.......................................................................................50 4.1.4 安全检测............................................................................................... 52 发布的《云原生安全技术规范》中给出了云原生安全框架[6]，如图 3 所示。其中，横轴是开发运营安全的维度，涉及需求设计（Plan）、开发（Dev）、 运营（Ops）,细分为需求、设计、编码、测试、集成、交付、防护、检测和响 应阶段；而纵轴则是按照云原生系统和技术的层次划分，包括容器基础设施安全、 容器编排平台安全、微服务安全、服务网格安全、无服务计算安全五个部分，二 维象限中列举安全机制（蓝色标注部分）已经基本覆盖全生命周期的云原生安全 原生安全 能力。此外，DevSecOps 涉及的能力范围几乎覆盖了横轴和纵轴的各个阶段， 如图中的紫色部分。最后，云原生安全体系中还包括了一些通用技术能力（黄色 部分），这一部分能力主要体现在检测和响应阶段，并会同时覆盖 DevSecOps 中运营阶段的能力。 云原生安全威胁分析与能力建设白皮书 13 图 3 云原生安全框架 由此可见，云原生安全可以简要归纳为两个方面，一是面向云原生环境的安

准备ES 安装Filebeat 编写Filebeat配置文件 测试并下发配置 全网重启filebeat 检测数据是否上报 传统Beats接入流程 配置更改 现网配置是否全部一致？ 日志上报是否有延时？ Filebeat是否资源消耗过多？ Filebeat异常退出如 何处理？ 如何做上报性能调优？ 6 系统架构 云Kafka Api-server2 Consul • Agent监控视图 • 离线/容量/延时监控 • 分布式集群管理 • 异常快速定位 • 关联公司CMDB • 资源权限管理 • 配置灰度控制发布 • 配置一致性检测 • 日志覆盖率 12 案例:如何管控整个日志数据流相关资源性能与容量？ 资源限制 cgroup cpulimit 定时检测 kill nice值 beats优化 缓存设置 工作协程 设置 资源配额 不依赖es版本、结合cpu/mem限额配置与实时 指标采集分析 Filebeat性能调优 需要修改配置文件不断尝试 界面提交核心参数并结合延时图对比分析 Filebeat性能管控 日志量太大Cpu飙升影响业务 精准控制资源消耗防止异常减少抖动 Es写入性能调优 修改配置文件不断观察数据情况 基于ES压测报告给出专家级es参数优化建议 参数优化体验 修改配置文件、参数调优相对麻烦 全UI化、一站式处理 14 配置UI化 配置UI化开发思路

供应链各个环节的攻击急剧上升，已然成为企业主要的安全威胁。 缺点 低误报率 高检出率 集成灵活 只能检测已知 漏洞 优点 可见 100%资产覆盖 可治 90%效率提升 可防 100%流程覆盖 ü 建立资产台账 ü 分类分级标记 ü 关联责任人 ü 关联内外网业务 ü 漏洞及投毒检测 ü 自主可控率分析 ü 许可证合规分析 ü 自动化修复技术 ü 安全可信私有源 ü 供应链准入审查 "#$)*+,- !"#$%&' 安全开发-代码扫描SAST 源代码审计针对源代码缺陷进行静态分析检测。它在对目标软件代码进行语法、语义分析的技术上，辅以数据流 分析、控制流分析和特有的缺陷分析算法等高级静态分析手段，能够高效的检测出软件源代码中的可能导致严重 缺陷漏洞和系统运行异常的安全问题和程序缺陷，并准确定位告警，从而有效的帮助开发人员消除代码中的缺陷、 培养安全开发意识，提高安 查看工程缺 陷 缺陷审计 派发线下整 改 创建检测工 程 安全测试-灰盒扫描IAST ① ① 灰盒审计与需求安全分析呼应，保障安全设计的落地 与CI/CD流水线集成，常态化检测，研发自行修复 IAST扫描结果提供DevSecOps常态化安全运营指标 通过将IAST集成到CI/CD流水线，在测试环境的构建过程中自动部署IAST检测逻辑，可以实现与功能测试同步进行的自动化 安全测试

Debug log • Request/Connection metrics Envoy 和 MOSN 交互层 • MOSN（GoLang） 侧耗时统计 • 交互异常数统计 • GoLang 程序异常场景下的容灾 处理 MOSN(GoLang) • Admin API • Debug log • GoLang runtime 指标 CGO 断点调试支持 默认配置不支持 HTTP1.0 • Envoy 时间模块使用的是 UTC • upstream 支持 HTTP2 需要显示配置 • 访问日志换行需要自行配置 format 支持 • 异常场景下响应状态码不标准 • 各个 worker 处理请求均衡性问题 • access_log handler 执行顺序不合理 • etc MOE 实践介绍 — 运行效果  MOE

• 默认配置不不支持 HTTP1.0 • Envoy 时间模块使用的是 UTC • upstream 支持 HTTP2 需要显示配置 • 访问日志换行需要自行配置 format 支持 • 异常场景下响应状态码不标准 • 各个 work 处理请求均衡性问题 • access_log handler 执行顺序不合理 • etc MoE 方案介绍 — 如何 Debug Envoy • Admin API • Debug log • GoLang runtime 指标 Envoy 和 MOSN 交互层 • MOSN（GoLang） 侧执行时间统计 • 交互异常数统计 • GoLang 程序异常场景下的容灾处理 MoE 方案介绍 — 方案总结 研发 效能 双模 支持 生态 丰富 • 将 MOSN 作为 Envoy 动态 so，提 升编译速度 • 增强 Envoy

DevOps流程里，对编译构建环节卡 点，保障软件构建时所依赖组件的安 全性，确保不引入存在漏洞的组件； 使用基于插桩技术的IAST工具，在功 能测试的同时，检测是否存在高危漏 洞风险，并展示漏洞触发数据流，便 于修复指导。 源头 检测 积极防御：针对今后随时可能爆发的 未知0DAY漏洞，推荐使用RASP应用 自防御能力，针对该类漏洞的攻击利 用方式精准有效的防护。它可以通过 应用的函数行为分析、上下文情境感 即分析开 发人员所使用的各种源码、模块、框架和库，以识别和清点开源软件（OSS）的组件及其构成和依赖关系，并精准识 别系统中存在的已知安全漏洞或者潜在的许可证授权问题。 IAST——API安全检测 doubo fosf://xxx.services.id 网关 nginx doubo java java java web /etc/nginx/conf.d/* ciaapi 积极防御插件 运营时威胁与攻击 注入攻击 URL黑名单 跨站脚本攻击 …… 恶意文件访问 反序列化攻击 扫描器攻击 OWASP Top 10 文件读写 数据库访问 表达式执行 本地命令执行 … 检测/响应 虚拟补丁 攻击分析 扫描拦截 威胁出厂免疫 攻击态势分析 安全事件监测 攻击来源回溯 Java Web 积极防御引擎 Tomcat SpringBoot XX Java AS 字

Chaos Mesh在网易伏羲的实践 Chaos Mesh在网易伏羲的实践 Chaos Mesh在网易伏羲的实践 比如：节点异常 定时触发宕机 chmod u+x chaos-node.sh 比如：static pod 异常 定时 mv statics-pod.yaml Chaos Mesh在网易伏羲的实践 提前暴露30+风险问题 Chaos Mesh在网易伏羲的实践

什么关联吗？ ④ 看云网更清晰 Simplify the growing complexity. 数据打通并不简单 ⑤「非Request scope」的Log与Trace之间 例如：系统日志异常与Request时延增大是否有关联 ⑤ 看云网更清晰 Simplify the growing complexity. 数据打通并不简单 ⑥ 应用、系统、网络的Trace之间 例如：访问一个服务的耗时究竟有哪些部分组成？

������� ������� � �� ����� ����� ����� � �� ����� ������ ���� � 应用故障？ 网络故障？ 系统故障？ 当网络建连失败时，现有的APM能监控到异常吗？当容器Service导致高时延时，现有APM能知晓原因吗？ © 2021, YUNSHAN Networks Technology Co., Ltd. All rights reserved.

是指在多个连 续的时间周期 内用于度量的 KPI数值 Tracing 通过TraceId来 标识记录并还 原发生一次分 布式调用的完 整过程和细节 Logging 通过日志记录 执行过程、代 码调试、错误 异常微观信息 数据之间存在很多关联，通过 关联性数据分析可获得故障的 快速界定与定位，辅助人的决 策就会更加精确 根据运维场景和关注点的不同，以不同图表或者曲 线图来表示整体分布式应用的各维度情况，使得开