正版 云原生安全技术实践指南 张福 电子工业出版社 978712143560

第1部分 趋势篇 云原生时代的产业变革与安全重构

第1章 云原生的发展促进了产业变革

1.1 云原生相关概念

1.2 企业正加速向云原生发展

1.3 云原生给组织带来的变化

1.3.1 体系流程的变化

1.3.2 开发模式的变化

1.3.3 应用架构的变化

1.3.4 运行平台的变化

第2章 云原生时代安全需要重构

2.1 组织重构

2.2 技术重构

第2部分 概念篇 云原生场景中关键概念解析

第3章 容器安全技术概念

3.1 容器与镜像基础概念

3.1.1 容器基础概念

3.1.2 镜像基础概念

3.2 容器与镜像安全原则

3.2.1 容器安全原则

3.2.2 镜像安全原则

3.3 容器隔离技术

3.3.1 容器两大技术

3.3.2 容器五大隔离技术

3.4 镜像安全控制技术

第4章 编排工具安全技术概念

4.1 Kubernetes基础概念

4.1.1 Kubernetes功能

4.1.2 Kubernetes架构

4.1.3 Kubernetes对象

4.2 Kubernetes安全原则

4.2.1 Kubernetes主体最小权限

4.2.2 Kubernetes工作负载最小权限

4.3 Kubernetes安全控制技术

4.3.1 Kubernetes认证

4.3.2 Kubernetes授权

4.3.3 准入控制器

第5章 应用安全技术概念

5.1 微服务安全

5.1.1 微服务安全框架

5.1.2 微服务实例说明

5.2 API安全

5.2.1 API基础概念

5.2.2 API常见类型

5.2.3 API安全方案

5.3 Serverless安全

5.3.1 Serverless基础概念

5.3.2 Serverless架构及实例

5.3.3 Serverless安全控制技术

第3部分 风险篇 云原生安全的风险分析

第6章 容器风险分析

6.1 容器威胁建模

6.2 容器加固

6.2.1 镜像风险

6.2.2 镜像仓库风险

6.2.3 容器风险

6.2.4 主机操作系统风险

第7章 编排风险分析

7.1 Kubernetes威胁建模

7.2 安全加固

7.2.1 Pod安全

7.2.2 网络隔离与加固

7.2.3 认证与授权

7.2.4 日志审计与威胁检测

第8章 应用风险分析

8.1 微服务风险分析

8.1.1 Spring Cloud安全分析

8.1.2 Istio安全分析

8.2 API风险分析

8.3 Serverless风险分析

第4部分 攻击篇 云原生攻击矩阵与实战案例

第9章 针对云原生的ATT & CK攻击矩阵

9.1 针对容器的ATT & CK攻击矩阵

9.2 针对Kubernetes的ATT & CK攻击矩阵

第10章 云原生高频攻击战术的攻击案例

10.1 容器逃逸攻击案例

10.1.1 容器运行时逃逸漏洞

10.1.2 Linux内核漏洞

10.1.3 挂载宿主机Procfs文件系统的利用

10.1.4 SYS_PTRACE权限利用

10.2 镜像攻击案例

10.2.1 通过运行恶意镜像实现初始化访问

10.2.2 创建后门镜像

10.3 Kubernetes攻击案例

10.3.1 通过API Server实现初始访问

10.3.2 在容器中实现恶意执行

10.3.3 创建特权容器实现持久化

10.3.4 清理Kubernetes日志绕过防御

10.3.5 窃取Kubernetes secret

第5部分 防御篇 新一代云原生安全防御体系

第11章 云原生安全防御原则与框架

11.1 云原生安全四大原则

11.1.1 零信任

11.1.2 左移

11.1.3 持续监控 & 响应

11.1.4 工作负载可观测

11.2 新一代云原生安全框架

第12章 基于行业的云原生安全防御实践

12.1 通信行业云原生安全防御实践

12.2 金融行业云原生安全防御实践

12.3 互联网行业云原生安全防御实践

第6部分 进化篇 新兴场景下的云原生安全新思考

第13章 5G场景下的容器安全

13.1 检测5G云横向移动

13.2 网络资源隔离

第14章 边缘计算场景下的容器安全

14.1 容器与边缘计算

14.1.1 边缘计算工作原理

14.1.2 边缘计算与云计算的区别

14.1.3 边缘计算对隐私和安全的重要性

14.2 将Kubernetes工作负载带到边缘

14.2.1 在Kubernetes中管理边缘工作负载

14.2.2 边缘容器

14.2.3 WebAssembly和Wasi

14.3 边缘计算环境下的容器数据安全

"张 福 青藤云安全创始人&CEO，毕业于同济大学，专注于前沿技术研究，在安全攻防领域有超过15年的探索和实践经验，曾先后在国内多家知名互联网企业，如第九城市、盛大网络、昆仑万维，担任技术和业务安全负责人。拥有10余项自主知识产权发明专利、30余项软件著作权。荣获“改革开放40年网络安全领军人物”“中关村高端领军人才”“中关村创业之星”等称号。 胡 俊 毕业于华中科技大学，是国内知名安全专家，中国信息通信研究院可信云专家组成员，入选武汉东湖高新技术开发区第十一批“3551光谷人才计划”，曾在百纳信息主导了多款应用及海豚浏览器云服务的开发。青藤云安全创立后，主导开发“青藤万相·主机自适应安全平台”“青藤蜂巢·云原生安全平台”等产品，获得发明专利10余项，发表多篇中文核心期刊论文。 程 度 毕业于首都师范大学，擅长网络攻防安全技术研究和大数据算法研究，在云计算安全、机器学习领域有很高的学术造诣，参与过多项云安全标准制定和审核工作，现兼任《信息安全研究》《信息网络安全》编委，曾发表多篇中文核心期刊论文，荣获“OSCAR尖峰开源技术杰出贡献奖”。 杨 更 毕业于清华大学和南加州大学（USC），二十年职业生涯始终专注于信息安全领域。2013年从西雅图回国，历任亚马逊中国、美团、小米首席安全官，全面负责产品安全、数据安全、企业安全、用户隐私、风险控制等安全相关业务领域，任职期间极大提升了企业的安全能力。 龙华桥 毕业于武汉大学，曾先后就职于多家知名企业，如盛大、爱立信等，主要从事安全技术研发及管理工作。2014年作为联合创始人加入青藤云安全，领导青藤攻防团队参与到攻防实战中去，对企业安全需求和安全技术有着丰富的实战经验和独到的专业见解。"

"云原生技术快速发展、应用广泛，其安全问题也值得我们高度关注、认真研究和积极应对。《云原生安全技术实践指南》比较系统全面地介绍了云原生技术及其安全风险，提出了云原生安全防御四大原则和技术框架，以及新兴技术场景下的安全思考，很有价值。从《ATT&CK框架实践指南》到《云原生安全技术实践指南》，可以看出“青藤云安全”是一个专注技术的网络安全企业。 ——郑建华 中国科学院院士 本书从云原生的趋势、概念、风险、攻击、防御及进化等各个方面，面向5G、边缘计算等新业务场景做了深度介绍和分析，对于云原生安全开发者、运维者和使用者掌握基本的安全知识，深入、全面地了解云原生安全技术，提升企业在应用云原生技术的同时构筑安全防护体系的能力具有很好的指导意义。本书是云原生安全领域颇具代表性的指导性著作，建议有关同行阅读。 ——严明 CCF计算机安全专业委员会荣誉主任 云原生技术助力企业数字化转型从“上云”到“用好云”、“管好云”，随着云原生技术的快速发展和广泛应用，其面临的安全问题也逐渐显现。云原生技术架构和应用模式背后是组织协作方式的变革，这种颠覆性技术在发展的同时，也伴生出新的安全需求和挑战。青藤云安全作为网络安全领域技术创新领军企业的代表，是网络安全很好验证示范中心首批很好合作伙伴，很早就开始研究云原生安全。《云原生安全技术实践指南》为云原生初学者入门，或有一定基础的云原生安全工作者进一步提升云原生安全防护能力均提供了重要参考。 ——谢玮 中国信息通信研究院安全研究所所长 随着云原生技术的快速发展和应用，传统安全方案已无法适应不断进化的云原生环境和DevOps流程，云原生应用程序面临着极大的安全风险。青藤云安全作为国内较早推出云原生安全产品的企业，通过多年在云原生安全领域的深耕，积累了丰富的研究成果和实践经验，取得了优异的市场成绩。本书是青藤云安全多年深耕云原生安全领域而形成的宝贵财富。本书从基础定义到对抗实践，以5G、边缘计算等场景为例，由浅入深为读者解析了云原生安全技术。相信无论是云原生安全从业者，还是企业安全工作者，都能从中受益。 ——彭海朋 北京邮电大学网络空间安全学院副院长、教授、博士生导师 《云原生安全技术实践指南》是一本面向云安全建设的、易于理解的指导书，从云安全相关技术原理、风险、防护方法方面进行了清晰的介绍。面向云安全，IDC在TechScape:Worldwide Cloud Security Enabling Technologies, 2022报告中指出，ZTNA、Kubernetes、DevSecOps、IaC属于云安全变更型技术，将在重塑云安全市场中起到关键性作用；CSPM/CWPP、Containers等技术是云安全市场的主导型技术。IDC提及的上述技术在本书中均有涉及，显而易见，本书的探讨视角与全球云安全技术趋势高度契合，因此，本书是值得CIO/CISO及网络安全相关从业者参考的枕边书。 ——钟振山 IDC中国研究副总裁 云原生现在无处不在，不仅仅是互联网企业，越来越多的传统企业也在部署云原生技术。因此，云原生安全也成为关键技术之一。云原生安全4C包括云（Cloud）、集群（Cluster）、容器（Container）和代码（Code），对4C的安全防护缺一不可。 云原生一直在改变我们的开发方式，它使开发团队能够在最短时间内将想法构建到实际应用中，因此，安全左移变得非常重要。安全左移能将威胁和漏洞扼杀在萌芽状态，使DevOps及早发现问题并快速修复问题。 我建议大家阅读这本《云原生安全技术实践指南》，它能帮助你更多了解有关云原生安全的信息，确保你在获得云原生红利的同时高枕无忧。 ——Keith Chan CNCF云原生计算基金会中国区总监、 Hyperledger超级账本基金会中国区总监、Linux基金会亚太区战略总监 与青藤云安全相识、合作已四年有余，看其一路走来成为行业翘楚，甚是钦佩。在云原生技术变革的同时，安全也需要新的战法，青藤云安全深耕此领域多年，推出《云原生安全技术实践指南》一书，适时提出了对云原生安全的整体论述。本书从容器、编排、微服务等角度深入阐述了云原生安全的核心要点，结合大量的实践细节进行讲解，总结了安全理念和技术的诸多变化。本书是一本优秀的安全宝典，值得安全、开发、DevOps等从业人员甄选收藏及细细品读。 ——李震 百胜中国首席安全官 云原生是企业数字化转型的有效路径，随着云原生技术的快速发展和广泛应用，其面临的安全问题也越来越突出。本书对云原生技术基本定义，以及云原生安全风险分析、威胁建模、安全对抗、防御、新业务场景，均进行了全面的阐述。本书对于云原生开发从业人员、信息安全从业人员都有很好的指导价值。 ——张源 北京易车互联信息技术有限公司助理总裁 我国的云原生技术应用正在换挡提速和高速发展。云原生技术背后的架构和理念也对企业的组织与协作方式产生了重大影响，引入容器、镜像、编排平台、DevOps等新的基础设施和流程，会带来相应的安全风险和挑战。本书以通俗易懂的方式介绍了云原生当前面临的各类安全风险及应对措施，是入门云原生安全领域的科普性读物，适合使用或关注云原生技术的架构师、工程师和相关专业的学生阅读。 ——张海宁 中国少有CNCF开源项目Harbor云原生制品仓库创建人"

云原生技术在为企业带来快速交付与迭代数字业务应用的优势之外，也带来了新的安全要求与挑战。本书面向云原生安全攻防实战，从产业变革到新场景应用，深入浅出地分析了云原生安全的风险，并根据各类攻击场景有针对性地设计了新一代云原生安全防护体系。本书共分六个部分14章，前三部分介绍云原生安全行业的发展趋势和产业变革，对云原生安全技术和风险进行了详细分析；第四部分介绍云原生的攻击矩阵及高频攻击技术案例；第五部分讲解如何构建新一代的原生安全防御体系，并对重点行业实践进行了深入剖析；第六部分简要分析5G、边缘计算等新兴场景下的云原生安全新思考。本书适用于网络安全从业者和学习者，以及从事云原生行业的开发、运维和安全人员阅读。

"√ 探讨视角与技术实力，企及全球云安全技术趋势与高度。 √ 基本定义→安全风险分析→威胁建模→安全对抗→防御→新业务场景。 √ 容器|微服务|不可变基础设施|声明式API|Severless攻击和防守双向真实案例。 √ 完整覆盖4C的企业级防护方案：云Cloud|集群Cluster|容器|Container|代码Code。"