1 梁成 腾讯云, barryliang@tencent.com 基于Consul的多Beats接入 管控与多ES搜索编排 2 拥抱开源、释放云原生的力量 • 背景与挑战 • 多Beats/Logstash接入管控 • 多ES搜索编排系统 • 日志AIOps探索 3 背景与挑战 产品数量 人员规模 主机规模 100+ 1000 + 10000 + 如何降低日志接入门槛 性 15 多ES搜索编排系统 提供多ES多索引搜索编排功能，帮助 业务快速定位异常 16 故障定位遇到的困扰 客服 产品 运维 研发 多es切换 系统切换 采集 高负载 合作伙伴 OthersDB 17 案例:非APM场景下多组件日志搜索探索 ES/ OtherDB 多集群 多索引 上下文 搜索 Kibana 导航 搜索编 排 异常知 识库

•Kubernetes体系庞大，组件众多，涉及underlay、overlay两层网络，容器内容器外两个namespace，搞懂需要花些时间 •Kubernetes的监控，缺少体系化的文档指导，关键指标是哪些？最佳实践是什么？不是随便搜索几个yaml文件能搞定的 平台侧自身复杂度变高， 监控难度加大 从 Kubernetes 架构来 看要监控的组件 Kubernetes架构 l 服务端组件，控制面：API Server、Scheduler、 日志转metrics数据流向 • 如果实在没办法埋点，通过 mtail 解析日志从中提取 metrics 也是一种方案，categraf 后面计划把 mtail 直接集 成进来，这样就可以省去一个二进制 Pod-001 业务 容器 agent 监控服 务端 mtail Pod-002 业务 容器 agent mtail • 指标数据是性价比最高的数据 类型，传输存储成本相对较低

在容器环境下，攻击者通过利用含有脏牛漏洞的二进制程序，构建恶意镜像， 并上传到公共镜像仓库引诱用户下载。当受害者下载并启动了该恶意镜像后，攻 击者便可以接收到恶意镜像反馈的监听信息，即可通过反弹 shell 窃取敏感数据、 进行危险操作等攻击行为，攻击路径如图 11 所示 图 11 镜像投毒攻击路径分析 云原生安全威胁分析与能力建设白皮书 38 3.1.2 攻击过程复现 步骤 1：构建二进制漏洞利用程序。 步骤 2：基于 Ubuntu 镜像构建恶意镜像，将上一步中的二进制漏洞利用程 序作为镜像的入口点（entrypoint） 步骤 3：先使用 nc 等工具开启反弹 shell 监听，然后执行如下命令模拟受 害者创建并运行容器即可，效果如图 12 所示： 图 12 反弹 shell 攻击结果展示 3.2 挂载 Docker Socket 导致容器逃逸攻击 3.2.1 攻击场景介绍 Docker

-ui：启用内置Web UI服务器和所需的HTTP路由。这消除了将Consul Web UI文件与二进制文件 开维护的需要。 ● -ui-dir：此标志提供包含Consul的Web UI资源的目录。这将自动启用Web UI。该目录必须对代理 读。从Consul 0.7.0及更高版本开始，Web UI资产包含在二进制文件中，因此不再需要此标志; 仅指定 ui标志就足以启用Web UI。指定'-ui'和'-ui-dir'标志将导致错误。

Charts Helm Chart 是用来封装 Kubernetes 应用程序的一系列 YAML 文件 • 安装 Helm 在 https://github.com/helm/helm 上下载二进制文件 _ by QingCloud Helm 及其应用仓库简介 • 应用仓库: 管理和分发 Helm Charts. • 安装 Harbor 1. helm repo add harbor

为每个应用程序构建详细的软件物料 清单，全面洞察每个应用软件的组件 情况。RASP配合开源漏洞情报，第一 时间发现并处理开源漏洞风险。 持续 运营 SCA——获取SBOM 软件成分分析 SCA 技术是通过对二进制软件的组成部分进行识别、分析和追踪的技术。 SCA 可以生成完整的 SBOM，SBOM 作为制品成分清单，同时建立软件构成图谱，为后续分析提供基础，即分析开 发人员所使用的各种源码、模块、框架和

解决！ DevSecOps 标准化能力-承载无忧-E2E云原生纵深安全保障-4-技术建议方案 技术 说明 优点 缺点 SAST(静态应用程序 安全测试) 白盒测试，通过污点跟踪对源代码或者二进制程序（也包括Docker镜像等） 进行静态扫描，尽可能前置，在IDE编写代码或者提交代码时进行，将极 大优化整体效率和成本 可以无视环境随时可以进行，覆盖漏洞类型全面， 可以精确定位到代码段 路径爆炸问题，并一定与实际相符合，误报率较