......................................................................................... 52 4.2 运行时安全能力建设...................................................................................53 4.2.1Web 应用和 API 安全...........................................................................54 4.2.2 云原生运行时安全................................................................................56 4.2.3 网络微隔离.. 6 容器镜像安全风险............................................................................. 21 图 7 容器运行时安全风险......................................................................... 23 图 8 针对 k8s 进行攻击的路径分析

测试并下发配置 全网重启filebeat 检测数据是否上报 传统Beats接入流程 配置更改 现网配置是否全部一致？ 日志上报是否有延时？ Filebeat是否资源消耗过多？ Filebeat异常退出如 何处理？ 如何做上报性能调优？ 6 系统架构 云Kafka Api-server2 Consul 云ES Agent-1 Agent-N Agent-1 Agent-N Consul Master 获取master列表 向master发起Agent注册逻辑 返回agent id 增删改策略 获取策略列表 启动管控收集进程 watch配置变化 9 Agent运行时 10 日志接入 购买云ES 录入ES 创建主机组 添加主机 配置日志主题 选择主机组 日志配置 权限管理 资源设置 提交策略 Kibana查日 志 集中管理配置 • 稳 准 • 快速接入(5min) • 配置UI化标准化 • 配置变更实时感知 • 部署全自动化 • 多Beats支持 • Beats运行时cpu/mem可控 • Agent监控视图 • 离线/容量/延时监控 • 分布式集群管理 • 异常快速定位 • 关联公司CMDB • 资源权限管理 • 配置灰度控制发布 • 配置一致性检测 • 日志覆盖率 12 案例:如何管控整个日志数据流相关资源性能与容量？

Debug log • Request/Connection metrics Envoy 和 MOSN 交互层 • MOSN（GoLang） 侧耗时统计 • 交互异常数统计 • GoLang 程序异常场景下的容灾 处理 MOSN(GoLang) • Admin API • Debug log • GoLang runtime 指标 CGO 断点调试支持 GoLang recover 失效 • GoLang 返回的字符串被截断 • export function type 关联出错 • 不同方式加载 CGO 程序，则 GoLang runtime 运行时 机可能不一样 • CGO 交互内存生命周期管理 • 结构体内存对齐 • GoLang runtime invalidptr check Envoy 相关 • 默认配置不支持 默认配置不支持 HTTP1.0 • Envoy 时间模块使用的是 UTC • upstream 支持 HTTP2 需要显示配置 • 访问日志换行需要自行配置 format 支持 • 异常场景下响应状态码不标准 • 各个 worker 处理请求均衡性问题 • access_log handler 执行顺序不合理 • etc MOE 实践介绍 — 运行效果  MOE 中 MOSN

不同方式加载 CGO 程序，则 GoLang runtime 运行时机可能不一样 • CGO 交互内存生命周期管理 Envoy 相关 • 默认配置不不支持 HTTP1.0 • Envoy 时间模块使用的是 UTC • upstream 支持 HTTP2 需要显示配置 • 访问日志换行需要自行配置 format 支持 • 异常场景下响应状态码不标准 • 各个 work 处理请求均衡性问题 Admin API • Debug log • GoLang runtime 指标 Envoy 和 MOSN 交互层 • MOSN（GoLang） 侧执行时间统计 • 交互异常数统计 • GoLang 程序异常场景下的容灾处理 MoE 方案介绍 — 方案总结 研发 效能 双模 支持 生态 丰富 • 将 MOSN 作为 Envoy 动态 so，提 升编译速度 • 增强 Envoy

源代码审计针对源代码缺陷进行静态分析检测。它在对目标软件代码进行语法、语义分析的技术上，辅以数据流 分析、控制流分析和特有的缺陷分析算法等高级静态分析手段，能够高效的检测出软件源代码中的可能导致严重 缺陷漏洞和系统运行异常的安全问题和程序缺陷，并准确定位告警，从而有效的帮助开发人员消除代码中的缺陷、 培养安全开发意识，提高安全开发水平、减少不必要的软件补丁升级，为软件的信息安全保驾护航。 发起工程检 测 查看工程缺 容器逃逸 其他风险策略 已 知 威 胁 监 控 进程 网络连接 系统调用 文件 配置 安全容器模型 在业务上线后，容器安全工具基于内置检测规则+行为学习+自定义策略，多维度保障容器运行时的安全。 已知威胁方面，通过丰富的内置安全策略，对业务容器行为进行实时监测，及时发现风险。 未知威胁方面，通过对业务容器行为进行学习建模，感知业务行为偏离，发现未知风险。并提供隔离、暂停、重启等处置能力。 从源头进行安全加固：上线前安全需求分析、代码扫描SAST\软件成分分析SCA、灰盒扫描IAST、镜像扫描、APP扫描， 提前预防安全风险。上线后持续进行安全防护：定期进行镜像扫描、基线合规检测、运行时通过容器安全与微隔离软件对容器 运行实时监测。 生产运营 生产上线 UAT测试（验收测试） 发版前测试 自动化集成与部署 应用开发阶段 需求阶段 业务需求输入 需求 分析 用户故事拆

云原生底座=控制器+调度器的组合+Docker=根据环境的变化而动+基于封装 一致性的大规模分发 服务编排基本原理： • 以度量为基础，以NodeSelector算法来 决定在哪儿部署容器服务 • 运行时以期望与实际的差别进行动态调 整到期望的状态 标准化能力-分布式操作系统核心-容器服务-基本技术原理 事实标准的K8S容器服务设计 成应用与物理资源（IaaS，虚 拟机、物理，多云）的中间抽 象层，因为应用很复杂，很容 使得配置非 常形象易懂，并且彻底将左侧需要了解的细节进行了屏蔽和简化， 只需要学习规则，而不需要了解下面很多种实现，大大降低了使 用者的难度，并实现了版本化能力 ServiceMesh-3-新发展-多运行时Mesh架构(机甲) Bilgin Ibryam 分析并总结了分布式应用的四大需求 总体而言就是下面这几个方面的事情： • 生命周期（Lifecycle） • 网络（Networking） • 状态（State） 的普及和广泛使用，云原生开始影响这些需求的实现方式。 未来趋势是通过将所有传统的中间件功能移至其他运行时来 全面发展，最后的目标是在服务中只需编写业务逻辑。 思路大体是：Smart Runtime， Dumb Pipes。 阿里MOSN负责人敖小剑:“业务逻辑在编码开始阶段应该 是“裸奔”的，专注于业务逻辑的实现，而尽量不涉及到底 层实现逻辑；而在运行时，则应该装备“机甲”，全副武装， 大杀四方。熟悉的味道是吧？标准而地道的云原生思想”

难以覆盖复杂的交互场景，测试过程对业务造成 较大的干扰，会产生大量的报错和脏数据，所以 建议在业务低峰时进行。 IAST(交互式应用程序 安全测试) 结合了上面两种的优点并克服其缺点，将SAST和DAST相结合，通过插桩 等手段在运行时进行污点跟踪，进而精准的发现问题。是DevSecOps的一 种推荐方式。 如果在被动模式下运行IAST，那么开发测试过程 中就可以完成安全扫描，不会像DAST一样导致业 务报警进而干扰测试，同时由于污点跟踪测试模 同时，推动业务快速修复。 安全左移的一种，在上线前发现依赖组件的安全 问题，快速借助供应链资产库，帮助业务修复问 题。 需要进行大量的安全特征以及资产库的建设或者 三方集成。（涉及业务能力） RASP(运行时安全应 用程序自我保护) 可以看做是IAST的兄弟，RASP通过程序上下文和敏感函数检查行为方式 来阻止攻击，属于一种主动的态势感知和风险隔离技术手段 可以自动化的对非预计风险进行识别和风险隔离 对系统性能有一定影响 不可变的镜像消除了IaaS层的差异，让云原生应用可以在不同的云厂商之间随意 迁移。但实际上，很多云服务提供的接入形式并不是标准的，所以依赖这些非标准化云服务的应用形成了事实上的厂商锁定，这些应用在运行时 是无法完成真正的按需迁移，所以只能称为某朵云上的原生应用，无法称为真正的云原生应用。因此，消息服务需要做到标准化，消除用户关于 厂商锁定的担忧，云原生消息队列必须采纳很多社区标准，支持了多种开源的

Version选择 • Chart Values自适配 Helm Chart 云资源规格精准过滤匹配 交付资源生产 Cross-Vendor 组件列表推荐 插件生态与运行时扩展 服务插件扩展体系 服务 组件 规格 运行时 mysql redis alilcoud kubedb aws 云资源规格 OpenAPI 组件版本配置 Terraform 通用服务schema定义 服务版本管理 面向组件Vendor Schema定义 组件注册 CNBaaS 统一服务目录 Helm CNBaaS Engine根据组件 支持的运行时动态调度 云资源生产 Lifecycle管理 张健川(聪言) CNBaaS Demo Contact us 王国东(骁奕) Email：guodong.wgd@alibaba-inc.com 张健川(聪言) Email：jianchuan

Chaos Mesh在网易伏羲的实践 Chaos Mesh在网易伏羲的实践 Chaos Mesh在网易伏羲的实践 比如：节点异常 定时触发宕机 chmod u+x chaos-node.sh 比如：static pod 异常 定时 mv statics-pod.yaml Chaos Mesh在网易伏羲的实践 提前暴露30+风险问题 Chaos Mesh在网易伏羲的实践

什么关联吗？ ④ 看云网更清晰 Simplify the growing complexity. 数据打通并不简单 ⑤「非Request scope」的Log与Trace之间 例如：系统日志异常与Request时延增大是否有关联 ⑤ 看云网更清晰 Simplify the growing complexity. 数据打通并不简单 ⑥ 应用、系统、网络的Trace之间 例如：访问一个服务的耗时究竟有哪些部分组成？