水平/垂直越权、短信轰炸、批量注册、验 证码绕过等 合规需求、安全配置 未能满足安全合规、未建立安全基线、敏 感数据泄漏 开源组件/闭源组件 CNNVD、CNVD、CVE等 开源许可风险 自研代码 容器环境镜像风险 软件漏洞、恶意程序、敏感信息泄漏、不安全配 置、仓库漏洞、不可信镜像 容器环境 开 发 模 式 ： 瀑 布 > 敏 捷 > D e v O p s 应 用 架 构 构 ： 大 型 系 统 > S O A > 微 服 务 代 码 实 现 ： 闭 源 > 开 源 > 混 源 服 务 器 ： 物 理 机 > 虚 拟 化 > 容 器 化 聚焦到应用系 统风险源头 API安全性 失效的用户认证、安全性、错误配置、注入等 闭源组件 软件物料清单的描述 软件物料清单（SBOM, Software Bill Of Material）是云原生时代应用风险治理的基础设施。 fosf://xxx.services.id 网关 nginx doubo java java java web /etc/nginx/conf.d/* ciaapi.dszc-amc.com /etc/nginx/conf.d/* m-crm.dszc-amc.com zczj.dszc-amc.com html、js、 css 部署IAST agent 部署IAST agent

构建 打包 容器 化镜 像 自动化 部署 研发安 全扫描 需求 设计 敏捷 开发交付协同 云原生DevSecOps 安全工具链 国产化 双平面调度 敏捷开 发过程 统一代 码仓库 依赖制 品仓库 统一 镜像库 云原生 验证环境 磐基 生产运行 核心价值 核心能力 灵活的低代码能力 实现页面组件、数据组件、功能组件的快 速编排，一线人员也能自助开发功能 双模敏态管理 阶段提出的安全设计方案，配置IAST中的自定义规 则，基于IAST的扫描结果可以实现安全需求设计的闭环管理，大幅减少安全漏洞，有效降低风险暴露时间。 程 序 源 码 程 序 目 标 码 （ 插 桩 后 ） 平 台 机 器 码 应 用 系 统 I A S T 插 桩 A g e n t 展 示 漏 洞 结 果 编 译 解 释 运 行 1 织 入 检 测 逻 辑 2 处 理 H 取 数 据 流 并 收 集 相 关 信 息 3 检 测 漏 洞 I A S T 控 制 台 4 收 集 请 求 （ 主 动 插 桩 补 充 测 试 ） 5 发 送 P a y l a o d , 执 行 检 测 6 展 示 漏 洞 低误报率 高检出率 可实现逻辑漏洞检测 可实现个人隐私合规检测 检测探针语言强相关 漏洞覆盖度依赖测试覆盖度 对测试环境性能有一定影响 优点

默认配置不不支持 HTTP1.0 • Envoy 时间模块使用的是 UTC • upstream 支持 HTTP2 需要显示配置 • 访问日志换行需要自行配置 format 支持 • 异常场景下响应状态码不标准 • 各个 work 处理请求均衡性问题 • access_log handler 执行顺序不合理 • etc MoE 方案介绍 — 如何 Debug Envoy • Admin API MoE 相关指标 MoE 方案介绍 — 部署架构 A 机房 B 机房 C 机房 A 机房 DNS DNS B 机房 C 机房 D 机房 E 机房 A 机房 App B 机房 C 机房 D 机房 E 机房 阿里集团侧 蚂蚁集团侧 MOSN App MOSN App MOSN App MOSN App MOSN App Envoy

2021, YUNSHAN Networks Technology Co., Ltd. All rights reserved. 问题2：重复建设 业务团队A 业务团队B 业务团队C 业务团队D simplify the growing complexity © 2021, YUNSHAN Networks Technology Co., Ltd. All rights All rights reserved. 2.0 服务：统一的可观测性平台 可观测性平台（Metrics、Tracing、Logging） 基础设施团队 业务团队A 业务团队B 业务团队C 业务团队D …… 存储、检索服务 观测数据 观测数据 观测数据 观测数据 simplify the growing complexity © 2021, YUNSHAN Networks Technology reserved. 效果1：服务访问关系全自动展现 DeepFlow：零侵入、零重启，全景访问关系+全息知识 图谱，无论业务如何迭代，自动呈现实际应用架构。 开发语言、开发框架百花齐放，现有APM高度依赖代 码插桩的监控方式能满足业务高速迭代的需求吗？ simplify the growing complexity © 2021, YUNSHAN Networks Technology Co., Ltd

产 生 大 量 沟 通 成 本 传 统 安 全 检 查 编 码 和 测 试 之 后 ， 安 全 工 程 师 才 介 入 ， 如 果 发 现 问 题 ， 又 需 要 研 发 修 复 和 重 新 测 试 ， 严 重 影 响 效 率 传 统 安 全 流 程 强 调 上 线 前 解 决 一 切 问 题 ， 某 一 环 节 堵 塞 影 响 全 局 D e v O p s 效 率 。 依 赖 于 人 员 个 人

种可以交易的商品，可以购买增强自己APP的能力，比如在自己APP里显示天气预报数据，从外部去管理应用平台，形成了一种新PaaS组织方式。 • 逻辑API：已有API的组 合，形成一个新API • 声明API：需要生成代 码框架（任何语言）， 契约驱动研发 • BaaS API:数据库接口、 中间件接口外化成API • API门户：消费者可以 根据领域-能力查询到 想要的API。 • 自动生成SDK方便集成。 • Metric 是指在多个连 续的时间周期 内用于度量的 KPI数值 Tracing 通过TraceId来 标识记录并还 原发生一次分 布式调用的完 整过程和细节 Logging 通过日志记录 执行过程、代 码调试、错误 异常微观信息 数据之间存在很多关联，通过 关联性数据分析可获得故障的 快速界定与定位，辅助人的决 策就会更加精确 根据运维场景和关注点的不同，以不同图表或者曲 线图来表示整体分布式应用的各维度情况，使得开

HTTP1.0 • Envoy 时间模块使用的是 UTC • upstream 支持 HTTP2 需要显示配置 • 访问日志换行需要自行配置 format 支持 • 异常场景下响应状态码不标准 • 各个 worker 处理请求均衡性问题 • access_log handler 执行顺序不合理 • etc MOE 实践介绍 — 运行效果  MOE 中 MOSN

然后我们再通过添加符号“？”，绕过 Istio JWT 认证策略配 置，结果图 17 所示： 图 17 绕过 Istio JWT 认证访问结果 云原生安全威胁分析与能力建设白皮书 46 可以看到返回为 200 状态码，说明不需要 JWT 的认证也可以访问 ip 这个 path 下的内容，从而完成绕过。 云原生安全威胁分析与能力建设白皮书 47 四、云原生应用保护能力建设 开展云原生应用保护能力建设，可以助力企业的云原生安全体系形成，增强

用 云 计 算 优 势 构 建 和 运 行 应 用 的 方 式 。 D o c k e r 被 认 为 是 能 够 适 应 于 云 原 生 理 念 的 技 术 ， 而 微 服 务 被 认 为 是 适 合 D o c k e r 这 种 环 境 ， 它 们 一 起 直 接 进 入 云 原 生 领 域 。 M e s o s 、 D o c k e r C o m p o s e 、 K 8 s 等 飞 天 系 统 诞 生 聚焦于CapEx到OpEx的转变，但是应用依然需要自己解决稳定性问题 企业开始摸索大规模上云的可能性，而同时微服务架构开始出现。 2 0 0 0 年 F r e e B S D 提 出 容 器 ， 而 资 源 隔 离 能 力 早 在 1 9 7 5 年 就 已 经 存 在 2003年Docker兴起，但云原生架构依然 没有出现，Docker公司还差点死了 1 9 9 6 年 Paas Baas Container Service RDS Service Cache|MQ Service Big Data Service aPaas 专业PaaS(2B) 技术Paas(2D) IaaS+ • Paas可以看做是从应用角度管理资源的平台 • Paas可以看做是应用运行态稳定性保障的平台 • Paas可以看做是连接各种服务的啮合中心 以应用为中心的云原生，落地的关键在PaaS，根据

API KV API ... Worker Worke r Worke r Spark Driver ... Spark SQL Spark Cluster DistSQL API P D P D P D PD Cluster Pum p Pum p Pum p Draine r TiDB Binlog DM Worker DM Worker Data Migratio n DM Master