前言

正如集裝箱的出現加速了貿易全球化進程，以容器為代表的云原生技術作為云計算服務的新界面，在加速云計算普及的同時，也在推動整個商業世界的飛速演進。上云成為企業持續發展的必然選擇，全面使用云原生和云服務技術構建軟件服務的時代已經到來。

作為云時代釋放技術紅利的新方式，云原生技術在通過方法論、工具集和最佳實踐重塑整個軟件技術棧和軟件生命周期，對云計算服務方式與互聯網架構進行整體升級，深刻改變著整個商業世界的IT根基。通過樹立技術標準與構建開發者生態，云原生技術將云計算實施逐漸標準化，大幅降低了開發者對于云平臺的學習成本與接入成本。這都讓開發者更加聚焦于業務本身并借助云原生技術與產品實現更多業務創新，有效提升企業增長效率，讓企業爆發出前所未有的生產力與創造力。

本書具體內容如下。

第1章的重點是厘清云原生的概念。通過將容器作為應用發布的統一形態，并把微服務架構作為應用開發的統一架構，再將應用運行在基于聲明式和容器編排技術的統一平臺里。最后再輔以基于自動化文化和協作文化的DevOps統一開發流程，云原生實現了應用基礎平臺、軟件開發架構、軟件開發流程的標準化和統一化。在統一化的基礎上，基于云原生技術開發的應用得以充分利用多云和混合云的優勢。

第2章主要講解云原生安全的整體建設思路。隨著企業上云進程的不斷加快，傳統的安全防護體系遭遇瓶頸。面向應用的云原生安全管理涵蓋了應用平臺、應用架構、應用流程、應用安全管理和應用生態安全，是一整套綜合性應用安全管理理念。讓安全管控核心從之前的以網絡為中心過渡到以業務為中心，為企業建設新一代安全體系提供了指引。

第3章重點講述云原生平臺層安全方案。應用平臺層安全涉及底層操作系統的安全防護、容器運行態及容器編排系統的安全防護。

第4章從應用架構入手，分析典型的云原生應用架構特點，根據架構特點，有針對性地從應用架構層上進行安全性加固。

第5章著重分析云原生應用安全管理方面的內容，對應用的審計、應用配置的管理、應用運行數據的審計是云原生應用安全防護中必不可少的內容，也是很容易被忽視的內容。另外，通過配置應用運行日志存檔、從日志存檔中發掘高級威脅是從管理層面增強應用安全性的有效手段。

第6章主要講解在DevOps基礎上擴充自動化安全防護能力，實現開發、安全、運維一體化流程。自動化安全包括了自動化代碼掃描、自動化安全測試、自動化漏洞檢測、自動化應用分析等多個環節，將這些環節嵌入到CI/CD流程中的對應階段，實現持續安全。

第7章重點講述云原生應用融入生態過程中需要考慮的安全問題。云原生應用天然支持應用向生態開放，也鼓勵和支持利用來自應用生態的接口能力和數據能力。在將云原生應用向生態開放的過程中，如何避免由于生態開放導致的安全風險，如何對開放的業務能力做審計分析，是本章著重探討的話題。

第8章選取針對應用平臺、應用架構、應用管理、應用流程和應用生態這五個領域中的優秀開源產品和方案進行分類說明，以期在云原生安全方案的落地實施過程中，能夠充分利用開源社區提供的云原生安全能力。

第9章選取了云原生應用中三個最具代表性的行業。金融行業代表了數字化轉型先鋒和技術優勢行業，交通行業代表了云原生技術使用較為深入的行業，而制造行業代表了云原生技術進入尚淺、未來要進一步深化的行業。從這三個行業的實際應用場景入手，分析不同場景下云原生的安全特點和防護重點。

本書以面向應用的云原生安全建設為主線，將云原生應用分成應用平臺、應用架構、應用管理、應用流程以及應用生態這五個維度，對這五個維度從云原生安全的角度進行剖析。本書力求避免概念和技術的生硬堆砌，而是采用循序漸進、前后鋪墊的方式，利用大量的總結性圖表，讓復雜的云原生技術體系變得易懂、易實踐。同時，本書還包含一個云原生應用安全實踐的案例。這個案例貫通了云原生安全平臺搭建、云原生安全應用構建和部署、云原生安全管理、云原生DevSecOps流程和應用生態開放的各個環節。通過案例的實際操作，可以更深入地理解云原生安全的理念和落地實踐過程。這一系列案例對環境資源的要求很低，讀者完全可以自行搭建云原生安全實操環境。另外，書中相關案例的源碼、腳本和配置文件都可以從書中對應的網站目錄上下載。

本書面向的讀者主要是對云原生技術有興趣的開發和運維人員，以及云計算和分布式系統的相關技術人員。也可以作為政企信息部門技術和管理人員進行相應業務系統云化改造方案設計的參考資料。

由于本人能力有限，錯漏之處在所難免，懇請讀者批評指正。

作者