前言

近十年云計(jì)算技術(shù)處于高速發(fā)展的過(guò)程中，借助開源項(xiàng)目和社區(qū)的力量，很多項(xiàng)目更新和迭代非?？?。如知名的開源IaaS組織方OpenStack基金會(huì)改名為OpenInfra，目標(biāo)是將云計(jì)算系統(tǒng)從IaaS擴(kuò)展到容器、編排等層面，除了通用云計(jì)算外，還覆蓋如邊緣計(jì)算、5G和物聯(lián)網(wǎng)等場(chǎng)景；而Google發(fā)起的Kubernetes已經(jīng)在眾多云原生項(xiàng)目中脫穎而出，成為事實(shí)上的編排標(biāo)準(zhǔn)，最終可能統(tǒng)一云原生體系。虛擬化技術(shù)、容器技術(shù)和編排技術(shù)最后很可能會(huì)融合成一套標(biāo)準(zhǔn)云計(jì)算框架，在各個(gè)行業(yè)出現(xiàn)最佳實(shí)踐。

與此同時(shí)，安全技術(shù)也在快速演進(jìn)。2013年左右出現(xiàn)了高級(jí)持續(xù)威脅，攻擊者利用各種復(fù)雜的手段不斷突破防守方的邊界，此起彼伏的失陷事件讓疲于奔命的安全團(tuán)隊(duì)沮喪。而近幾年，安全廠商研制了利用虛擬化技術(shù)的蜜罐、沙箱和網(wǎng)絡(luò)空間靶場(chǎng)等機(jī)制，讓防守方轉(zhuǎn)被動(dòng)挨打?yàn)橹鲃?dòng)反制和常態(tài)化對(duì)抗，讓我們看到了最終獲勝的曙光。

筆者團(tuán)隊(duì)為綠盟科技星云實(shí)驗(yàn)室，一直從事云計(jì)算安全和網(wǎng)絡(luò)安全前沿的研究和產(chǎn)品孵化，希望通過(guò)本書能將工作中的得失與廣大讀者分享。

在2015年之前，隨著虛擬化技術(shù)的成熟，以SDN和NFV為支撐技術(shù)的設(shè)施虛擬化IaaS成為主流。筆者在2016年出版了《軟件定義安全：SDN/NFV新型網(wǎng)絡(luò)的安全揭秘》，這本書詳細(xì)介紹了新型網(wǎng)絡(luò)中的安全風(fēng)險(xiǎn)和威脅，并進(jìn)一步提出了軟件定義的安全體系。事實(shí)上，這個(gè)體系在綠盟科技的云計(jì)算安全解決方案，以及其他安全解決方案中得到了應(yīng)用。

而從2016年開始，整個(gè)行業(yè)因?yàn)殚_發(fā)運(yùn)營(yíng)一體化（DevOps）和新型基礎(chǔ)設(shè)施的快速推進(jìn)，以容器、編排和微服務(wù)為代表的云原生技術(shù)變得流行。從技術(shù)上看，雖然容器技術(shù)也是一種虛擬化形態(tài)，但對(duì)應(yīng)的防護(hù)思路和安全體系截然不同。筆者認(rèn)為有必要詳細(xì)闡述和解析云原生技術(shù)棧，并分析其中存在的脆弱性和威脅，讓初探云原生安全的讀者少走錯(cuò)路、彎路，在最短時(shí)間內(nèi)聚焦關(guān)鍵技術(shù)問(wèn)題，構(gòu)建適合自己的云原生安全體系。筆者團(tuán)隊(duì)分別于2018年和2020年發(fā)布了《容器安全技術(shù)報(bào)告》[1]和《云原生安全技術(shù)報(bào)告》[2]，但限于篇幅，很多細(xì)節(jié)無(wú)法展開，本書首次較為詳細(xì)地展示了一些技術(shù)上的思考和細(xì)節(jié)，讀者可按照書中的介紹進(jìn)行驗(yàn)證，從而得到更深刻的理解。

需要說(shuō)明的是，云原生社區(qū)非?；钴S，各類技術(shù)層出不窮，也許當(dāng)你閱讀本書時(shí)，書中具體的軟件版本、命令參數(shù)已經(jīng)不適用，但云原生安全的本質(zhì)和防護(hù)思路是不會(huì)變的。當(dāng)然，如果遇到任何問(wèn)題，也歡迎你聯(lián)系筆者團(tuán)隊(duì)。

本書實(shí)踐部分涉及的源代碼位于隨書附帶的GitHub倉(cāng)庫(kù)，我們也在倉(cāng)庫(kù)中提供了豐富的補(bǔ)充閱讀資料，以供大家進(jìn)一步了解。倉(cāng)庫(kù)地址為https://github.com/brant-ruan/cloud-native-security-book。

關(guān)于書中涉及的云原生環(huán)境、云原生攻防工具，我們也有開源的計(jì)劃，請(qǐng)關(guān)注微信公眾號(hào)“綠盟科技研究通訊”。各位有志于從事云原生安全的讀者，或許可以從中獲益。如有興趣，歡迎貢獻(xiàn)你的代碼，為云原生安全添磚加瓦。

最后，本書難免有疏漏，敬請(qǐng)讀者批評(píng)指正。

劉文懋