(HostNet) DaemonSet • 零干扰：无需对vSwitch和Node做任何配置、不监听任何端口 • 全自动：DaemonSet POD部署运行，随K8s自动扩展 • 零侵入：不侵入业务POD，可采集所有业务POD及本Node流量 虚拟化 - KVM 业务VM 业务VM 业务VM vSwitch / Bridge DeepFlow 采集器进程 • 零干扰：无需对vSwitch和KVM做任何配置、不监听任何端口 ReplicaSet POD 应用 业务 资源组 服务名 方法名 API EP 网络 VPC 子网 路由器 CIDR IP地址 安全组 NAT网关 SLB 资源、服务知识图谱 TKE ACK 如何标记对端？ VPC IP重叠IP场景如何关联IP与资源？隧道封装流量中如何关联IP与资源？SLB/SVC前后如何关联流量路径？ simplify the growing complexity © 2021 YUNSHAN Networks Technology Co., Ltd. All rights reserved. 如果你的业务运行在公有云上 关联键值： TraceID、SpanID、 SegmentID、URL 关联键值： Pod、Node、 Service、VPC、 VM Metric WEBHOOK DataSource Plugin Tracing Logging 告警

云原生安全威胁分析与能力建设白皮书 7 前 言 在数字化转型的大潮中，云计算作为实现创新和提高运营效率的关键技术， 成为了新一代信息技术的核心引擎。随着云计算的飞速发展和广泛应用，以及万 千企业数字化转型换挡提速，企业对云计算的使用效能提出新的需求。云原生以 其独特的技术特点，很好地契合了云计算发展的本质需求，正在成为驱动云计算 质变的技术内核。 云原生作为云计算深入发展的产物，已经开始在 5G、人工智能、大数据等 临的安全问题， 其作为一种新兴的安全理念，强调以原生的思维实现云上安全并推动安全与云计 算深度融合。我们在 2022 年发布的中国联通云原生安全实践白皮书中[2]，对比 分析了不同的组织和企业对云原生安全理念的理解，其中包括 CNCF 认为云原 生安全是一种将安全构建到云原生应用程序中的方法[3]、k8s 提出的云原生 4C 安全模型[4]、腾讯所理解的云原生安全指云平台安全原生化和云安全产品原生化 部署在大型电商等需要轻量级、 高弹性的传统场景，最终成为无处不在的安全。 1.2 云原生安全发展 云原生在改变了企业上云及构建新一代基础设施的同时，作为一项新兴技术 也带来了一系列新的问题，对企业原有的信息安全防护模式提出了新的挑战，例 如，微服务、容器运行时的短生命周期、CI/CD 全流程监控缺失、镜像及供应链 的复杂性等。另外，云原生技术生态涵盖基础设施到 DevOps 开发多个维度，

RELEASE TEST BUILD DEV BUILD TIME OPS RUN TIME 上线即安全（安全左移）+ 自适应安全（持续监控&响应） SEC 安全需求 业务需求进来以后从五个维度对业务需求进行安全分析 威胁分析模型 威胁资源库 安全需求基线 威胁情报库 病例库 安全开发-安全需求分析 安全需求分析通过将安全策略左移至软件开发生命周期的初始阶段，着重在需求设计环节确定关键安全要求，旨在降低风险暴露 送 P a y l a o d , 执 行 检 测 6 展 示 漏 洞 低误报率 高检出率 可实现逻辑漏洞检测 可实现个人隐私合规检测 检测探针语言强相关 漏洞覆盖度依赖测试覆盖度 对测试环境性能有一定影响 优点 缺点 污点变量1 污点变量a 污点变量4 污点变量b 变量c 污点变量2 变量1 | 污点标记 无害处理 识别污点源 污点传播 污点汇聚点 污点传播阶段 由于云原生“不可变基础设施”的特点，对容器风险的修复必须从镜像上处理才是最有效的。 因此对镜像的安全扫描变得尤其重要。 强大的漏洞扫描 支持双料漏洞库，可检测 的漏洞数大于17w条，提 供 对 容器镜像的扫描能力 ，可扫描发现CNNVD、 CVE等漏洞信息 ， 提 供 详 细的漏洞分析能力联动。 安全风险发现 针对容器镜像内Webshell 、 病毒、木马进行检测；针 对 镜 像 文件中的SSH密钥

向， 从政策法规、安全技术、安全理念、安全生态、安全思维等维度为产业互联网的安全建设提供前瞻性的参考和指引，助力夯实产业互联网的安全底座。 《趋势》认为，2021年将进一步完善个人信息保护体系，企业对个人信息利用规范化，数字安全合规管理将成为企业的必备能力。与此同时，企业还 应将安全作为“一把手工程”，在部署数字化转型的同时，推进安全前置。 前沿的数字化技术也让产业安全有了更多内涵。5G、AI、隐 调整策略，解决新问题并及时隔离或者 解决！ DevSecOps 标准化能力-承载无忧-E2E云原生纵深安全保障-4-技术建议方案 技术 说明 优点 缺点 SAST(静态应用程序 安全测试) 白盒测试，通过污点跟踪对源代码或者二进制程序（也包括Docker镜像等） 进行静态扫描，尽可能前置，在IDE编写代码或者提交代码时进行，将极 大优化整体效率和成本 可以无视环境随时可以进行，覆盖漏洞类型全面， 可以精确定位到代码段 路径爆炸问题，并一定与实际相符合，误报率较 高。 DAST(动态安全应用 程序安全测试) 黑盒测试，通过模拟业务流量发起请求，进行模糊测试，比如故障注入 或者混沌测试 语言无关性，很高的精确度。 难以覆盖复杂的交互场景，测试过程对业务造成 较大的干扰，会产生大量的报错和脏数据，所以 建议在业务低峰时进行。 IAST(交互式应用程序 安全测试) 结合了上面两种的优点并克服其缺点，将SAST和DAST相结合，通过插桩 等手段在运行

等工具进一步从微观帮助研发人员定位和解决问 题，这是这里在业务上的价值-稳定性赋能。 标准化能力-微服务PAAS-从监控到可观测-研发人员的第五感-2 可观察性是云原生特别关注的运维支撑能力，因为它的主动性，正符合云原生对碎片变化的稳定性保障的思想 数据的全面采集 数据的关联分析 统一监控视图与展现 Metric 是指在多个连 续的时间周期 内用于度量的 KPI数值 Tracing 通过TraceId来 标识记录并还 碎片化，最难的是环境依赖的 碎片化，比如，硬件环境、网 络环境、运维规范等的碎片化。 尤其是运维方面的差异化，必 然导致私有Paas的出现！ • 虽然服务网格、虚拟化等正在 努力解决交付困难的问题，但 是依然对除RT外的环境依赖碎 片化无能为力。 • 背后的原因在于特定环境依赖或者运维规范问题渗透到了PaaS本身， 或者大家常说的定制化场景，如果不进行解耦就会有长期存在的矛盾。 • 为了应付定制化 但是强烈依赖于K8S这种 容器调度系统，无法做到通用化， 所以客户必须要求先做针对K8S的 应用改造。 K8S没有应用概念，用户面对的是Workload和Pod这样的概念，以及对应的运维概念（比如 HPA),在层次上是靠近对资源的抽象治理层面，对于业务研发人员而言是不友好的。应用 =Workload+运维特性+.......多种东西的集成，也无法在应用级别上进行管理。 ISV研发团队 标准化能力-微服务PAAS-OAM-万花筒PAAS-2

（假死） 创建 新实例 配置 运行环境 部署当前 应用版本 添加 监控 配置 日志采集 测试确认 服务正常运行 实例 加入集群 恢复正常 工作量 成本 新一代架构（微服务）应用的对承载平台提出新要求 传统实践中，主要采用虚机/物理机+SpringCloud等微服务框架的方式承载微服务应用。但在一个虚机/服务器上 部署多个微服务会产生如下问题—— • 资源预分配，短时间内难以扩展 制品变化的DevOPS+能够适应技术环境变 化的技术底座=云原生平台；其中变化是以研发循环形式不断出现和累加的，如果不进行治理，那 么这些变化就会积累，稳定性的破坏是熵增的，而云原生基础设施就要做到对变化产生的不稳定因 素进行熵减处理 • 向上站在企业立场上：是要解决微服务体系快速落地的问题，低成本支撑企业创新以及数字疆域规 模扩张 1 技术架构变化：因商业或者演化而 变带来不稳定因素 2 制品变化：代码因商业而变带来新 经在生产环境应 用容器技术 微服务 微服务架构成为 主流，八成用户 已经使用或者计 划使用微服务 Serverless Serverless技术显 著升温，近三成 用户已在生产环 境中应用 云原生对业务的支撑实例(数据来源于阿里云) 4982亿，2020年天猫双11再创消费新纪录。58.3万笔/秒，双11交易峰值再创新高，阿里云又一次扛住全球最大规模流量洪峰。这一切背后支撑的 “技术引擎”又是

apiserver，如果是几千个node的大集群，对 apiserver 可能会有较大压力 Kubernetes Node - 容器负载监控 抓取方案 { 抓取方案二 } • 直接调用 kubelet 的接口 /metrics/cadvisor ，不走 apiserver 这个 proxy，避免对 apiserver 的请求压力 • 采用 Daemonset 的方式部署 • 但是，缺少了对 __meta_kubernetes_node_label_( agent（比如telegraf、datadog-agent），这些 agent 在内存里做指标计算聚 合，然后把结果数据推给服务端。因为是 UDP 协议，fire-and-forget，即使 agent 挂了，对业务也没啥影响 • prometheus sdk 作为另一种埋点方式，聚合计算逻辑是在 sdk 里完成，即在业务进程的内存里完成，对此介意 者慎用，然后把指标通过 /metrics 接口暴露，交由监控系统来抓取 业务 进程 Pod内的业务应用的监控 – prom sdk 数据流向 • /metrics 接口的抓取，对于大规模集群可以考虑 sidecar 模式，自闭环更灵活，可以自定义认证、过滤规则；对 于小集群，可以直接使用 Kubernetes 服务发现机制，用一个抓取器来抓 Pod-001 业务 容器 agent Pod-002 业务 容器 agent 监控服 务端

外，该目录必须支持使用文件系统锁定，这意味着某些类型的已安装文件夹（例如VirtualBox共享文 夹）可能不适合。注意：服务器代理和非服务器代理都可以在此目录中的状态中存储ACL令牌，因此 访问可以授予对服务器上的任何令牌以及非服务器上的服务注册期间使用的任何令牌的访问权限。在 于Unix的平台上，文件使用0600权限编写，因此您应确保只有受信任的进程才能与Consul作为同一 户执行。在Window disable-host-node-id设置为true。 ● -node-meta：在Consul 0.7.3及更高版本中可用，它指定与表单节点关联的任意元数据键/值对key: alue。这可以多次指定。节点元数据对具有以下限制： ● 每个节点最多可以注册64个键/值对。 ● 元数据键的长度必须介于1到128个字符（包括1和128个字符）之间 ● 元数据键必须仅包含字母数字-和_字符。 ● 元数据键不能以consul-前缀开头; 元数据键不能以consul-前缀开头; 保留供Consul内部使用。 ● 元数据值的长度必须介于0到512（含）之间。 ● 开头的密钥的元数据值rfc1035-在DNS TXT请求中逐字编码，否则元数据kv对根据RFC1464编 。 ● -pid-file：此标志提供代理程序存储其PID的文件路径。这对于发送信号很有用（例如，SIGINT 关 代理或SIGHUP更新检查确定 ● -protocol：要使用

统的维护边界适配组织架 构的权责边界。 ⼀般来说，越庞⼤的组织架构，应⽤系统会被拆分地越来越细，“微服务”的数量也变得越来越多。⽽在“微服 务”的拆分的实践中，很容易出现将组织架构的权责边界⼀股脑地对标到“微服务”�的拆分粒度中，这可能导致 “微服务”拆分粒度过细，数量进⼀步剧增的问题。最终，“微服务”之间的调⽤关系就像跨部⻔协作，也变得 越来越复杂，问题在想要新增需求时尤为突出。 “微服务”带来 代码后实时⽣效，通过 浏览器访问 Localhost 实时查看代码效果。 单体应⽤和“微服务”应⽤不同，单体应⽤是 “ALL-IN-ONE” 组织⽅式，所有的调⽤关系仅限于在⾃身的类和函 数，应⽤对硬件的要求⼀般也不会太⾼。 ⽽开发“微服务”应⽤则⼤不相同，由于相互间的依赖关系，当需要开发某⼀个功能或微服务时，不得不将所 有依赖的服务都启动起来。随着微服务数量的增加，开发应⽤所需要的本地资源越来越多，最终导致本地⽆ 的普及，进⼀步屏蔽了“微服务”应⽤的复杂度，这主要体现在部署和运维阶段。 为了解决微服务应⽤在开发、测试和⽣产阶段环境⼀致性的问题，现代的微服务应⽤开发，都会将每⼀个组 件打包成 Docker 镜像，并以⼯作负载的形式对其进⾏部署。利⽤ DevOps 流⽔线中的持续集成和持续部署， 配合 Kubernetes 探针、HPA、应⽤⾃愈的能⼒，彻底解放了微服务应⽤的部署和运维环节。 但我们忽略了⼀个关键节点：开发阶段 微服务应⽤使⽤

调节温 度、或者提送广告内容等 自动化特征 智能家居 智能办公室 智能信号灯... 远端控制 云端分析系统 设备端 (现场)边缘计算BOX 业务场景复杂，对算力、通信要求很高，计算放置于 云端时效性差，另外无法现场就对业务进行处理，比 如计算路口交通事故预警，给予司机及时提示等，所 以将算力卸载在距离业务现场、设备最近的地方，就 是边缘计算的场景，它的价值空间远超AIoT，可以更 大 博弈），云原生也与传统云模式存在博弈关系(天然的正和博弈) 对客户、运营商来说，有利因素主要体现在解决资金紧张问题、降低投资风险，将一部分风险转嫁给厂商，通过与设备商绑定的利益 关系，能获得厂商更多更好的支持和全球经验；不利因素在于相对传统交易方式可能需支付更多交易成本，在业务发展良好的情况， 可能会有部分利益分给设备商。 对IT设备供应商、ISV集成商而言，有利因素主要体现在可能获得高于传 云的优势，由于它面向应用赋能反过来促进了云资源的销售 ISV 客户 云厂商 云原生 云原生商业模式 商业模式也是和市场或者竞争者的博弈，要结合自己的优势进行布局，说白了，要让商业模式对自己获利最有利。 在服务模式上分成大超市方式、专卖店方式和便利店方式 30% 25% 45% 大超市 只为大客户提供优质服务 专卖店 比如烟酒专卖，更加专业， 只针对专业客户群体 便利店 实现普惠服务，更加深入场