1.5.5　合规性要求依然迫切，但业界苦于无规可循

无论是国内还是国外的安全行业，毫无疑问都是合规性驱动发展的。前两年数据安全市场随着GDPR等数据合规性法律法规的出台而快速变大就是明证。国内安全行业更是强合规市场，因而我们在研究云原生安全的发展时，云原生或云安全相关的合规性要求便是首要关心的内容。

事实上，云安全的合规性要求始于2019年发布的《信息安全技术网络安全等级保护基本要求》（俗称“等保2.0”）中的云安全部分，又称“云等保”。当时笔者也参与了这部分标准的编写，实际上“等保2.0”的编写兼顾云计算、物联网、工业互联网等场景，整个过程是相当长的，虽然发布于2019年，但实际上编写是很早以前就开始了，当时主要考虑的是虚拟化场景。而容器技术、云原生应用是更晚之后出现的事物，实事求是地讲，“云等保”在制定过程中并没有考虑到当前容器化、微服务、无服务等场景。虽然标准具有一定的抽象性，如区域隔离、访问控制等机制同样适用于云原生环境，但确实不能保证所有的要求都适用于云原生环境。

因此，对于当前希望通过等级保护的机构而言，首先需要根据“云等保”等合规性要求进行设计，然后实施，最后通过测评机构的测评。但困境在于2020年还未耳闻有哪个测评标准可以直接应用于云原生环境，有哪个测评机构能够针对云原生环境进行等保测评。

我们当然可以将云原生环境拆分成物理环境、服务器系统、虚拟化系统、Web服务和容器系统，然后对某些部分进行相应的测评，从而满足合规性要求。但我们还是需要清醒地认识到，在新的面向云原生的合规性要求出台之前，整个系统的隔离、访问控制等合规性要求并不完备。我们应该在当前合规性底线要求的基础上，进一步分析系统面临的风险，有针对性地落实缓解措施。