云原生技術(shù)在為企業(yè)帶來快速交付與迭代數(shù)字業(yè)務(wù)應(yīng)用的優(yōu)勢之外,也帶來了新的安全要求與挑戰(zhàn)。本書面向云原生安全攻防實(shí)戰(zhàn),從產(chǎn)業(yè)變革到新場景應(yīng)用,深入淺出地分析了云原生安全的風(fēng)險(xiǎn),并根據(jù)各類攻擊場景有針對(duì)性地設(shè)計(jì)了新一代云原生安全防護(hù)體系。本書共分六個(gè)部分14章,前三部分介紹云原生安全行業(yè)的發(fā)展趨勢和產(chǎn)業(yè)變革,對(duì)云原生安全技術(shù)和風(fēng)險(xiǎn)進(jìn)行了詳細(xì)分析;第四部分介紹云原生的攻擊矩陣及高頻攻擊技術(shù)案例;第五部分講解如何構(gòu)建新一代的原生安全防御體系,并對(duì)重點(diǎn)行業(yè)實(shí)踐進(jìn)行了深入剖析;第六部分簡要分析5G、邊緣計(jì)算等新興場景下的云原生安全新思考。本書適用于網(wǎng)絡(luò)安全從業(yè)者和學(xué)習(xí)者,以及從事云原生行業(yè)的開發(fā)、運(yùn)維和安全人員閱讀。
張 福青藤云安全創(chuàng)始人&CEO,畢業(yè)于同濟(jì)大學(xué),專注于前沿技術(shù)研究,在安全攻防領(lǐng)域有超過15年的探索和實(shí)踐經(jīng)驗(yàn),曾先后在國內(nèi)多家知名互聯(lián)網(wǎng)企業(yè),如第九城市、盛大網(wǎng)絡(luò)、昆侖萬維,擔(dān)任技術(shù)和業(yè)務(wù)安全負(fù)責(zé)人。擁有10余項(xiàng)自主知識(shí)產(chǎn)權(quán)發(fā)明專利、30余項(xiàng)軟件著作權(quán)。榮獲“改革開放40年網(wǎng)絡(luò)安全領(lǐng)軍人物”“中關(guān)村高端領(lǐng)軍人才”“中關(guān)村創(chuàng)業(yè)之星”等稱號(hào)。胡 俊畢業(yè)于華中科技大學(xué),是國內(nèi)知名安全專家,中國信息通信研究院可信云專家組成員,入選武漢東湖高新技術(shù)開發(fā)區(qū)第十一批“3551光谷人才計(jì)劃”,曾在百納信息主導(dǎo)了多款應(yīng)用及海豚瀏覽器云服務(wù)的開發(fā)。青藤云安全創(chuàng)立后,主導(dǎo)開發(fā)“青藤萬相·主機(jī)自適應(yīng)安全平臺(tái)”“青藤蜂巢·云原生安全平臺(tái)”等產(chǎn)品,獲得發(fā)明專利10余項(xiàng),發(fā)表多篇中文核心期刊論文。程 度畢業(yè)于首都師范大學(xué),擅長網(wǎng)絡(luò)攻防安全技術(shù)研究和大數(shù)據(jù)算法研究,在云計(jì)算安全、機(jī)器學(xué)習(xí)領(lǐng)域有很高的學(xué)術(shù)造詣,參與過多項(xiàng)云安全標(biāo)準(zhǔn)制定和審核工作,現(xiàn)兼任《信息安全研究》《信息網(wǎng)絡(luò)安全》編委,曾發(fā)表多篇中文核心期刊論文,榮獲“OSCAR尖峰開源技術(shù)杰出貢獻(xiàn)獎(jiǎng)”。楊 更畢業(yè)于清華大學(xué)和南加州大學(xué)(USC),二十年職業(yè)生涯始終專注于信息安全領(lǐng)域。2013年從西雅圖回國,歷任亞馬遜中國、美團(tuán)、小米首席安全官,全面負(fù)責(zé)產(chǎn)品安全、數(shù)據(jù)安全、企業(yè)安全、用戶隱私、風(fēng)險(xiǎn)控制等安全相關(guān)業(yè)務(wù)領(lǐng)域,任職期間極大提升了企業(yè)的安全能力。龍華橋畢業(yè)于武漢大學(xué),曾先后就職于多家知名企業(yè),如盛大、愛立信等,主要從事安全技術(shù)研發(fā)及管理工作。2014年作為聯(lián)合創(chuàng)始人加入青藤云安全,領(lǐng)導(dǎo)青藤攻防團(tuán)隊(duì)參與到攻防實(shí)戰(zhàn)中去,對(duì)企業(yè)安全需求和安全技術(shù)有著豐富的實(shí)戰(zhàn)經(jīng)驗(yàn)和獨(dú)到的專業(yè)見解。
第1部分 趨勢篇
云原生時(shí)代的產(chǎn)業(yè)變革與安全重構(gòu)
第1章 云原生的發(fā)展促進(jìn)了產(chǎn)業(yè)變革 2
1.1 云原生相關(guān)概念 2
1.2 企業(yè)正加速向云原生發(fā)展 5
1.3 云原生給組織帶來的變化 7
1.3.1 體系流程的變化 7
1.3.2 開發(fā)模式的變化 8
1.3.3 應(yīng)用架構(gòu)的變化 11
1.3.4 運(yùn)行平臺(tái)的變化 15
第2章 云原生時(shí)代安全需要重構(gòu) 16
2.1 組織重構(gòu) 17
2.2 技術(shù)重構(gòu) 20
第2部分 概念篇
云原生場景中關(guān)鍵概念解析
第3章 容器安全技術(shù)概念 28
3.1 容器與鏡像基礎(chǔ)概念 28
3.1.1 容器基礎(chǔ)概念 28
3.1.2 鏡像基礎(chǔ)概念 29
3.2 容器與鏡像安全原則 30
3.2.1 容器安全原則 30
3.2.2 鏡像安全原則 31
3.3 容器隔離限制技術(shù) 32
3.3.1 容器兩大限制技術(shù) 32
3.3.2 容器五大隔離技術(shù) 33
3.4 鏡像安全控制技術(shù) 37
第4章 編排工具安全技術(shù)概念 41
4.1 Kubernetes基礎(chǔ)概念 41
4.1.1 Kubernetes功能 42
4.1.2 Kubernetes架構(gòu) 42
4.1.3 Kubernetes對(duì)象 45
4.2 Kubernetes安全原則 46
4.2.1 Kubernetes主體最小權(quán)限 46
4.2.2 Kubernetes工作負(fù)載最小權(quán)限 50
4.3 Kubernetes安全控制技術(shù) 54
4.3.1 Kubernetes認(rèn)證 55
4.3.2 Kubernetes授權(quán) 61
4.3.3 準(zhǔn)入控制器 65
第5章 應(yīng)用安全技術(shù)概念 69
5.1 微服務(wù)安全 69
5.1.1 微服務(wù)安全框架 70
5.1.2 微服務(wù)實(shí)例說明 73
5.2 API安全 74
5.2.1 API基礎(chǔ)概念 75
5.2.2 API常見類型 76
5.2.3 API安全方案 78
5.3 Serverless安全 82
5.3.1 Serverless基礎(chǔ)概念 82
5.3.2 Serverless架構(gòu)及實(shí)例 84
5.3.3 Serverless安全控制技術(shù) 86
第3部分 風(fēng)險(xiǎn)篇
云原生安全的風(fēng)險(xiǎn)分析
第6章 容器風(fēng)險(xiǎn)分析 90
6.1 容器威脅建模 90
6.2 容器加固 93
6.2.1 鏡像風(fēng)險(xiǎn) 94
6.2.2 鏡像倉庫風(fēng)險(xiǎn) 96
6.2.3 容器風(fēng)險(xiǎn) 98
6.2.4 主機(jī)操作系統(tǒng)風(fēng)險(xiǎn) 100
第7章 編排風(fēng)險(xiǎn)分析 102
7.1 Kubernetes威脅建模 102
7.2 安全加固 104
7.2.1 Pod安全 104
7.2.2 網(wǎng)絡(luò)隔離與加固 106
7.2.3 認(rèn)證與授權(quán) 108
7.2.4 日志審計(jì)與威脅檢測 109
第8章 應(yīng)用風(fēng)險(xiǎn)分析 113
8.1 微服務(wù)風(fēng)險(xiǎn)分析 113
8.1.1 Spring Cloud安全分析 114
8.1.2 Istio安全分析 118
8.2 API風(fēng)險(xiǎn)分析 122
8.3 Serverless風(fēng)險(xiǎn)分析 128
第4部分 攻擊篇
云原生攻擊矩陣與實(shí)戰(zhàn)案例
第9章 針對(duì)云原生的ATT&CK攻擊矩陣 134
9.1 針對(duì)容器的ATT&CK攻擊矩陣 134
9.2 針對(duì)Kubernetes的ATT&CK攻擊矩陣 138
第10章 云原生高頻攻擊戰(zhàn)術(shù)的攻擊案例 146
10.1 容器逃逸攻擊案例 146
10.1.1 容器運(yùn)行時(shí)逃逸漏洞 147
10.1.2 Linux內(nèi)核漏洞 149
10.1.3 掛載宿主機(jī)Procfs文件系統(tǒng)的利用 153
10.1.4 SYS_PTRACE權(quán)限利用 156
10.2 鏡像攻擊案例 157
10.2.1 通過運(yùn)行惡意鏡像實(shí)現(xiàn)初始化訪問 157
10.2.2 創(chuàng)建后門鏡像 159
10.3 Kubernetes攻擊案例 162
10.3.1 通過API Server實(shí)現(xiàn)初始訪問 162
10.3.2 在容器中實(shí)現(xiàn)惡意執(zhí)行 165
10.3.3 創(chuàng)建特權(quán)容器實(shí)現(xiàn)持久化 170
10.3.4 清理Kubernetes日志繞過防御 172
10.3.5 竊取Kubernetes secret 173
第5部分 防御篇
新一代云原生安全防御體系
第11章 云原生安全防御原則與框架 178
11.1 云原生安全四大原則 178
11.1.1 零信任 178
11.1.2 左移 180
11.1.3 持續(xù)監(jiān)控&響應(yīng) 181
11.1.4 工作負(fù)載可觀測 182
11.2 新一代云原生安全框架 183
第12章 基于行業(yè)的云原生安全防御實(shí)踐 185
12.1 通信行業(yè)云原生安全防御實(shí)踐 185
12.2 金融行業(yè)云原生安全防御實(shí)踐 188
12.3 互聯(lián)網(wǎng)行業(yè)云原生安全防御實(shí)踐 191
第6部分 進(jìn)化篇
新興場景下的云原生安全新思考
第13章 5G場景下的容器安全 196
13.1 檢測5G云橫向移動(dòng) 197
13.2 網(wǎng)絡(luò)資源隔離 200
第14章 邊緣計(jì)算場景下的容器安全 203
14.1 容器與邊緣計(jì)算 204
14.1.1 邊緣計(jì)算工作原理 204
14.1.2 邊緣計(jì)算與云計(jì)算的區(qū)別 205
14.1.3 邊緣計(jì)算對(duì)隱私和安全的重要性 206
14.2 將Kubernetes工作負(fù)載帶到邊緣 207
14.2.1 在Kubernetes中管理邊緣工作負(fù)載 207
14.2.2 邊緣容器 208
14.2.3 WebAssembly和Wasi 209
14.3 邊緣計(jì)算環(huán)境下的容器數(shù)據(jù)安全 211