及随意处置 性；大规模可复制能力，可实现跨区域、跨平台甚至跨服务的规模化复制部署。 由此可见，云原生作为一种新兴的安全理念，是一种构建和运行应用程序的 技术体系和方法论，以 DevOps、持续交付、微服务和容器技术为代表，符合云 原生架构的应用程序应该：采用开源堆栈（k8s+Docker）进行容器化，基于微 服务架构提高灵活性和可维护性，借助敏捷方法、DevOps 支持持续迭代和运维 算深度融合。我们在 2022 年发布的中国联通云原生安全实践白皮书中[2]，对比 分析了不同的组织和企业对云原生安全理念的理解，其中包括 CNCF 认为云原 生安全是一种将安全构建到云原生应用程序中的方法[3]、k8s 提出的云原生 4C 安全模型[4]、腾讯所理解的云原生安全指云平台安全原生化和云安全产品原生化 [5]，并给出我们对于云原生安全的理解，即云原生安全是云原生理念的延伸，旨 2023 上半年的 攻击数据显示，攻击者利用 API Key、敏感文件执行、敏感信息读取等手段发起 的攻击次数呈明显上升趋势，占总攻击事件的 1.69%。API 滥用已成为导致企 业 Web 应用程序数据泄露的最常见的攻击媒介，通过攻击 API 来达成攻击目的， 已成为上半年攻防演练中各攻击队最常用的攻击手段之一。 在 5G 核心网和边缘计算方面，容器化的网元和边缘计算平台越来越普遍， 5G

AIOps组件可以从全局视角观察，动态 调整策略，解决新问题并及时隔离或者 解决！ DevSecOps 标准化能力-承载无忧-E2E云原生纵深安全保障-4-技术建议方案 技术 说明 优点 缺点 SAST(静态应用程序 安全测试) 白盒测试，通过污点跟踪对源代码或者二进制程序（也包括Docker镜像等） 进行静态扫描，尽可能前置，在IDE编写代码或者提交代码时进行，将极 大优化整体效率和成本 可以无视环境随时可以进行，覆盖漏洞类型全面， 黑盒测试，通过模拟业务流量发起请求，进行模糊测试，比如故障注入 或者混沌测试 语言无关性，很高的精确度。 难以覆盖复杂的交互场景，测试过程对业务造成 较大的干扰，会产生大量的报错和脏数据，所以 建议在业务低峰时进行。 IAST(交互式应用程序 安全测试) 结合了上面两种的优点并克服其缺点，将SAST和DAST相结合，通过插桩 等手段在运行时进行污点跟踪，进而精准的发现问题。是DevSecOps的一 种推荐方式。 如果在被动模式下运行IAST，那么开发测试过程 应用 A B C 多模云原生数据 库 用于云原生DB的 JDBC 极少量 改动 修改驱 动包 数据迁 移 • 由于云原生数据库支持多模，所以通过 ETL或者DTC等工具迁移数据是非常方便的 • 应用程序只需要修改JDBC的依赖即可以在 新环境中运行，迁移成本低。 • 或者由于云原生数据库支持多协议能力， 比如原生APP使用MYSQL协议访问传统数 据库，可以不加修改的，还是使用老的 MYSQL协议驱动，依然可以和云原生数据

是一个基础设施层，用于处理服务间通信。云原生应用有着复杂的服 务拓扑，Service Mesh 保证请求可以在这些拓扑中可靠地穿梭。在实际应用当中， Service Mesh 通常是由一系列轻量级的网络代理组成的，它们与应用程序部署在一 起，但应用程序不需要知道它们的存在。 -- Willian Morgan / Linkerd CEO 4.数据库网格 数据面板+数据能力 存储面板+存储能力 控制面板+治理能力 4

Helm 是 Kuberetes 的包管理器 类似于 Ubuntu 的 apt-get, Centos 的 yum, 用于管理 Charts Helm Chart 是用来封装 Kubernetes 应用程序的一系列 YAML 文件 • 安装 Helm 在 https://github.com/helm/helm 上下载二进制文件 _ by QingCloud Helm 及其应用仓库简介 •

Harbor集成与扩展 - 路线图 - 参与贡献Harbor社区 云原生与制品管理 [1] 云原生(cloud-native)技术使组织能够在现代化和动态的环境下（如公有云、私有云 和混合云）构建和运行可扩展的应用程序。云原生典型技术包括容器、服务网络、 微服务、不可变基础设施和声明性API等。 v1.0 by CNCF 容器-更轻量级和灵活的虚拟化 镜像-应用软件打包与分发 OCI: https://opencontainers

用方式精准有效的防护。它可以通过 应用的函数行为分析、上下文情境感 知及热补丁技术有效阻断绝大部分 RCE类未知漏洞攻击。 出厂 免疫 安全运营：常态化使用和运营安全可 信的制品库，通过SCA和SBOM持续 为每个应用程序构建详细的软件物料 清单，全面洞察每个应用软件的组件 情况。RASP配合开源漏洞情报，第一 时间发现并处理开源漏洞风险。 持续 运营 SCA——获取SBOM 软件成分分析 SCA 技术

Service Mesh 解决了微服务治理的痛点，但在实际业务开发 中，缓存、数据库、消息队列、配置管理等， 我们仍然需 要维护一套重量级的 SDK 并且侵入应用代码。 方案 提供 API 抽象层，应用程序中只针对这套标准的 API 编程， 无需考虑实际运行时的后端服务形态。 优点 • 多语言友好 • 标准化，无厂商绑定 • 真正实现 Write once, Run anywhere

可以结合私有云和公有各自的优势，尤 其是数据安全方面，这是客户使用公有 云的最大顾虑 • 在云原生产生之前，混合云架构就存在 了，云原生的混合云，除了具备传统混 合云的属性和特性，也同时具备了支撑 现在应用程序更好在不同云形态部署、 运行的能力。 • 云之间同步服务元数据为相同的服务治 理提供基础，同步镜像，为同一服务拓 展算力提供基础，同步Data，为隔离底 层云分布，在业务上的一致性上提供基 础。 •