序

云計算一經走向市場，就迅速呈現出強大的生命力。隨著大數據時代的到來，云計算成為大數據的承載平臺，“云計算+大數據+人工智能”成為新基建的核心。云計算也因大數據、人工智能的不斷發展而成為信息技術應用的一個重要支柱，在較長時間內占據信息技術的應用舞臺。

眾所周知，云計算架構通常分為三層，即基礎設施即服務（IaaS）、平臺即服務（PaaS）和軟件即服務（SaaS），反映了云計算平臺是在基礎設施、平臺及軟件服務三個層面進行云化。因此，在早期人們常常利用開源或商業的IaaS系統構建云計算平臺，簡單地將傳統物理主機、平臺或應用轉為虛擬化形態，以便達到整體資源利用更合理、集約式運營降低成本、提升整體水平的目的。隨著云計算應用的普及，更多的用戶使用云計算資源并非圖其算力，往往僅僅是圖個方便而已，就好比讓硬件設備隨用隨棄一樣，這也充分體現了云計算平臺的彈性與分布式架構的特色。既然應用上云成為必然的趨勢，如何將本地部署的傳統應用更好地搬上可以云化的云計算平臺，讓業務更好地與云計算平臺相融合，就成為需要著重關注的問題。

在實踐中，本地部署的傳統應用面臨著停機更新、無法動態擴展、綁定網絡資源（如IP、端口）及系統環境、需要人工部署及運維等方面的限制。如果僅僅是簡單地將本地部署的應用遷移到云計算平臺上，則很難發揮出云計算平臺的優勢。因此，充分利用云計算彈性、敏捷、資源池和服務化等特性，以解決業務在開發、運行整個生命周期中遇到的問題成為當務之急。為此，企業界率先提出了在云上設計應用程序的理念，使應用程序得以在云中以最佳的模式運行，以便充分發揮出云計算平臺的彈性及分布式架構優勢，這就是云原生（Cloud Native）架構。云原生計算基金會（CNCF）對云原生給出的解釋是：“云原生技術有利于各組織在公有云、私有云和混合云等新型動態環境中，構建和運行可彈性擴展的應用。云原生的代表技術包括容器、服務網格、微服務、不可變基礎設施和聲明式API。這些技術能夠構建容錯性好、易于管理和便于觀察的松耦合系統。結合可靠的自動化手段，云原生技術使工程師能夠輕松地對系統做出頻繁和可預測的重大變更。”云原生技術正在深刻改變企業上云的模式和新基建所獨有的各類特性，也對云安全的后續發展產生深遠影響。

安全是一個伴生技術，新技術必然會伴生新的安全問題。云原生出現后，云原生安全問題自然隨之而來，并表現為“面向云原生環境的安全問題”和“具有云原生特征的安全問題”。本書作者強調了這樣的觀點：“容器不是輕量級的虛擬化，容器安全不是輕量級的虛擬化安全；虛擬化安全關注的是資源，云原生安全關注的是應用；安全左移是云原生安全的必經之路。”所謂安全左移，本質上是美國國防體系在21世紀初所提出的“軟件確保”（Software Assurance）理念在云計算平臺上的落地。我在21世紀初也在提倡“舉起軟件確保大旗，固本清源，將信息安全向源頭推進”的理念，這在當下有一個時髦的詞——內生安全，其核心是在軟件開發階段就需要注入安全的理念，不僅要確保軟件的所有功能都是可預期的，還要努力做到不存在“可被利用的”漏洞。

本書從云原生技術的風險分析入手，介紹了云原生安全防護思路和體系以及云原生的可觀測性，并重點介紹了容器基礎設施安全、容器編排平臺安全與云原生應用安全。本書作者長期從事網絡安全方面的工程實踐工作，尤其是云計算安全和網絡安全的前沿研究和產品孵化，因此本書也給出了很好的云原生安全實踐的內容。本書內容翔實，注重實踐，對從事云原生工作的科技工作者與相關研究人員都具有很高的參考價值。我相信，本書對于推進云原生安全的研究具有重要意義。