在當(dāng)今信息時代，各行各業(yè)正積極將信息服務(wù)遷至云計算平臺，此過程中云原生相關(guān)技術(shù)及架構(gòu)得到了廣泛關(guān)注。此類技術(shù)可極大提升各企業(yè)服務(wù)的效率，降低云計算平臺算力的損耗率，并提高云計算平臺的能源利用率，但安全性的缺陷阻礙了其進一步應(yīng)用。

云原生技術(shù)的基石是操作系統(tǒng)級虛擬化技術(shù)，而以容器為代表的系統(tǒng)級虛擬化技術(shù)在資源隔離方面較為薄弱，無法為云原生服務(wù)提供安全可保障的隔離環(huán)境。一方面，現(xiàn)有系統(tǒng)級虛擬化技術(shù)需基于Linux內(nèi)核機制實施隔離，但其隔離粒度過大，無法有效隔離所有系統(tǒng)資源；另一方面，工業(yè)界與學(xué)術(shù)界均在尋求增強容器資源隔離的方法，例如亞馬遜提出深度優(yōu)化的輕量級虛擬機Firecracker技術(shù)、螞蟻集團提出融合硬件虛擬化的Kata容器技術(shù)、谷歌基于庫操作系統(tǒng)實現(xiàn)容器間系統(tǒng)調(diào)用隔離增強的進程級沙箱gVisor。相關(guān)方法雖然可有效增強虛擬化環(huán)境的隔離強度，但對虛擬化環(huán)境的性能、可移植性及兼容性均造成了較大的損失，且無法針對不同云原生應(yīng)用的需求對操作系統(tǒng)服務(wù)進行靈活調(diào)整和定制。為此，我們開發(fā)了面向容器環(huán)境的云原生安全操作系統(tǒng)內(nèi)核，可兼顧云原生服務(wù)在性能與安全方面的需求。

云原生安全操作系統(tǒng)：該系統(tǒng)基于獨創(chuàng)的內(nèi)核虛擬化技術(shù)，為容器環(huán)境提供安全高效的虛擬內(nèi)核，為云租戶提供可信、可靠的運行環(huán)境。該系統(tǒng)的構(gòu)建主要基于面向云原生服務(wù)的虛擬內(nèi)核框架、系統(tǒng)資源安全隔離原語、系統(tǒng)資源調(diào)度機制定制與優(yōu)化框架，各項技術(shù)和系統(tǒng)組件的安全性均由形式化驗證等理論方法進行證明，同時也將集成并入現(xiàn)有主流開源國產(chǎn)操作系統(tǒng)。云原生安全操作系統(tǒng)的應(yīng)用可完全抑制現(xiàn)有云計算平臺中攻擊者惡意行為造成的破壞，同時極大提升了云計算平臺的算力利用率及云服務(wù)的性能，有助于進一步釋放云計算模式的能效。

圖1 云原生安全操作系統(tǒng)架構(gòu)圖