推荐序
数字经济加速发展,推动企业数字化转型加快步伐。云计算作为数字化转型的基石和重要驱动力,得到了越来越多企业的认同和选择。企业对上云的重要性和紧迫性的认知日趋深化,将云计算作为其主要业务支撑技术之一,可实现高效率、低成本的运营目标。
在国家政策的推动和行业需求的牵引下,企业上云的广度和深度有了很大提升,云服务对实体经济发展的覆盖面不断拓展,业务渗透性也不断增强。云计算是数字基础设施建设的核心技术,基础设施即服务(IaaS)在我国发展相对较早也较快,其市场份额占比较大,发展相对成熟。
目前,云计算面临传统的虚拟化平台只能提供基本的运行资源,云端强大的服务能力并未完全得到释放,以及传统云上应用升级缓慢、架构臃肿、无法快速迭代等问题,企业迫切需要可支撑业务快速部署、灵活迁移、弹性扩展的技术架构。云原生理念的出现很大程度上解决了这个问题。
云原生是当代云计算发展和企业数字化转型的重要成果,不仅包括构建和运行应用程序的方法,而且提供了一套技术体系和方法论。简单来说就是,云上应用不是简单将基于传统数据中心的应用迁移到云上就可以的,而是专门针对云环境而设计开发的,它能够充分利用和发挥云平台的弹性、可扩展等优势。云原生包括容器、微服务、Devops等技术,支持公有云、私有云、混合云等各种环境,具备端到端、基于策略控制和工作负载可移植等能力。
云原生带来巨大价值的同时,也带来诸多新型安全挑战,如镜像攻击、供应链攻击、编排风险和API风险等,其安全性也是企业数字化转型成功的关键因素。当前,我国云原生正处于高速发展阶段,但企业普遍存在对云原生安全理解不足,对开发流程理解不够深入全面等问题,严重影响了云原生的落地和发展。
《云原生安全技术实践指南》深入浅出地介绍了云原生的关键概念和安全风险,系统阐述了新一代云原生安全防御体系,并分析了5G、边缘计算等新兴场景下的云原生安全实践。这本书非常适合从事云原生应用开发、运维和安全的人员阅读,有助于护航云原生的高速发展,非常值得一读。
——杨建军 中国电子技术标准化研究院党委书记、副院长
序
十多年来,云计算的快速发展,推动了算力成本大幅下降,加快了企业数字化转型的进程。云计算正逐渐成为如水电煤一样的IT基础设施。云原生也因为其易部署、弹性扩展、移植性强等优势,被视作云计算发展的未来趋势,越来越多的企业开始在核心业务中进行云原生化的应用部署。
云原生,实际上是Cloud(云)和Native(原生)的组合,它充分发挥和利用云平台的弹性与分布式优势,以最佳姿势运行。今天,企业云原生化转型已经不再局限于小部分创新型企业,越来越多不同规模、不同类型的企业机构都通过云原生架构,重塑他们的未来,以期在快速变化的行业中保持领先并满足客户日益增长的需求。云原生不仅为传统业务的转型带来极大的便利,提升了生产效率,同时也适应了5G、IoT等边缘计算新场景,引领了IT基础设施的变迁。
然而,云原生技术除了为企业带来了快速交付与迭代数字业务应用的优势, 也带来了新的安全要求与挑战。一方面,容器、编排工具、DevOps、微服务等新技术的引入带来了新的安全问题,如镜像的供应链问题、容器的逃逸问题、集群中的横向移动问题、微服务的边界问题等,需要引入新的安全防护手段;另一方面,云原生持续开发/集成的开发模式的转变,使传统安全技术无法适配新的开发节奏和安全要求。安全职责划分需要重新考虑,同时,责任主体从开发、运维、安全的各司其职,转变成责任共担,并通过组织流程协同起来。
当前,整个行业对云原生安全的认识仍然存在较大的差距。云原生是一个快速发展的技术和体系,这就造成开发人员和运维人员对于云原生攻防的理解不足,而传统安全人员对于云原生技术和流程的理解也不到位,这也是我们编写本书的初衷——我们希望对5年来在云原生安全领域的相关实践经验和技术积累做一个总结,同时能够给相关的建设方和防守方一些指导和帮助。
本书是一套完整的云原生安全技术实践指南,对容器、微服务、不可变基础设施、声明式API及Severless等技术和风险进行了深入分析与模型建立,同时从攻击方和防守方角度讲述完整的攻击方法和真实案例。此外,对于当前发展火热的5G和边缘计算场景,书中也给出了相关的云原生安全指导建议。
当然,云原生还是一个快速迭代更新的技术,拥有巨大的市场空间,安全作为其基础属性也一直处于不断的发展当中。我们编写本书也是希望抛砖引玉供大家讨论,共同为推动云原生安全产业发展作出贡献。希望本书能够为各位读者了解和认识云原生安全的技术体系和实践,提供帮助和启发。
最后,感谢一路走来支持青藤的客户,是你们的信任让青藤积累了丰富的安全实践经验,同时也感谢青藤的小伙伴们,是你们用一行行代码书写着对未来的憧憬,也祝愿云原生安全产业在未来能够更加稳定、快速、繁荣地发展。
——胡俊
青藤合伙人&产品副总裁
前言
近年来,我国在“新基建”领域加速布局,并大力推动数字经济的发展。这当中,企业数字化转型是我国推动经济社会发展的重要战略手段,而云计算成为企业进行数字化转型的基石和枢纽。随着万千企业的发展提速换挡,市场对云计算的使用效能提出了新的需求。云原生以其独特的技术特点,很好地契合了云计算发展的本质需求,正在成为驱动云计算质变的技术内核。
云原生的概念最早出现于2013年,由来自Pivotal的Matt Stine提出。概念中包括容器、微服务、DevOps、持续交付、敏捷基础设施等众多组成部分。云原生真正解决的问题是企业级云应用,它在架构设计、开发方式、部署维护等各个阶段和方面都基于云的特点进行重新设计。拥抱云原生应用程序意味着要改变思考、开发和部署应用程序的模式,这种转变不仅是技术应用或观点上的升级转变,更是关乎整个体系流程、开发模式、应用架构、运行平台等方面的升级转变。
伴随这一切的变化而来的是新的安全问题和安全挑战,当传统安全防护手段已然无法解决容器中的安全问题时,云原生安全成为我们不得不关注的重点话题。从某种角度上看,研发和运维人员更关注业务的运营效率,对于安全人员来讲,安全是一切运行的基础和前提,这就需要在两者间寻求一种平衡。DevSecOps更关注安全左移、运行时安全,将安全和运维有机地融合在一起,成为解决以上问题的极佳方式。
兵无常势,水无常形。能因敌变化而取胜者,谓之神。云原生安全的攻防之道,亦是如此。云原生技术本就在快速发展中,在不断变化的漏洞、木马、病毒等的攻击下,企业不仅要做到快速检测识别,还要迅速地做出响应和处理,这样才能更好地保障业务的运行安全和稳定。
本书共分为六部分,由浅入深地阐述了云原生安全的技术实践。其中,前三部分主要介绍了云原生背景下安全行业的发展趋势和产业变革,同时对云原生安全环境的技术和风险进行了详细的分析。第四部分攻击篇,重点介绍了云原生的攻击矩阵和高频攻击的技术案例,例如针对容器和Kubernetes的ATT&CK攻击矩阵都做了详细而全面的介绍。第五部分防御篇,主要讲解如何构建新一代的云原生安全防御体系,并基于金融、运营商和互联网三个重点行业实践进行了深入的剖析。第六部分进化篇,简要介绍了对5G及边缘计算下的云原生安全的新思考。
随着容器、Kubernetes、Serverless等云原生技术在云原生应用程序开发中变得越来越流行,容器安全、镜像安全、ATT&CK攻击矩阵、入侵检测等技术也将持续更新迭代。因此,我们需要对云原生安全的技术实践有更深入系统的了解,这样才能在不断的技术变化中找到最佳的实践路径。
最后,本书内容难免会有纰漏和不足之处,欢迎各位批评指正,与我们一同加入云原生安全的探索与实践中来,共同为数字经济的发展保驾护航。