云原生安全：攻防实践与体系构建 下载 pdf 百度网盘 epub 免费 2025 电子书 mobi 在线

本书面向实战攻防，分析了云原生体系每层的安全风险与威胁，并根据各类攻击场景，有针对性地设计了面向云原生架构的安全防护体系。

针对每种攻击场景，设计了相应的应对手段，在容器、编排和服务三个层面介绍了相应的安全防护机制，并将云原生的安全能力扩展到了5G、边缘计算等新型基础设施场景。

全书一共七部分24章，具体内容如下：

第一部分简要介绍了云原生安全的背景，以及云原生的相关技术；

第二部分系统性地分析了云原生各层所面临的安全风险，以及若干典型的安全事件；

第三部分介绍了云原生时代的安全防护思路和云原生安全体系；

第四部分详细介绍了云原生的可观测性概念和各个组件；

第五部分介绍了容器基础设施层面的安全，包括容器系统内在安全、安全加固和异常检测；

第六部分介绍了容器编排平台安全，包括编排系统安全加固和编排网络安全；

第七部分介绍了云原生应用安全，包括零信任、API安全、微服务、无服务和应用业务安全。

序

前言

第一部分　云原生安全概述

第1章　云原生安全 2

1.1　云原生：云计算下半场 2

1.2　什么是云原生安全 4

1.2.1　面向云原生环境的安全 4

1.2.2　具有云原生特征的安全 5

1.2.3　原生安全：融合的云原生安全 5

1.3　面向云原生环境的安全体系 7

1.3.1　容器安全 7

1.3.2　编排系统安全 8

1.3.3　云原生应用安全 9

1.4　云原生安全的关键问题 9

1.4.1　如何防护短生命周期的容器 9

1.4.2　如何降低安全运营成本 10

1.4.3　DevSecOps 11

1.4.4　如何实现安全的云原生化 12

1.5　云原生安全现状 13

1.5.1　云原生新范式：Docker + Kubernetes 13

1.5.2　镜像安全问题仍然很突出 14

1.5.3　安全配置规范执行和密钥凭证管理不理想 15

1.5.4　运行时安全关注度上升，但依然很难 17

1.5.5　合规性要求依然迫切，但业界苦于无规可循 18

1.6　本章小结 19

第2章　云原生技术 20

2.1　容器技术 20

2.1.1　容器与虚拟化 20

2.1.2　容器镜像 20

2.1.3　容器存储 21

2.1.4　容器网络 22

2.1.5　容器运行时 22

2.2　容器编排 23

2.3　微服务 23

2.4　服务网格 24

2.5　Serverless 25

2.6　DevOps 26

2.7　本章小结 27

第二部分　云原生技术的风险分析

第3章　容器基础设施的风险分析 30

3.1　容器基础设施面临的风险 30

3.1.1　容器镜像存在的风险 31

3.1.2　活动容器存在的风险 32

3.1.3　容器网络存在的风险 33

3.1.4　容器管理程序接口存在的风险 33

3.1.5　宿主机操作系统存在的风险 34

3.1.6　无法根治的软件漏洞 34

3.2　针对容器化开发测试过程的攻击案例 34

3.2.1　背景知识 35

3.2.2　CVE-2018-15664：符号链接替换漏洞 35

3.2.3　CVE-2019-14271：加载不受信任的动态链接库 39

3.3　针对容器软件供应链的攻击案例 43

3.3.1　镜像漏洞利用 44

3.3.2　镜像投毒 45

3.4　针对运行时容器的攻击案例 48

3.4.1　容器逃逸 48

3.4.2　安全容器逃逸 58

3.4.3　资源耗尽型攻击 73

3.5　本章小结 79

第4章　容器编排平台的风险分析 80

4.1　容器编排平台面临的风险 80

4.1.1　容器基础设施存在的风险 81

4.1.2　Kubernetes组件接口存在的风险 82

4.1.3　集群网络存在的风险 84

4.1.4　访问控制机制存在的风险 84

4.1.5　无法根治的软件漏洞 85

4.2　针对Kubernetes组件不安全配置的攻击案例 85

4.2.1　Kubernetes API Server未授权访问 85

4.2.2　Kubernetes Dashboard未授权访问 86

4.2.3　Kubelet未授权访问 87

4.3　针对Kubernetes权限提升的攻击案例 88

4.3.1　背景知识 88

4.3.2　漏洞分析 90

4.3.3　漏洞复现 94

4.3.4　漏洞修复 101

4.4　针对Kubernetes的拒绝服务攻击案例 102

4.4.1　CVE-2019-11253：YAML炸弹 102

4.4.2　CVE-2019-9512/9514：HTTP/2协议实现存在问题 105

4.5　针对Kubernetes网络的中间人攻击案例 110

4.5.1　背景知识 112

4.5.2　原理描述 115

4.5.3　场景复现 117

4.5.4　防御策略 123

4.6　本章小结 124

第5章　云原生应用的风险分析 125

5.1　云原生应用风险概述 125

5.2　传统应用的风险分析 125

5.3　云原生应用的新风险分析 126

5.3.1　数据泄露的风险 126

5.3.2　未授权访问的风险 128

5.3.3　拒绝服务的风险 129

5.4　云原生应用业务的新风险分析 130

5.4.1　未授权访问的风险 130

5.4.2　API滥用的风险 131

5.5　Serverless的风险分析 131

5.5.1　Serverless特征带来的风险 131

5.5.2　Serverless应用风险 132

5.5.3　Serverless平台风险 132

5.5.4　Serverless被滥用的风险 154

5.6　本章小结 155

第6章　典型云原生安全事件 156

6.1　特斯拉Kubernetes挖矿事件 156

6.1.1　事件分析 156

6.1.2　总结与思考 158

6.2　微软监测到大规模Kubernetes挖矿事件 160

6.2.1　事件分析 160

6.2.2　总结与思考 162

6.3　Graboid蠕虫挖矿传播事件 164

6.3.1　事件分析 164

6.3.2　总结与思考 166

6.4　本章小结 167

第三部分　云原生安全防护思路和体系

第7章　云原生防护思路转变 170

7.1　变化：容器生命周期 170

7.2　安全左移 171

7.3　聚焦不变 171

7.4　关注业务 173

7.5　本章小结 174

第8章　云原生安全体系 175

8.1　体系框架 175

8.2　安全组件简介 176

第9章　左移的安全机制 178

9.1　开发安全 178

9.2　软件供应链安全 178

9.3　容器镜像安全 179

9.3.1　容器镜像安全现状 179

9.3.2　容器镜像安全防护 180

9.4　本章小结 182

第四部分　云原生可观测性

第10章　可观测性概述 184

10.1　为什么需要实现云原生可观测性 184

10.2　需要观测什么 185

10.3　实现手段 186

10.4　本章小结 187

第11章　日志审计 188

11.1　日志审计的需求与挑战 188

11.1.1　需求分析 188

11.1.2　面临的挑战 189

11.2　Docker日志审计 189

11.3　Kubernetes日志审计 192

11.3.1　应用程序日志 192

11.3.2　系统组件日志 193

11.3.3　日志工具 194

11.4　本章小结 195

第12章　监控 196

12.1　云原生架构的监控挑战 196

12.2　监控指标 197

12.3　监控工具 198

12.3.1　cAdvisor和Heapster 199

12.3.2　Prometheus 199

12.4　本章小结 200

第13章　追踪 201

13.1　动态追踪 201

13.2　eBPF 203

13.2.1　eBPF原理与架构 204

13.2.2　eBPF验证器 206

13.2.3　eBPF程序类型 207

13.2.4　eBPF工具 208

13.2.5　小结 210

13.3　基于BPFTrace实现动态追踪 211

13.3.1　探针类型 212

13.3.2　如何使用BPFTrace进行追踪 214

13.4　微服务追踪 219

13.4.1　微服务追踪概述 219

13.4.2　分布式追踪 220

13.4.3　微服务追踪实现示例 220

13.5　本章小结 222

第五部分　容器基础设施安全

第14章　Linux内核安全机制 224

14.1　隔离与资源管理技术 224

14.1.1　内核命名空间 224

14.1.2　控制组 224

14.2　内核安全机制 225

14.2.1　Capabilities 225

14.2.2　Seccomp 225

14.2.3　AppArmor 226

14.2.4　SELinux 226

14.3　本章小结 227

第15章　容器安全加固 228

15.1　概述 228

15.2　容器安全配置 228

15.3　本章小结 229

第16章　容器环境的行为异常检测 230

16.1　基于规则的已知威胁检测 230

16.1.1　检测系统设计 231

16.1.2　基于规则的检测实战：CVE-2019-5736 232

16.1.3　小结 234

16.2　基于行为模型的未知威胁检测 234

16.2.1　检测系统架构 235

16.2.2　学习与检测流程 237

16.2.3　基线设计 238

16.2.4　小结 240

16.3　本章小结 240

第六部分　容器编排平台安全

第17章　Kubernetes安全加固 242

17.1　API Server认证 242

17.1.1　静态令牌文件 242

17.1.2　X.509 客户端证书 243

17.1.3　服务账号令牌 243

17.1.4　OpenID Connect令牌 245

17.1.5　身份认证代理 246

17.1.6　Webhook令牌身份认证 247

17.1.7　小结 248

17.2　API Server授权 249

17.3　准入控制器 252

17.4　Secret对象 256

17.5　网络策略 257

17.6　本章小结 259

第18章　云原生网络安全 260

18.1　云原生网络架构 260

18.1.1　基于端口映射的容器主机网络 260

18.1.2　基于CNI的Kubernetes集群网络 260

18.1.3　服务网格 261

18.2　基于零信任的云原生网络微隔离 261

18.2.1　什么是微隔离 262

18.2.2　云原生为什么需要微隔离 262

18.2.3　云原生网络的微隔离实现技术 263

18.2.4　云原生网络入侵检测 265

18.3　基于Cilium的网络安全方案示例 266

18.3.1　Cilium架构 266

18.3.2　Cilium组网模式 268

18.3.3　Cilium在Overlay组网下的通信示例 268

18.3.4　API感知的安全性 272

18.4　本章小结 277

第七部分　云原生应用安全

第19章　面向云原生应用的零信任安全 280

19.1　什么是信任 280

19.2　真的有零信任吗 282

19.3　零信任的技术路线 282

19.4　云化基础设施与零信任 284

19.5　云原生环境零信任架构 286

19.6　本章小结 287

第20章　传统应用安全 289

20.1　应用程序代码漏洞缓解 289

20.1.1　安全编码 290

20.1.2　使用代码检测工具 290

20.2　应用程序依赖库漏洞防护 290

20.2.1　使用受信任的源 290

20.2.2　使用软件组成分析工具 290

20.3　应用程序访问控制 291

20.4　应用程序数据安全防护 291

20.4.1　安全编码 291

20.4.2　使用密钥管理系统 292

20.4.3　使用安全协议 292

20.5　本章小结 292

第21章　API安全 293

21.1　传统API防护 293

21.2　API脆弱性检测 293

21.3　云原生API网关 294

21.4　本章小结 295

第22章　微服务架构下的应用安全 296

22.1　认证服务 297

22.1.1　基于JWT的认证 297

22.1.2　基于Istio的认证 298

22.2　访问控制 306

22.2.1　基于角色的访问控制 306

22.2.2　基于Istio的访问控制 306

22.3　数据安全 310

22.4　其他防护机制 310

22.4.1　Istio和API网关协同的全面防护 311

22.4.2　Istio与WAF结合的深度防护 312

22.5　本章小结 314

第23章　云原生应用业务和Serverless安全 315

23.1　云原生应用业务安全 315

23.2　Serverless应用安全防护 316

23.3　Serverless平台安全防护 317

23.3.1　使用云厂商提供的存储最佳实践 318

23.3.2　使用云厂商的监控资源 318

23.3.3　使用云厂商的账单告警机制 318

23.4　Serverless被滥用的防护措施 318

23.5　其他防护机制 319

23.5.1　Serverless资产业务梳理 319

23.5.2　定期清理非必要的Serverless实例 319

23.5.3　限制函数策略 319

23.6　本章小结 319

第24章　云原生应用场景安全 320

24.1　5G安全 320

24.2　边缘计算安全 323

24.3　工业互联网安全 327

24.4　本章小结 327

后记　云原生安全实践与未来展望 328

参考文献 331

刘文懋

绿盟科技集团首席安全专家、创新中心与星云实验室负责人，计算机学会（CCF）理事，中国网络空间安全人才教育论坛人才标准认证工作组专家，中国网络空间新兴技术安全创新论坛理事，云安全联盟（CSA）云安全服务管理工作组联合主席。曾发表著作《软件定义安全：SDN/NFV新型网络的安全揭秘》。

江国龙

资深研究员和架构师，主要研究方向包括虚拟化网络安全、云计算系统安全、云原生安全、5G/边缘计算安全等。作为核心人员，参与编写了多份云安全相关白皮书、技术报告、技术标准。积极活跃于云原生安全社区，热衷于技术探索和分享。

浦明

绿盟科技集团星云实验室资深安全研究员，在云原生应用安全及安全创新领域有丰富的实战经验，长期从事Kubernetes、微服务、服务网格安全的研究。在绿盟科技任职期间，参与过安全应用商店、安全编排与自动化响应（SOAR）平台、容器安全、安全产品云原生化的架构设计和研发工作。

阮博男

绿盟科技集团星云实验室安全研究员，主要研究方向为云和虚拟化安全，积极探索Linux、云、虚拟化及前沿安全攻防技术。曾作为核心人员参与绿盟科技的SOAR、容器安全、云原生入侵检测等项目和产品。

叶晓虎

绿盟科技集团首席技术官，先后担任国家火炬计划课题负责人、北京市下一代网络安全软件与系统工程技术研究中心主任、海淀区重大科技成果产业化负责人等。在信息安全管理、安全架构和技术方面有将近20年的经验，并且作为安全专家多次参与国家级重大事件网络安全保障工作。

暂无出版社相关信息，正在全力查找中！

暂无相关书籍摘录，正在全力查找中！

在线阅读地址：云原生安全：攻防实践与体系构建在线阅读

在线听书地址：云原生安全：攻防实践与体系构建在线收听

在线购买地址：云原生安全：攻防实践与体系构建在线购买

暂无原文赏析，正在全力查找中！

书籍介绍

本书面向实战攻防，分析了云原生体系每层的安全风险与威胁，并根据各类攻击场景，有针对性地设计了面向云原生架构的安全防护体系。

针对每种攻击场景，设计了相应的应对手段，在容器、编排和服务三个层面介绍了相应的安全防护机制，并将云原生的安全能力扩展到了5G、边缘计算等新型基础设施场景。

全书一共七部分24章，具体内容如下：

第一部分简要介绍了云原生安全的背景，以及云原生的相关技术；

第二部分系统性地分析了云原生各层所面临的安全风险，以及若干典型的安全事件；

第三部分介绍了云原生时代的安全防护思路和云原生安全体系；

第四部分详细介绍了云原生的可观测性概念和各个组件；

第五部分介绍了容器基础设施层面的安全，包括容器系统内在安全、安全加固和异常检测；

第六部分介绍了容器编排平台安全，包括编排系统安全加固和编排网络安全；

第七部分介绍了云原生应用安全，包括零信任、API安全、微服务、无服务和应用业务安全。