智能升级。以CNAPP为应用保护的框架，华为云为用户提供全栈安全可信的云原生服务。针对用户对效能、弹性以及管理范围等不同业务要求，华为云云原生解决方案提供了全场景容器服务和全生命周期容器安全服务，包括企业级高性能Kubernetes管理平台CCE Turbo，Serverless容器服务CCE Autopilot 和CCI，多云多集群管理服务的分布式云原生UCS以及企业主机安全HSS。

在安全能力上，华为云结合主流CNAPP框架要求，设计出一套符合国内云原生安全场景的应用保护方案，包括云原生专属操作系统HCE、容器安全运行时Kuasar、企业级安全配置LandingZone、企业主机安全/容器安全HSS、安全云脑SecMaster，针对操作系统、容器运行时、账号安全、Kubernetes配置、容器镜像、云工作负载和多云安全运营等多个场景提供全方位保护，解决传统安全能力无法全面覆盖云原生场景以及无法针对云原生架构进行有效安全防护的问题。

华为云云原生专属操作系统Huawei Cloud Euler OS (HCE) 已获得中国信息安全测评中心服务器操作系统分类安全可靠等级“I 级”认证(最高分)。华为云开源的多沙箱运行时Kuasar，是CNCF首个云原生多沙箱容器运行时项目。相比于Kata安全容器，Kuasar的消耗的内存减少99%，启动时间缩短40%以上，且支持多种沙箱技术，为云原生场景提供更安全、更高效的容器化部署选项。

华为云企业主机安全HSS（包括主机安全和容器安全）基于DevSecOps流程和安全左移理念，保障“开发-部署-运行”阶段的云原生安全。针对资产管理、漏洞修复、基线检查、病毒查杀、RASP应用防护等主流应用场景，HSS可以实现云原生应用全生命周期的安全防护。容器安全在“构建、部署到运行”阶段通过镜像安全扫描、配置核查、入侵防御检测、容器阻断、容器网络防护等能力，覆盖容器运行时6大类27子类（攻击入侵检测、容器逃逸、容器反弹shell、容器勒索攻击等）场景，实时防护镜像安全、容器集群和容器运行态安全；支持多云统管统维和容器审计，可以统一纳管友商云/线下自建集群，运维效率大幅提升；并且覆盖容器全量日志审计，满足安全合规和安全运维要求。

华为云安全云脑SecMaster是华为云原生的云安全态势感知和运营平台，集华为30多年安全经验和技术积累，具备统一管理云上云下资产、智能化安全分析和一体化安全事件处置能力。通过安全云脑，可以展现整个云上风险态势情况，精简云安全配置、云防护策略的设置与维护，提前预防风险。通过流程和工具将专家经验服务化、事件处置自动化，实现70%的威胁1分钟闭环、99%的威胁事件5分钟闭环，帮助用户实现一体化、自动化安全运营管理。

如今，政企数智化转型如火如荼。华为云基于持续的安全技术创新和安全治理实践双轮驱动，帮助全球云上客户实现“攻击不瘫、数据不丢、监管合规”目标。未来，华为云将携手客户和伙伴，持续深耕云原生领域，简化安全配置操作，提升用户体验，为政企的数智化转型提供坚实的安全底座。

来源：华为云参与云原生安全配置基线规范V2.0，并首批通过能力评估-华为云 (huaweicloud.com)