全面解析雲原生成熟度模型：解決企業診斷難、規劃難、選型難問題

作者：白慕、長慮

從“上雲”到“雲上”原生，雲原生提供了最優用雲路徑，雲原生的技術價值已被廣泛認可。目前行業使用者全面轉型雲原生已是大勢所趨，使用者側雲原生平台建設和應用雲原生化改造程序正在加速。

然而，雲原生複雜的技術棧和傳統IT的曆史包袱給使用者帶來了巨大挑戰，針對平台建設和應用改造的能力要求缺少統一規範成為企業轉型的最大障礙。在使用者側，企業執行層面存在“三難”問題，即診斷難、規劃難、選型難，需求和供給不能精準對應，缺少權威建設指南；在技術供給側，技術疊代加速，産品能力建構缺少行業“燈塔”，技術押寶的風險掣肘發展。

正因如此，想要推動雲原生技術的規模化應用，雲原生産業仍需打通供需最後“一公裡”。在此背景下，中國信通院聯合業界20餘家機關近 40 名專家、曆時 1 年，完成了國内首個雲原生能力成熟度模型标準體系的編撰，并完成首批評估工作。阿裡雲是國内首個通過雲原生能力成熟度模型測評的企業，并在最終信通院公布的測評結果中獲得國内唯一全域（資源管理域、運維保障域、研發測試域、應用服務域）最高等級認證。

總體介紹

雲原生的趨勢

首先我們先總體介紹一下雲原生成熟度相關标準的産生背景，以及目前雲原生的發展趨勢，包括技術架構、業務應用和架構安全三個方面去做詳細的标準解讀，以及對阿裡雲測評結果的分析。

過去幾年，雲原生技術得到了高速發展，雲原生技術能夠給企業帶來應用開發效率的大幅提升。IDC 預測，到 2024 年，由于采用了微服務、容器動态編排和 DevOps 等技術，新增的生産級雲原生應用在新增應用的占比，将從 2020 年的 10% 增加到 60%；到 2024 年，數字經濟的發展将孕育超過 5 億個新應用和服務。這與過去 40 年間出現的應用數量相當。同時到 2025 年，超過一半的中國五百強企業将成為軟體生産商，超過 90% 的應用程式為雲原生應用程式。到 2025 年，三分之二的企業将每天釋出新版本的軟體産品，這都是雲原生技術發展能夠給企業帶來的直覺的改變。

雲原生技術已大規模進入企業生産環境

在去年信通院釋出的《中國雲原生使用者調查 2021》中，我們也看到，有接近半數的企業客戶已經把容器技術應用在核心生産環境中。在微服務領域，超過八成的使用者已經采用或計劃采用微服務架構進行應用開發。微服務已經成為了應用開發的架構優選；在 Serverless 領域，它作為雲原生領域一個新興的技術演進方向，目前已在核心業務中使用，Serverless 的使用者也已經接近了兩成，已開始和計劃使用 Serverless 技術的使用者超過七成，市場的潛力是非常大的。

雲原生技術價值已被認可，規模化應用仍有瓶頸

在這種情況下，大量的企業客戶一方面認同雲原生技術能夠帶來的價值提升，比如說提升資源使用率，提升彈性伸縮效率，提升傳遞效率，提升系統運維效率等等。并且從趨勢來看，2021 年對于這些價值的認同點相較 2020 年得到了大幅提升。也就是說，企業客戶對于雲原生價值的認同感是大幅度的提升。

但是同時我們也看到，企業客戶對于雲原生技術選型存在的顧慮，也在一定程度上增加了，主要包括大規模應用雲原生技術時，對于安全性、可靠性、性能和業務連續性方面的顧慮。同時對于高速發展的技術棧帶來的過度複雜、學習成本高的問題，也是企業客戶非常關注的點。

雲原生産業供需仍需打通最後「一公裡」

是以我們可以看到，包括我們在跟很多客戶去做溝通的時候，也看到企業客戶在面對雲原生技術的時候，通常處于一個比較糾結的狀态。一方面寄希望企業的 IT 架構能夠享受技術發展的紅利，實作降本增效。但是同時又因為複雜的技術，或者是對于自己的技術人員以及相關技術的控制力不足，可能帶來的一系列問題有非常大的顧慮。我們簡單把這些顧慮分成供給側和需求側兩端來看，在企業客戶執行面确實存在診斷難、規劃難、選型難等問題。

• 站在技術供給的角度來看，技術發展及産品的發展脈絡是很難把握的。因為雲原生技術它不像中間件或者是虛拟化技術已經發展了很長一段時間，雲原生技術經過了六年的高速發展，其中也是經曆了非常多技術路線的改變。在這個過程中，使用者對于發展脈絡其實是比較難把握的。同時使用者的需求又是比較多變的，缺少一個主線，同時還包含了技術押寶的風險比較高。

• 在使用者需求側整體的架構規劃缺乏标準的參照。比如當使用者在設計業務系統架構時，其實沒有一個很好的權威說明怎麼去應用雲原生技術。同時在建設路徑方面，也不夠清晰，技術路線龐雜也比較難篩選，支撐架構的技術水準缺乏對比。現實需求和供應商能力不能精準對應需求側的困難等。

是以站在供給和需求兩端來看，我們其實是缺少一個行業權威建設雲原生的指南，能夠給到企業客戶在規劃自身 IT 架構原生化的過程中，有一步一步演進的操作指南。這個指南需要解決什麼呢？解決使用者側實際問題為導引，并且以行業技術發展的趨勢為指引，來實作使用者雲原生化的快速和高效落地。是以基于一系列問題，阿裡雲雲原生應用平台團隊在2020 年初推出了《雲原生架構白皮書》，并于今年全新更新了 2022 版。

全新更新！《雲原生架構白皮書 2022 版》重磅釋出

《雲原生架構白皮書》是把阿裡巴巴過去多年在雲原生領域的實踐和推進的經驗進行了總結和抽象，并且我們在《雲原生架構白皮書》中也提出了雲原生架構成熟度模型，我們提出的模型主要包含了服務化能力、彈性能力、無伺服器化程度、可觀測性、韌性能力、自動化能力這六個名額次元。并且每個名額次元給出了 0 到 3 分的發展階段的評分。客戶可以基于這樣的一個次元，對于自身的 IT 架構系統進行一個比較詳細的評分，并且基于總分能夠整體地來定級。我們包含了零級、基礎級、發展級和成熟級，基于整體的雲原生成熟度模型，可以有助于企業站在一個全局的視角看自己的 IT 架構雲原生化的成熟度情況。

阿裡雲-雲原生架構成熟度模型（2020）

信通院從 2016 年開始，也開始做雲原生相關的行标和白皮書的制定。目前已經覆寫了像容器、微服務、Serverless 等相對比較完整的雲原生評估體系。但是我們可以看到，過去的行标是一個點狀分布的，并不能很好地站在整體的視角去評估整個企業在落地過程中的一個成熟度表現情況。是以在這種情況下，在 2020 年初，信通院牽頭拉着三十多家企業一起去共同制定了雲原生能力成熟度評估體系。

這個體系發展到現階段總共包含了三部分内容。第一塊是技術架構的成熟度，第二塊是業務應用的成熟度，第三塊是架構安全的成熟度。在建立整個成熟度體系的過程中，也是參考了之前由阿裡雲雲原生應用平台團隊推出的成熟度模型，并且這個标準還在發展中。目前已經進行了新一輪的開會讨論，可能還會新增第五部分應該是雲原生中間件的成熟度标準。

信通院雲原生标準化工作總覽

雲原生能力成熟度體系是聯接供需雙方的重要紐帶

我們來詳細看一下信通院的這套雲原生成熟度的體系是怎麼來建設的。它的核心目的其實就是為了連接配接供需雙方，加強雲原生能力。我們可以看到，在下圖中把它簡稱為 TAS 三層結構：

在 T 這塊就是我們所說的技術架構成熟度模型，主要是面向供給側。我們所謂的供給側主要包含了雲原生技術服務商，比如說阿裡雲或者面對于大客戶内部的企業平台的 IT 部門。

在需求側我們有業務應用的成熟度，用 A 來表示。需求側主要是企業的業務線，或者阿裡雲的業務型企業客戶。

同時還有一個負責架構安全的成熟度評估模型，這個是供給側、需求側都需要去參考的一個架構安全的成熟度評估體系（S）。

這套體系建立好以後，我們給企業客戶能夠帶來的價值是什麼呢？第一是多元度的把脈，能夠準确定位企業雲原生化的改造階段。第二，進行差異化的分析，詳細診斷企業目前雲原生能力的建設短闆。第三個就是能夠基于企業目前的發展階段定制化地去做提升，明确輸出企業未來能力、改進方向和計劃。

CNMM-TAS（雲原生成熟度體系）：能力魔方和特性雷達

再來詳細拆解一下雲原生成熟度這套體系，這其中包含一個體系、三個視角和 5 個特性。

所謂的一個體系，就是上文中提到的三角關系：我們的應用服務域、技術架構域以及架構安全域。三個視角主要是包含了業務應用一個建設視角，着眼于業務應用拆分解耦，充分融合底層架構技術實作的應用韌性，它主要是面向應用架構的合理性視角。

第二個視角是 IT 技術架構平台的視角，着眼于服務全局的技術架構、技術路線和全景能力規劃。

第三個視角就是系統安全的視角。安全能力建設視角着眼于新形态技術架構下的端到端的安全防護的能力建構。

基于這樣的三個視角，我們再把它通過五個特性去做特性雷達的詳細闡述。五個特性主要包含了彈性、自動化、可觀測、自愈與高可用。這五個特性也是後續我們在制定相關的測試用例和評分标準的時候主要參考的五個次元。

雲原生技術架構成熟度

接下來，我們針對雲原生能力成熟度模型裡最重要的技術架構成熟度，做一個詳細的拆解。可以看到，雲原生技術架構成熟度模型的第一部分是技術架構。涵蓋了四個能力域、12 個過程域、46 個能力子項，以及最終在測評的時候，有 476 個細分的能力要求。通過這樣一個測評，能夠幫助使用者快速對照定位技術架構水準，并根據自身業務需求，結合模型的高階能力，定制技術與架構的演進方向。

可以詳細看一下這四個領域：從底往上，首先是偏向 IaaS 層資源管理域。資源管理又包含了融合、排程、存儲、計算、網絡環境等相關一系列成熟度的标準評估。向上是運維保障域，基礎運維、可觀測、高可用是運維保障域最重要的三個測評點。

向上是研發測試域，對應的有研發支撐和測試支撐；再往上是 PaaS 層應用服務域。主要包含了應用編排部署、應用治理和應用中間件等。基于四個能力域的詳細定義，我們把最終的測評結果分為初始級、基礎級、全面級、優秀級和卓越級五個成熟度等級。

先來看初始級。初始級的定義主要是技術架構局部範圍開始嘗試雲原生化應用，并取得初步成效。這裡面主要突出的一個特征就是容器化。基礎級的定義是技術架構在局部範圍内進行深入的雲原生化應用，取得了比較良好的一個效果，突出的特征就是雲原生平台化。全面級的定義是技術架構在更大範圍内的、體系化地應用雲原生技術，具備關鍵技術子產品的相關能力，突出的特征就是體系化。也就是雲原生技術在企業内部的體系化落地。

優秀級的定義主要是技術架構全面雲原生化，各技術子產品高度雲原生化，架構的彈性、自動化和自愈能力已有全面提升，突出的特征就是規模化。卓越級的定義是技術架構已完成全面雲原生化改造，且每個技術子產品功能已經相當完善，能夠很好的支撐上層應用，突出的特征就是智能化。

目前，雲原生技術架構成熟度模型參與測評的企業非常多。阿裡雲是第一批、也是第一家通過測評的企業。

因為整體目前相關的标準的最終定稿還沒有釋出。是以說現在給大家看到的這個标準，實際上是我們修訂過的版本，而且也不一定是最終版。是以大家先在這裡大概有一個整體的了解就可以了。

阿裡雲整體測評結果

阿裡雲是信通院推出技術架構成熟度體系以後，首家完整通過所有四個雲原生能力域、12 個過程域、46 個子項、476 個細分能力要求的廠商，全方位考察了阿裡雲雲原生産品的服務豐富度與産品能力，最終産生了将近 400 頁的測評報告，對每一個能力子項都有非常詳細的測評記錄，阿裡雲是國内唯一全域獲得最高等級認證的企業。

來源：信通院公開企業測評結果

雲原生架構安全成熟度

雲原生安全挑戰和發展趨勢

随着雲原生技術架構的演進成熟，在企業應用進行雲原生化改造的同時，安全問題也随之而出。我們知道，基于傳統的安全架構已經不适用于雲原生環境，同時應用側的容器形态也為架構帶來了更多的攻擊面，靈活、彈性等雲原生特征對傳統安全技術也帶來了新的挑戰。為此，無論是雲服務商還是企業使用者，都迫切的需要建構自身的雲原生的安全防護體系。

在國内，信通院也是最早的一批關注并且投入到雲原生安全調研的權威研究機構。在今年關于雲原生使用者的調查報告顯示，大部分的企業使用者已經認識到了雲原生安全能力建設的重要性。而安全性尤其是容器和微服務相關安全問題，也連續兩年成為了企業客戶在雲上關切的最為核心的問題。

在海外，以雲原生安全為背景的安全防護實踐已經有一段時間的積累。我們可以看到除了政府層面的合規标準的釋出外，企業在雲上的安全預算也在逐年遞增。據今年的雲安全調查報告顯示，今年企業在安全上的投入占比超過整個企業在雲上預算的 20%。

在企業對雲原生安全迫切需求的前提下，以雲原生安全為背景，也湧現了大量優秀的開源項目。我們可以看到 CNCF 社群也出現了很多安全相關的優秀的開源項目。另外 CNCF 也在今年釋出 V2 版本的雲原生安全白皮書。通過上面對雲原生安全挑戰和趨勢的分析，可以看到，尤其在國内我們需要一個權威機構定制專業化的安全标準，來幫助指導和規範雲服務商和企業客戶建構雲原生環境下全方位端到端的安全防護體系。下面介紹一下這次雲原生安全标準化工作的曆史演進。

雲原生安全标準化研究持續推進

阿裡雲是首批參與标準定制，并且首批通過雲原生安全測評的服務商。2020 年 10 月，在信通院主辦的雲原生産業大會上，阿裡雲以及主要的安全廠商作為首批成員，成立了雲原生安全工作組。從 2020 年 4 月開始，信通院聯合業界二十餘家機關的近 40 名專家，曆時一年完成了國内首個雲原生安全成熟度模型标準的編纂，為企業雲原生安全能力建設提供了自檢标尺和建設指南。同年，信通院聯合 18 家企業釋出了《雲原生架構安全白皮書》。阿裡雲也是全程參與了白皮書的研讨和定制流程。

雲原生架構安全能力成熟度評估模型

整個标準體系涵蓋了五大能力域，包括基礎設施安全、基礎架構安全、應用安全、研發營運安全以及安全運維五大能力域，15 個能力子項，46 個實踐項，以及近 400 個細分能力的要求。阿裡雲參與了所有五大能力域的所有細分子項評測。下面的表格是關于此次五大能力域下各個能力子項的細分展示。

本次參與評測的阿裡雲産品，包括容器服務、容器鏡像服務、雲安全中心、Web 應用防火牆等二十餘款雲原生産品，全方位考察了阿裡雲在雲安全産品能力上的豐富度。

• 基礎設施安全域

阿裡雲在計算、存儲、網絡等雲基礎設施上建構了非常堅實的平台底座能力。在計算安全方向，雲安全中心和容器鏡像服務支援漏洞的自動化檢測、告警溯源以及攻擊分析。同時也支援鏡像漏洞的自動化智能修複能力。同時我們還支援像多 OS 、混合雲架構的基線掃描，以及豐富的政策配置能力。在網絡安全方向，雲防火牆服務支援多重的邊界防護，以及基于流量學習結果自适應的智能政策推薦下發能力。

在存儲安全方向，容器服務的備份中心可以支援應用資料的異地備份以及快速恢複。而 ACK One也提供了多雲/混合雲場景下兩地三中心的備份容災能力。同時，ACK 還支援基于軟硬一體的機密計算技術，幫助實作記憶體次元的資訊保護。

• 基礎架構安全域

在網絡側，容器服務和雲安全中心提供了 Pod 次元東西向的政策控制以及智能阻斷的能力。同時還支援叢集網絡拓撲的可視化展示。而 ASM 網格服務也提供了Service Mesh 架構下全鍊路的流量加密、觀測、監控以及 7 層通路控制能力。

在編排群組件安全方向，ACK 容器服務可以支援多元度的、自動化的安全巡檢能力，幫助發現叢集應用潛在的風險，并提供加強建議。使用托管的節點池還可以實作叢集節點 CVE 的自動化修複能力。同時在通路控制上，ACK 叢集的 RSA 功能還可以支援叢集應用側 Pod 次元的雲上資源權限隔離。

在鏡像安全方向，ACR 容器鏡像服務企業版提供了雲原生的傳遞鍊功能，可以結合鏡像的完整性校驗等産品化能力，建構企業級的供應鍊 DevSecOps 能力。在運作時安全方向，雲安全中心可以容器次元的 Runtime 的危險實時檢測告警，以及智能處理，來幫助企業抵禦容器逃逸，像敏感檔案操作、異常連接配接等多種容器内攻擊的行為。

• 應用安全域

雲原生應用安全域包含了企業應用側防護的方方面面。我們可以使用雲防火牆和 web 應用防火牆等服務，實作企業應用南北向以及東西向的攻擊防護和細粒度通路控制，同時我們也支援 API 漏洞，包括注入攻擊和敏感資料洩露的檢測分析以及自動修複建議。

在微服務安全方向，MSE 微服務引擎可以通過雲原生的網關，結合雲防火牆等服務來保證微服務網絡通信的安全。同時在提供豐富的微服務治理能力的同時，我們也提供了安全監控，以及應用代碼層的防護能力。在 Serverless 安全方向，函數計算服務支援存儲網絡等函數資源的細粒度的通路控制和租戶隔離，同時還支援函數資源、流量的實時監控以及完備的審計。

• 研發營運安全域

首先是研發營運域，阿裡雲安全團隊對平台内部的研發營運流程有嚴格的安全審計和管理，包括對雲産品的定制化的需求管理，以及對制品安全的自動化掃描、完整性校驗以及身份溯源。在安全設計上，也支援系統化的模組化，以及内部标準化的安全設計規範，以及相應的技術棧。在測試安全方向，我們内部也有完善的 DevSecOps 流程來實作無需人工幹預的風險識别以及營運。

• 安全運維域

雲安全應用如何進行安全運維，也是企業關心的重點問題。在安全管理方向，容器服務和雲安全中心等服務都支援非常豐富的雲原生可視化資産管理的能力。同時基于日志服務，我們也提供了管控側和業務側的完備的審計日志，并且支援基于審計的智能、分析告警以及圖表化的展示能力。

測評結果

阿裡雲在此次标準所有五個域的測評中，都取得了國内唯一的全域最高等級認證。下方的表格裡也展示了首批通過此次雲原生安全成熟度标準的企業。